Риски взлома в интернет-торговле ценными бумагами: новое руководство Комиссии по ценным бумагам и фьючерсам Гонконга (SFC)

Введение

По итогам консультаций с общественностью 27 октября 2017 года Комиссия по ценным бумагам и фьючерсам Гонконга (SFC) выпустила Руководство по уменьшению рисков взлома, связанных с интернет-торговлей ценными бумагами (Руководство). Управление денежного обращения Гонконга (HKMA) также выпустило циркуляр для учреждений, зарегистрированных в Комиссии по ценным бумагам и фьючерсам Гонконга (SFC), осуществляющих регулируемую деятельность в соответствии с требованиями Руководства для повышения безопасности услуг интернет-торговли ценными бумагами.

Согласно данному Руководству, все корпорации и банковские учреждения (включая посредников), имеющие лицензию Комиссии по ценным бумагам и фьючерсам Гонконга (SFC) на ведение интернет-торговли ценными бумагами, обязаны выполнить 20 базовых требований для повышения кибербезопасности и снижения рисков взлома.

Интернет-торговля ценными бумагами определяется как соглашение, согласно которому инструкции по заказу отправляются лицензированному или зарегистрированному лицу через его торговую площадку в интернете. Данное определение используется в пункте 18.2 (f) Кодекса поведения (Кодекс поведения) для лиц, лицензированных или зарегистрированных Комиссией по ценным бумагам и фьючерсам Гонконга (SFC). Руководство также предназначено для посредников, осуществляющих регулируемые виды деятельности 1-го типа (операции с ценными бумагами), 2-го типа (операции с фьючерсными контрактами), 3-го типа (торговля иностранной валютой с привлечением заёмных средств) и 9-го типа (управление активами) в зависимости от активов, используемых в интернет-торговле ценными бумагами. Несоблюдение требований Руководства может причинить значимый ущерб организации, а также стать причиной и потери лицензии или регистрации Комиссии по ценным бумагам и фьючерсам Гонконга (SFC).

Сроки

Требование о внедрении двухфакторной аутентификации для клиентов при входе в свои учётные записи для интернет-торговли ценными бумагами вступит в силу 27 апреля 2018 года. Все остальные требования вступят в силу 27 июля 2018 года.

Защита клиентских счетов, участвующих в интернет-торговле ценными бумагами

1. Двухфакторная аутентификация

Посредники должны внедрить двухфакторную аутентификацию для клиентов при входе в свои учётные записи для интернет-торговли ценными бумагами. Двухфакторная аутентификация использует любые два из следующих факторов: (i) то, что знает клиент; (ii) то, что клиент имеет; и (iii) кто является клиентом. Выбранные факторы аутентификации должны быть сопоставимы с бизнес-моделью посредника.

2. Внедрение механизмов контроля и наблюдения

Для выявления несанкционированного доступа к учётным записям клиентов для интернет-торговли ценными бумагами потребуется эффективный механизм контроля и наблюдения.

3. Незамедлительное уведомление клиентов

Клиенты должны быть незамедлительно уведомлены (например, по электронной почте, смс или другими push-уведомлениями) после того, как в их учётных записях для интернет-торговли ценными бумагами произошли определённые действия, обязательными среди которых являются: (i) авторизация в систему; (ii) сброс пароля; (iii) заключение сделок; (iv) перевод средств на незарегистрированные счета третьих лиц; и (v) изменения информации о клиенте и его счёте.

Клиенты могут отказаться только от уведомлений о заключении сделки. Для этого посредник должен раскрыть клиенту все риски отказа от уведомлений, а клиент, в свою очередь, должен подтвердить понимание данных рисков. Уведомления клиентам должны быть отправлены по каналу, отличному от того, который используется для авторизации в систему.

4. Кодирование информации

Посредники обязаны использовать надёжный алгоритм для кодирования конфиденциальной информации, такой как идентификационные реквизиты для входа в систему (имя пользователя и пароль) и коммерческие данные в процессе передачи между внутренними сетями и клиентскими устройствами, а также для защиты паролей авторизации в систему, хранящихся в их онлайн-торговых системах.

5. Защита с помощью системы паролей

В Руководстве требуется, чтобы посредники внедрили механизм генерирования случайных паролей, а их доставка клиентам производилась через канал связи, свободный от человеческого вмешательства и вмешательства сотрудников посреднической компании. Если пароль входа в систему не генерируется случайным образом, посредники должны внедрить дополнительные меры контроля безопасности, такие как обязательное изменение пароля при первом входе после активации учётной записи.

6. Строгие политики паролей и контроль лимита времени сеанса

Для интернет-торговли ценными бумагами должна применяться строгая политика паролей и контроль лимита времени сеанса, включая: минимальную длину пароля; периодические напоминания клиентам, которые не меняли свои пароли в течение длительного периода времени; минимальная сложность пароля (то есть буквенно-цифровая) и история; надлежащий контроль за неудачными попытками входа в систему и контроль лимита времени сеанса.

