Риски взлома в интернет-торговле ценными бумагами: новое руководство Комиссии по ценным бумагам и фьючерсам Гонконга (SFC)
Введение
По итогам консультаций с общественностью 27 октября 2017 года Комиссия по ценным бумагам и фьючерсам Гонконга (SFC) выпустила Руководство по уменьшению рисков взлома, связанных с интернет-торговлей ценными бумагами (Руководство). Управление денежного обращения Гонконга (HKMA) также выпустило циркуляр для учреждений, зарегистрированных в Комиссии по ценным бумагам и фьючерсам Гонконга (SFC), осуществляющих регулируемую деятельность в соответствии с требованиями Руководства для повышения безопасности услуг интернет-торговли ценными бумагами.
Согласно данному Руководству, все корпорации и банковские учреждения (включая посредников), имеющие лицензию Комиссии по ценным бумагам и фьючерсам Гонконга (SFC) на ведение интернет-торговли ценными бумагами, обязаны выполнить 20 базовых требований для повышения кибербезопасности и снижения рисков взлома.
Интернет-торговля ценными бумагами определяется как соглашение, согласно которому инструкции по заказу отправляются лицензированному или зарегистрированному лицу через его торговую площадку в интернете. Данное определение используется в пункте 18.2 (f) Кодекса поведения (Кодекс поведения) для лиц, лицензированных или зарегистрированных Комиссией по ценным бумагам и фьючерсам Гонконга (SFC). Руководство также предназначено для посредников, осуществляющих регулируемые виды деятельности 1-го типа (операции с ценными бумагами), 2-го типа (операции с фьючерсными контрактами), 3-го типа (торговля иностранной валютой с привлечением заёмных средств) и 9-го типа (управление активами) в зависимости от активов, используемых в интернет-торговле ценными бумагами. Несоблюдение требований Руководства может причинить значимый ущерб организации, а также стать причиной и потери лицензии или регистрации Комиссии по ценным бумагам и фьючерсам Гонконга (SFC).
Сроки
Требование о внедрении двухфакторной аутентификации для клиентов при входе в свои учётные записи для интернет-торговли ценными бумагами вступит в силу 27 апреля 2018 года. Все остальные требования вступят в силу 27 июля 2018 года.
Защита клиентских счетов, участвующих в интернет-торговле ценными бумагами
1. Двухфакторная аутентификация
Посредники должны внедрить двухфакторную аутентификацию для клиентов при входе в свои учётные записи для интернет-торговли ценными бумагами. Двухфакторная аутентификация использует любые два из следующих факторов: (i) то, что знает клиент; (ii) то, что клиент имеет; и (iii) кто является клиентом. Выбранные факторы аутентификации должны быть сопоставимы с бизнес-моделью посредника.
2. Внедрение механизмов контроля и наблюдения
Для выявления несанкционированного доступа к учётным записям клиентов для интернет-торговли ценными бумагами потребуется эффективный механизм контроля и наблюдения.
3. Незамедлительное уведомление клиентов
Клиенты должны быть незамедлительно уведомлены (например, по электронной почте, смс или другими push-уведомлениями) после того, как в их учётных записях для интернет-торговли ценными бумагами произошли определённые действия, обязательными среди которых являются: (i) авторизация в систему; (ii) сброс пароля; (iii) заключение сделок; (iv) перевод средств на незарегистрированные счета третьих лиц; и (v) изменения информации о клиенте и его счёте.
Клиенты могут отказаться только от уведомлений о заключении сделки. Для этого посредник должен раскрыть клиенту все риски отказа от уведомлений, а клиент, в свою очередь, должен подтвердить понимание данных рисков. Уведомления клиентам должны быть отправлены по каналу, отличному от того, который используется для авторизации в систему.
4. Кодирование информации
Посредники обязаны использовать надёжный алгоритм для кодирования конфиденциальной информации, такой как идентификационные реквизиты для входа в систему (имя пользователя и пароль) и коммерческие данные в процессе передачи между внутренними сетями и клиентскими устройствами, а также для защиты паролей авторизации в систему, хранящихся в их онлайн-торговых системах.
5. Защита с помощью системы паролей
В Руководстве требуется, чтобы посредники внедрили механизм генерирования случайных паролей, а их доставка клиентам производилась через канал связи, свободный от человеческого вмешательства и вмешательства сотрудников посреднической компании. Если пароль входа в систему не генерируется случайным образом, посредники должны внедрить дополнительные меры контроля безопасности, такие как обязательное изменение пароля при первом входе после активации учётной записи.
6. Строгие политики паролей и контроль лимита времени сеанса
Для интернет-торговли ценными бумагами должна применяться строгая политика паролей и контроль лимита времени сеанса, включая: минимальную длину пароля; периодические напоминания клиентам, которые не меняли свои пароли в течение длительного периода времени; минимальная сложность пароля (то есть буквенно-цифровая) и история; надлежащий контроль за неудачными попытками входа в систему и контроль лимита времени сеанса.
