Комиссия по ценным бумагам и фьючерсам Гонконга выпустила циркуляр, требующий от платформ виртуальных активов и интернет-брокеров заменить аутентификацию с помощью одноразовых паролей на более надежные методы безопасности. Регулятор указал, что фишинг и спуфинг-атаки, составляющие 57% всех инцидентов безопасности, зарегистрированных в Центре реагирования на киберинциденты Гонконга в 2025 году, послужили причиной введения этого требования. Компании должны внедрить более сильные альтернативы, такие как пасскейы и аутентификация с привязкой к устройству, в течение 12 месяцев, а крупные интернет-брокеры — немедленно. Циркуляр обозначает усиление регулятивного контроля в секторе цифровых активов Гонконга, где устаревшие методы аутентификации считаются недостаточными против современных киберугроз.
SFC требует отказаться от OTP для входа клиентов и привязки устройств. Обязательства должны быть выполнены в течение 12 месяцев с даты выпуска циркуляра, а крупные интернет-брокеры — немедленно. Регулятор отмечает, что пасскейы и аутентификация с привязкой к устройству обеспечивают более устойчивую и защищенную от мошенничества проверку по сравнению с OTP.
SFC требует усиленной безопасности и ответственности руководства
Циркуляр предусматривает обязательства по обнаружению, реагированию и обучению клиентов. Платформы виртуальных активов и брокеры должны внедрить системы мониторинга, способные выявлять подозрительную активность при входе, торговле и выводе средств. Компании обязаны своевременно уведомлять клиентов о важных событиях на счетах и быстро реагировать на взломы. Ожидается постоянное информирование клиентов о новых киберугрозах и мошеннических схемах.
SFC заявил, что высшее руководство этих компаний несет окончательную ответственность за адекватность мер защиты аккаунтов. Учреждения с недостаточными внутренними мерами будут привлечены к ответственности за возможные убытки клиентов.
Регулятивные сроки: от мониторинга к обязательствам
С конца 2024 года SFC следила за рисками, связанными с OTP. В феврале 2025 года регулятор выпустил циркуляр, настоятельно рекомендуя лицензированным компаниям отказаться от OTP. Текущий циркуляр превращает рекомендацию в обязательный регулятивный срок, делая требование обязательным, а не добровольным.
FAQ
Что потребовала комиссия по ценным бумагам и фьючерсам Гонконга от криптоплатформ?
Циркуляр SFC требует заменить аутентификацию с помощью одноразовых паролей на более надежные методы, такие как пасскейы и аутентификация с привязкой к устройству.
Почему SFC запретила OTP для криптоплатформ?
Регулятор указал, что фишинг и спуфинг-атаки, составляющие 57% всех инцидентов безопасности в 2025 году, показывают, что OTP уже недостаточно защищает против современных сложных атак.
Какой срок установлен для выполнения новых требований по аутентификации?
Обязанные субъекты должны выполнить требования в течение 12 месяцев с даты выпуска циркуляра, а крупные интернет-брокеры — немедленно.