سازمان اوراق بهادار هنگ‌کنگ استانداردهای جدید امنیتی برای پلتفرم‌های رمزارزی اعلام کرد: افزایش حفاظت دارایی‌ها و اعتماد سرمایه‌گذاران

سازمان اوراق بهادار و بورس هنگ‌کنگ (SFC) با صدور دستورالعمل جدید، مقررات سختگیرانه‌تری را برای نحوه مدیریت وجوه مشتریان در پلتفرم‌های رمزارزی دارای مجوز وضع کرد. این اقدام در پی وقوع چندین شکست و هک در سطح بین‌المللی صورت گرفته است و هشدار می‌دهد که ضعف در کنترل‌های نگهداری دارایی‌ها می‌تواند منجر به ضررهای هنگفتی شود.

در بیانیه‌ای که در تاریخ ۱۵ آگوست منتشر شد، SFC استانداردهای الزامی برای اپراتورهای پلتفرم‌های معاملاتی دارایی‌های مجازی در منطقه تعیین کرده است. این مقررات شامل به‌کارگیری زیرساخت‌های cold wallet، کنترل‌های تراکنش، نظارت بر کیف‌پول‌های شخص ثالث و مانیتورینگ تهدیدهای لحظه‌ای است. هدف از این اقدامات، مقابله با روند رو به رشد هک‌ها و کلاهبرداری‌هایی است که در ماه‌های اخیر منجر به از دست رفتن میلیون‌ها دلار شده است.

سازمان نظارت بر بازارهای مالی هنگ‌کنگ (SFC) بر ضرورت بازنگری و تقویت روش‌های نگهداری دارایی‌ها توسط پلتفرم‌های تبادل رمزارز (VATPs) تأکید کرده است. این هشدار در حالی صادر شده است که در سطح بین‌المللی موارد متعددی از آسیب‌پذیری‌های در حوزه نگهداری رمزارزها گزارش شده است و بررسی‌های انجام‌شده از سوی نهاد نظارتی، با هدف ارزیابی مقاومت VATPs در برابر تهدیدات سایبری صورت گرفته است. این اقدام نشانگر توجه جدی نهادهای نظارتی به امنیت و پایداری زیرساخت‌های بازار رمزارز است و بر اهمیت رعایت استانداردهای امنیتی در عملیات نگهداری دارایی‌های دیجیتال تأکید می‌کند.

براساس بررسی‌های اخیر کمیسیون اوراق بهادار و بورس هنگ کنگ (SFC) درباره عملکرد اپراتورهای رمزارزی محلی، مشخص شد که اکثر این شرکت‌ها تنها اقداماتی پایه‌ای و بنیادی در حوزه امنیت و مدیریت دارایی‌های مشتریان اتخاذ کرده‌اند. این وضعیت با وجود خلأهای قابل توجهی که ممکن است منجر به معرض بودن دارایی‌های کاربران در برابر تهدیدهای امنیتی شود، نگرانی‌هایی را برانگیخته است.

در پی این یافته‌ها، چارچوب جدید SFC استانداردهای حداقلی را برای تمامی ارائه‌دهندگان خدمات رمزارزی (VATPs) تعیین کرده است. بر اساس این مقررات، مسئولیت‌پذیری مدیریت ارشد در شرکت‌ها اهمیت ویژه‌ای یافته است؛ به‌طوری که باید فردی تحت عنوان «مسئول یا مدیر مسئول» منصوب شود تا بر عملیات نگهداری و حفاظت از دارایی‌های دیجیتال نظارت داشته باشد و اطمینان حاصل کند که کنترل‌های داخلی، مدیریت ریسک و تطابق با قوانین به درستی اجرا می‌شود.

در حوزه زیرساخت‌های کیف‌پول‌های سرد، استفاده از سخت‌افزارهای امنیتی تایید شده (HSMs) در محیط‌های امن و تولید کلیدهای خصوصی به صورت آفلاین الزامی است. این شرکت‌ها باید فرآیندهای ارزیابی دقیق و مداوم ارائه‌دهندگان HSM را رعایت کرده، به‌روزرسانی‌های امنیتی و گواهینامه‌های مربوطه را پیگیری کنند و از استفاده از قراردادهای هوشمند عمومی در کیف‌پول‌های سرد خودداری نمایند تا سطح حملات احتمالی کاهش یابد.

در مورد عملیات کیف‌پول‌ها، باید تدابیر سختگیرانه‌ای برای جلوگیری از سرقت دارایی‌ها اتخاذ شود. تمامی برداشت‌ها باید تنها به آدرس‌های مجاز و لیست سفید (whitelisted) صورت گیرد و این فرآیند باید با چندین مرحله تأیید، تفکیک وظایف و استفاده از دستگاه‌های امضا جداگانه (air-gapped) انجام شود تا خطر دستکاری یا سوءاستفاده داخلی به حداقل برسد.

در صورت بهره‌گیری از ارائه‌دهندگان خارجی در حوزه نگهداری دارایی‌ها، این شرکت‌ها موظفند استانداردهای امنیتی و حاکمیتی مشابه با بخش داخلی را رعایت کنند. ارزیابی‌های دقیق، بررسی‌های مستقل کد، تمرین‌های بازیابی بحران و کنترل بسیار سختگیرانه بر دسترسی‌های مدیران، از جمله الزامات در این حوزه است.

همچنین، راه‌اندازی مرکز عملیات امنیتی (SOC) برای نظارت بر تهدیدات در زمان واقعی، رصد مداوم ترازنامه‌ها، دسترسی‌های غیرمجاز و تطابق با ریسک‌های نوظهور، از دیگر الزامات جدید است. تمامی کارکنان در بخش‌های مرتبط با نگهداری دارایی‌ها باید دوره‌های آموزش امنیتی متناسب با نقش خود را گذرانده و تمرین‌هایی مانند شبیه‌سازی حملات فیشینگ و جلوگیری از امضای بی‌توجهی را انجام دهند تا سطح دفاع انسانی ارتقاء یابد.

سازمان نظارت مالی هنگ‌کنگ قوانین جدید را اعلام کرد

با اجرایی شدن الزامات جدید، VATPs (صرافی‌های مجاز رمزارز) ملزم به ارزیابی و به‌روزرسانی چارچوب‌های نگهداری دارایی‌های دیجیتال خود شدند. این دستورالعمل در حالی اعمال می‌شود که هنگ‌کنگ همچنان در مسیر تبدیل شدن به یک مرکز جهانی دیجیتال پیش می‌رود.

در همین راستا، قانون مربوط به استیبل‌کوین‌ها، که اولین قانون جامع در تاریخ این حوزه در هنگ‌کنگ محسوب می‌شود، از اول آگوست به طور رسمی اجرایی شد. این قانون نظام مجوزدهی برای صادرکنندگان استیبل‌کوین‌ها را تعریف می‌کند و نشان‌دهنده عزم این منطقه برای تنظیم بازار رمزارز است.

پیش‌تر، دولت هنگ‌کنگ سیاست‌های به‌روز شده‌ای در حوزه دارایی‌های دیجیتال منتشر کرد که بر شفافیت نظارتی و ترویج پذیرش داخلی تمرکز دارد. این اقدامات نشان می‌دهد که هنگ‌کنگ در حال تثبیت جایگاه خود به عنوان یکی از مناطق پیشرو در صنعت رمزارز در آسیا است و به تلاش‌های خود برای جلب توجه بازارهای جهانی ادامه می‌دهد.

منبع: کریپتو.نیوز