Управление безопасностью инфраструктуры

7. Безопасная сетевая инфраструктура

Посредники должны внедрить безопасную сетевую инфраструктуру посредством надлежащей сегментации сети, то есть демилитаризованной зоны с многоуровневыми файерволами для защиты критических систем (таких как интернет-торговля ценными бумагами и расчётных систем) и клиентских данных от кибератак.

8. Управление доступом пользователей

Системный доступ к сети должен предоставляться пользователям по мере необходимости. Посредники должны минимум раз в год пересматривать список доступа пользователей к критическим системам (таким как интернет-торговля ценными бумагами и расчётные системы) и базам данных (например, данные клиента), для того чтобы убедиться, что доступ к этим системам остаётся ограниченным и предоставляется утверждённым лицам по мере необходимости.

9. Контроль безопасности при удалённом подключении

Удалённый доступ к внутренней сети посредников должен также предоставляться по мере необходимости, с контролем безопасности в отношении такого доступа.

10. Управление изменениями

В течение одного месяца после завершения тестирования поставщики программного обеспечения должны будут провести контроль и внести исправления к средствам защиты.

11. Защита конечных точек

Необходимо будет своевременно внедрять и обновлять антивирусные решения для обнаружения вредоносных приложений на критических системных серверах и рабочих станциях.

12. Несанкционированная установка аппаратного и программного обеспечения

Необходим контроль безопасности для предотвращения несанкционированной установки аппаратного и программного обеспечения.

13. Непосредственная защита

Необходимо разработать стратегии и процедуры защиты компонентов критической системы и предотвращения несанкционированного физического доступа к объектам, на которых размещена система интернет-торговли ценными бумагами и критические компоненты системы.

14. Резервное копирование системы и данных

Необходимо производить резервное копирование бизнес-систем, данных о клиентах и транзакциях, серверов и документации на автономные устройства, не подключенные к интернет-сети, по меньшей мере, ежедневно. Также необходимо обеспечить достаточно надежный метод для успешного восстановления к предыдущим версиям системы.

15. Разработка плана действий в чрезвычайных ситуациях кибербезопасности

План действий на случай непредвиденных обстоятельств и процедуры антикризисного управления должны охватывать различные ситуации кибератак, таких как распределённые атаки «отказ в обслуживании» (denial-of-service attack) и полная потеря коммерческих и клиентских данных (например, «ransomware» — вредоносная программа с требованием выкупа).

16. Сторонние поставщики услуг

Сторонние поставщики услуг в интернет-торговле ценными бумагами обязаны подписывать официальное соглашение об оказании услуг с определёнными обязанностями поставщика и условиями обслуживания, которые необходимо регулярно проверять. Услуги, предоставляемые аутсорсинговой компанией, должны позволить посреднику исполнять соответствующие требования параграфа 18 и приложения 7 Кодекса поведения и Руководства соответственно.

Управление и контроль кибербезопасности

17. Роли и обязанности при управлении кибербезопасностью

Должностное лицо (лица), ответственное за общее управление и контроль над системой интернет-торговли ценными бумагами, должно определить механизм управления рисками кибербезопасности, ключевые роли и обязанности. Обязанности будут включать:

1. рассмотрение и утверждение стратегий и процедур управления рисками кибербезопасности и соответсвтующего бюджета;

2. составление регулярной оценки общей структуры управления рисками кибербезопасности;

3. рассмотрение важных вопросов, вызванных инцидентами в сфере кибербезопасности;

4. рассмотрение основных результатов кибербезопасности, выявленных в ходе внутреннего и внешнего аудитов, а также подтверждение и контроль корректирующих мер;

5. мониторинг и оценка последних угроз и атак в сфере кибербезопасности;

6. рассмотрение и утверждение плана действий в чрезвычайных ситуациях, разработанного для системы интернет-торговли ценными бумагами; а также

7. где это применимо, рассмотрение и утверждение соглашения об уровне обслуживания и контракта со сторонним поставщиком услуг интернет-торговли ценными бумагами.

Эти обязанности могут быть делегированы в письменной форме назначенному комитету или оперативному подразделению, однако общую ответственность все также несёт назначенное должностное лицо.

18. Отчётность об инцидентах, связанных с кибербезопасностью

В письменных инструкциях и процедурах необходимо указать, каким образом предполагаемые или фактические инциденты в отношении кибербезопасности должны быть переданы на рассмотрение внутри компании (например, должностному лицу, отвечающему за интернет-торговлю ценными бумагами) и за её пределами (например, клиентам, Комиссии по ценным бумагам и фьючерсам Гонконга и соответствующим правоохранительным органам).

19. Информационная подготовка о кибербезопасности для пользователей внутренних систем

Надлежащая информационная подготовка о кибербезопасности должна предоставляться всем пользователям внутренней системы не реже одного раза в год, при этом информация должна соответствовать типу и уровню рисков кибербезопасности, с которыми сталкивается посредник.

20. Предупреждение нарушений кибербезопасности и напоминание клиентам

Посредники обязаны делать все возможное, чтобы напомнить клиентов о рисках кибербезопасности, рекомендовать им превентивные и защитные меры при использовании систем интернет-торговли ценными бумагами, например, клиенты должны помнить, что учётные данные для входа в систему должны быть надлежащим образом защищены и не раскрываться посторонним лицам.