
Законодательство Гонконга
Май 2020
Руководство SFC для лицензированных корпораций по управлению рисками кибербезопасности в связи с удаленной работой из-за COVID-19
Комиссия по ценным бумагам и фьючерсам (SFC) выпустила циркуляр для лицензированных корпораций по управлению рисками кибербезопасности в связи с удаленной работой[1] 29 апреля 2020 года (Циркуляр о рисках кибербезопасности SFC) с напоминанием о том, что корпорации, имеющие лицензию SFC, должны оценить свои операционные возможности и принять соответствующие меры по управлению рисками, связанными с организацией удаленной работы. Стимулом для руководства SFC стало более широкое использование дистанционной работы в условиях пандемии COVID-19.
Дистанционная работа позволяет сотрудникам получать доступ к внутренним сетям и системам лицензированных корпораций SFC за пределами офиса. Она также предусматривает проведение встреч посредством видеоконференций. Циркуляр о рисках кибербезопасности SFC содержит неисчерпывающие примеры мер контроля и процедур, которые помогают лицензированным SFC корпорациям защищать свои внутренние сети и данные.
Параграф 4.3 Кодекса поведения SFC для лиц, лицензированных или зарегистрированных SFC, требует, чтобы лицензированные корпорации имели процедуры внутреннего контроля, а также финансовые и операционные возможности, которые, как ожидается, должны защитить их деятельность и их клиентов и других лицензированных или зарегистрированных лиц от финансовых убытков в связи с кражей, мошенничеством и другими инцидентами, профессиональными проступками или упущениями. Лицензированные корпорации, таким образом, обязаны внедрять и поддерживать методы управления и процедуры, которые они считают соответствующими масштабам и степени сложности своей деятельности.
Удаленный доступ к внутренним сетям лицензированных корпораций SFC
Как правило, сотрудники получают удаленный доступ к внутренним сетям лицензированных корпораций SFC с помощью программного обеспечения виртуальной частной сети (VPN), которое обеспечивает зашифрованное соединение через Интернет, позволяя сотрудникам получать удаленный доступ к внутренним сетям, обеспечивая при этом защиту конфиденциальных данных во время передачи. Циркуляр о рисках кибербезопасности SFC отмечает недавний инцидент с обеспечением кибербезопасности, о котором сообщила лицензированная корпорация, в котором подчеркивалось, как киберпреступники могут использовать известные недостатки VPN для доступа к внутренним сетям лицензированных корпораций SFC и данным клиентов и осуществлять несанкционированные переводы средств.
Методы и процедуры контроля по снижению рисков кибербезопасности
В Циркуляре о рисках кибербезопасности SFC перечислены следующие элементы управления и процедуры как средства снижения рисков кибербезопасности удаленного доступа:
- Внедрение качественных VPN решений, обеспечивающих надежное шифрование и два или более уровня защиты данных, передаваемых между устройствами удаленного доступа и внутренними сетями лицензированных корпораций;
- Внедрение нескольких VPN-серверов для дополнительной защиты;
- Своевременный мониторинг, оценка и внедрение исправлений безопасности или исправлений, выпущенных поставщиками программного обеспечения VPN. Специалисты по IT-безопасности выразили обеспокоенность тем, что организации с недостаточно защищенным программным обеспечением VPN могут быть легко взломаны, ставя под угрозу их внутренние сети;
- Требование использования надежных паролей и двухфакторной аутентификации для входа в систему удаленного доступа сотрудниками, агентами и поставщиками услуг, особенно для доступа к привилегированным учетным записям и конфиденциальным данным;
- Не допускать предоставления постоянного доступа третьим лицам и разрешать доступ к конкретным системам только в течение заранее определенных периодов времени;
- Внедрение различных уровней удаленного доступа, таких как обеспечение того, чтобы компьютеры и мобильные устройства, предоставляемые лицензированными корпорациями, имели лучшие возможности, чем устройства, принадлежащие сотрудникам;
- Внедрение мер безопасности для предотвращения несанкционированной установки аппаратного и программного обеспечения на компьютеры и устройства, предоставляемые корпорациями, имеющими лицензию SFC; а также
- Внедрение активной сегментации сети для разделения системных серверов и баз данных на основе критичности для лучшей защиты важных и конфиденциальных данных, таких как личные данные клиентов.