Управление безопасностью инфраструктуры
7. Безопасная сетевая инфраструктура
Посредники должны внедрить безопасную сетевую инфраструктуру посредством надлежащей сегментации сети, то есть демилитаризованной зоны с многоуровневыми файерволами для защиты критических систем (таких как интернет-торговля ценными бумагами и расчётных систем) и клиентских данных от кибератак.
8. Управление доступом пользователей
Системный доступ к сети должен предоставляться пользователям по мере необходимости. Посредники должны минимум раз в год пересматривать список доступа пользователей к критическим системам (таким как интернет-торговля ценными бумагами и расчётные системы) и базам данных (например, данные клиента), для того чтобы убедиться, что доступ к этим системам остаётся ограниченным и предоставляется утверждённым лицам по мере необходимости.
9. Контроль безопасности при удалённом подключении
Удалённый доступ к внутренней сети посредников должен также предоставляться по мере необходимости, с контролем безопасности в отношении такого доступа.
10. Управление изменениями
В течение одного месяца после завершения тестирования поставщики программного обеспечения должны будут провести контроль и внести исправления к средствам защиты.
11. Защита конечных точек
Необходимо будет своевременно внедрять и обновлять антивирусные решения для обнаружения вредоносных приложений на критических системных серверах и рабочих станциях.
12. Несанкционированная установка аппаратного и программного обеспечения
Необходим контроль безопасности для предотвращения несанкционированной установки аппаратного и программного обеспечения.
13. Непосредственная защита
Необходимо разработать стратегии и процедуры защиты компонентов критической системы и предотвращения несанкционированного физического доступа к объектам, на которых размещена система интернет-торговли ценными бумагами и критические компоненты системы.
14. Резервное копирование системы и данных
Необходимо производить резервное копирование бизнес-систем, данных о клиентах и транзакциях, серверов и документации на автономные устройства, не подключенные к интернет-сети, по меньшей мере, ежедневно. Также необходимо обеспечить достаточно надежный метод для успешного восстановления к предыдущим версиям системы.
15. Разработка плана действий в чрезвычайных ситуациях кибербезопасности
План действий на случай непредвиденных обстоятельств и процедуры антикризисного управления должны охватывать различные ситуации кибератак, таких как распределённые атаки «отказ в обслуживании» (denial-of-service attack) и полная потеря коммерческих и клиентских данных (например, «ransomware» — вредоносная программа с требованием выкупа).
16. Сторонние поставщики услуг
Сторонние поставщики услуг в интернет-торговле ценными бумагами обязаны подписывать официальное соглашение об оказании услуг с определёнными обязанностями поставщика и условиями обслуживания, которые необходимо регулярно проверять. Услуги, предоставляемые аутсорсинговой компанией, должны позволить посреднику исполнять соответствующие требования параграфа 18 и приложения 7 Кодекса поведения и Руководства соответственно.
Управление и контроль кибербезопасности
17. Роли и обязанности при управлении кибербезопасностью
Должностное лицо (лица), ответственное за общее управление и контроль над системой интернет-торговли ценными бумагами, должно определить механизм управления рисками кибербезопасности, ключевые роли и обязанности. Обязанности будут включать:
-
рассмотрение и утверждение стратегий и процедур управления рисками кибербезопасности и соответсвтующего бюджета;
-
составление регулярной оценки общей структуры управления рисками кибербезопасности;
-
рассмотрение важных вопросов, вызванных инцидентами в сфере кибербезопасности;
-
рассмотрение основных результатов кибербезопасности, выявленных в ходе внутреннего и внешнего аудитов, а также подтверждение и контроль корректирующих мер;
-
мониторинг и оценка последних угроз и атак в сфере кибербезопасности;
-
рассмотрение и утверждение плана действий в чрезвычайных ситуациях, разработанного для системы интернет-торговли ценными бумагами; а также
-
где это применимо, рассмотрение и утверждение соглашения об уровне обслуживания и контракта со сторонним поставщиком услуг интернет-торговли ценными бумагами.
Эти обязанности могут быть делегированы в письменной форме назначенному комитету или оперативному подразделению, однако общую ответственность все также несёт назначенное должностное лицо.
18. Отчётность об инцидентах, связанных с кибербезопасностью
В письменных инструкциях и процедурах необходимо указать, каким образом предполагаемые или фактические инциденты в отношении кибербезопасности должны быть переданы на рассмотрение внутри компании (например, должностному лицу, отвечающему за интернет-торговлю ценными бумагами) и за её пределами (например, клиентам, Комиссии по ценным бумагам и фьючерсам Гонконга и соответствующим правоохранительным органам).
19. Информационная подготовка о кибербезопасности для пользователей внутренних систем
Надлежащая информационная подготовка о кибербезопасности должна предоставляться всем пользователям внутренней системы не реже одного раза в год, при этом информация должна соответствовать типу и уровню рисков кибербезопасности, с которыми сталкивается посредник.
20. Предупреждение нарушений кибербезопасности и напоминание клиентам
Посредники обязаны делать все возможное, чтобы напомнить клиентов о рисках кибербезопасности, рекомендовать им превентивные и защитные меры при использовании систем интернет-торговли ценными бумагами, например, клиенты должны помнить, что учётные данные для входа в систему должны быть надлежащим образом защищены и не раскрываться посторонним лицам.