Использование видеоконференцсвязи лицензированными SFC корпорациями
Время от времени сообщалось о проблемах безопасности видеоконференцсвязи. SFC предлагает, чтобы лицензированные корпорации использовали следующие методы и процедуры контроля для снижения риска нарушения безопасности и утечки важных или конфиденциальных данных:
- Проведение обзора функций безопасности платформы видеоконференцсвязи перед использованием;
- Требование к участникам зарегистрироваться для участия в видеоконференциях;
- Разрешать только авторизованным пользователям участвовать в видеоконференциях, например, путем подтверждения их адресов электронной почты или использования функций «комнаты ожидания», которые дают организатору видеоконференции возможность подтвердить участие только тех, кому разрешено участвовать;
- Проведение видеоконференций со случайным идентификатором, а не с личным идентификатором встречи;
- Рассылка приглашений участникам через программное обеспечение для видеоконференций или другие соответствующие каналы, такие как рабочие электронные письма, и при этом неразглашение приглашений на платформах социальных сетей;
- Включение функции пароля на платформах видеоконференций;
- Блокировка видеоконференций после присоединения всех участников; а также
- Обеспечение использования последней версии программного обеспечения для видеоконференций с установленными обновлениями, касающимися безопасности.
Другие меры по снижению рисков кибербезопасности при удаленной работе
SFC также рекомендует корпорациям, имеющим лицензию SFC, принять следующие меры для улучшения операционных возможностей и механизмов мониторинга удаленной работы:
- Возможности системы: оценка адекватности и улучшение существующих IT-систем, программного обеспечения (например, удаленных компьютерных устройств, пропускной способности сети и лицензий на программное обеспечение) и аппаратного обеспечения (например, ноутбуков и мобильных устройств) для поддержки организации удаленного офиса;
- Наблюдение и обработка нарушений: внедрить механизмы мониторинга и наблюдения для выявления несанкционированного доступа к внутренним сетям и системам, например, для проверки попыток несанкционированного доступа и обнаружения использования неутвержденных приложений. Создать и поддерживать эффективный механизм управления инцидентами и сообщения о них; а также
- Обучение и оповещения по кибербезопасности: обеспечить соответствующее обучение по кибербезопасности для всех пользователей внутренней системы и регулярно выпускать напоминания и оповещения для клиентов по таким вопросам, как угрозы кибербезопасности и тенденции фишинга[2] и вымогательства[3] и использование безопасные сети Wi-Fi для доступа к внутренней сети и для платформ видеоконференций.
С ростом числа рабочих мест на дому в условиях пандемии COVID-19 механизмы удаленного офиса могут стать более распространенными, и корпорации, имеющие лицензию SFC, должны оценить и пересмотреть свои средства контроля и меры кибербезопасности, чтобы убедиться, что они соответствуют применимым законам и правилам.
SFC приглашает лицензированные корпорации обращаться к своим контактным лицам, если у них есть какие-либо вопросы по тому, что содержится в циркуляре.
[1] SFC. 29 April 2020. Circular to licensed corporations on the management of cybersecurity risks associated with remote office arrangements. Available at https://www.sfc.hk/edistributionWeb/gateway/EN/circular/intermediaries/supervision/doc?refNo=20EC37
[2] Фишинг происходит, когда хакеры пытаются обмануть пользователей, заставляя их совершать «неправильные поступки», такие как переход по плохой ссылке, которая приведет к загрузке вредоносных программ, или перенаправление их на фальшивый веб-сайт.
[3] Тип вредоносного ПО, которое шифрует файлы, что делает их недоступными и требует выкуп за их расшифровку.
Charltons
Лучшая юридическая бутик-компания
по сопровождению сделок 2017 года
по версии Asian Legal Business Awards
Данная новостная рассылка предоставляется исключительно в информационных целях.
Содержание данной статьи не является юридической консультацией и не может рассматриваться в качестве подробной рекомендации.
Передача или получение этой информации не подразумевают и не являются фактом установления законных взаимоотношений между Charltons и пользователем либо наблюдателем.
Charltons не несет ответственности за какие-либо информационные материалы третьей стороны, доступ к которым может быть получен через сайт.
Если Вы не желаете получать новостную рассылку, пожалуйста, сообщите об этом по электронной почте:
unsubscribe@charltonslaw.com
Charltons
Dominion Centre,12th Floor
43-59 Queen’s Road East Hong Kong
Тел: + (852) 2905 7888
Факс + (852) 2854 9596
www.charltonslaw.ru