Обновление требований к MFA в системе управления рисками Центрального банка Малайзии

1. Введение#

Bank Negara Malaysia (BNM) выпустил обновленную политику Risk Management in Technology (RMiT) в ноябре 2025 года, заменив версию от июня 2023 года. Хотя обновление охватывает широкий спектр областей технологических рисков, наиболее значимые изменения касаются аутентификации, привязки устройств, многофакторной аутентификации (MFA) и предотвращения мошенничества. Это малайзийское регулирование банкинга для финансовых учреждений больше не является передовой практикой или руководством, а стало обязательным стандартом.

С 2023 года BNM постепенно отучает учреждения от использования SMS OTP. Причина была проста: мошенники создали инструменты для перехвата кодов аутентификации по SMS до того, как клиенты могли их увидеть, а атаки с подменой SIM-карт позволяли преступникам перенаправлять коды на подконтрольные им устройства. К 2024 году банки Малайзии совместно заблокировали мошеннические транзакции на сумму более 383 миллионов малайзийских ринггитов (более 100 млн долларов США) согласно их годовому отчету. Обновление от ноября 2025 года закрепляет этот прогресс и превращает его в обязательное нормативное требование.

В этой статье анализируются ключевые изменения в области аутентификации и MFA в обновленной политике RMiT, объясняется нормативный контекст и показывается, какое место занимают ключи доступа и устойчивая к фишингу аутентификация в картине соответствия требованиям. Мы отвечаем на следующие вопросы:

1. Что такое политика RMiT и к кому она применяется?

2. Как выглядела ситуация с аутентификацией до ноября 2025 года?

3. Каковы наиболее важные изменения в требованиях к аутентификации и MFA?

4. Как ключи доступа помогают финансовым учреждениям соблюдать обновленную политику RMiT?

2. Что такое политика управления рисками в области технологий (RMiT) Bank Negara Malaysia (BNM)?#

Политика RMiT — это центральная нормативная база BNM, регулирующая то, как регулируемые финансовые учреждения управляют технологическими рисками. Соответствие требованиям BNM RMiT устанавливает правила для управления ИТ, кибербезопасности, цифровых услуг, использования облака и контроля аутентификации с целью сохранения доступности, отказоустойчивости и надежности финансовых услуг по мере развития цифровых каналов и уровней угроз.

Политика также рассматривает использование облака как форму аутсорсинга, требуя от учреждений сохранять надлежащее право собственности и контроль над данными клиентов и криптографическими ключами. На практике RMiT — это базовый уровень соответствия, на котором каждое регулируемое финансовое учреждение в Малайзии должно выстраивать свою систему управления технологическими рисками.

3. Кто должен соблюдать политику RMiT?#

Требования RMiT распространяются на все финансовые учреждения, регулируемые BNM. Сфера применения широка и охватывает не только традиционные банки, но и страховщиков, эмитентов электронных денег, операторов платежных систем и учреждения, осуществляющие денежные переводы. В следующей таблице обобщены основные категории:

Говоря практическим языком: если ваша организация имеет лицензию, регистрацию или разрешение BNM на деятельность в финансовом секторе Малайзии, RMiT распространяется на вас.

4. Как выглядели требования к аутентификации от BNM до ноября 2025 года?#

До обновления в ноябре 2025 года RMiT уже содержал значимые требования к аутентификации, но многие из них находились на уровне рекомендаций, а не обязательных стандартов. Понимание базового уровня помогает прояснить, насколько много изменилось.

4.1 Средства контроля MFA#

• MFA требовалась для транзакций с высоким уровнем риска, в частности для открытых переводов средств третьим лицам и платежных транзакций.

• Особое внимание уделялось транзакциям на сумму свыше 10 000 малайзийских ринггитов, хотя в версии 2023 года началось продвижение MFA для всех цифровых транзакций.

• В версии 2023 года прямо поощрялся переход к аутентификации, «устойчивой к перехвату или манипулированию», что сигнализировало о начале конца для OTP на основе SMS.

• В 2023 году статус MFA был повышен с «Руководства» (передовая практика) до «Стандарта» (обязательное требование).

4.2 Средства контроля аутентификации и управление доступом#

• Учреждения должны были применять принцип наименьших привилегий и пересматривать матрицы доступа не реже одного раза в год.

• Для привилегированных учетных записей требовался более строгий контроль, включая обязательную MFA независимо от того, был ли доступ внутренним или внешним.

• Удаленный доступ к внутренним сетям (например, через VPN) требовал MFA в качестве безоговорочного стандарта.

4.3 Средства контроля цифровых сервисов#

Приложение 11 к RMiT 2023 года было ключевым справочным материалом по безопасности цифрового банкинга. В нем содержались требования к подписи транзакций (привязка MFA к деталям транзакции, таким как получатель и сумма), привязке устройств (привязка цифровой личности пользователя к доверенному устройству) и общим мерам противодействия мошенничеству.

5. Каковы наиболее важные изменения в политике BNM RMiT?#

Обновление от ноября 2025 года консолидирует и усиливает несколько более ранних циркуляров и спецификаций, включая спецификации мер противодействия мошенничеству 2022 и 2024 годов. Результатом является единая всеобъемлющая политика с более четкими, обязательными требованиями к тому, как учреждения аутентифицируют пользователей и защищают цифровые сервисы. Выделяются пять областей, имеющих наибольшее значение.

5.1 Одно устройство на пользователя по умолчанию#

"обеспечить безопасные процессы привязки и отвязки для ограничения аутентификации транзакций цифровых услуг по умолчанию одним мобильным устройством или защищенным устройством на держателя счета"

— RMiT Приложение 3, пункт 3(a)

Это прямой ответ на мошенничество с подменой SIM-карт и атаки с перехватом учетных записей, когда мошенники регистрируют новое устройство на существующую учетную запись и опустошают ее, в то время как законное устройство остается активным. Формулировка «по умолчанию» важна: клиенты могут использовать несколько устройств, но они должны в явной форме запросить это и принять связанные с этим риски. Учреждение не может сделать использование нескольких устройств вариантом по умолчанию.

На практике это означает, что процессы подключения и аутентификации должны отслеживать регистрацию устройств, обеспечивать единую привязку по умолчанию и поддерживать четкий проверяемый процесс для исключений, запрашиваемых клиентами.

5.2 Надежная проверка при изменении номера телефона#

"регистрация нового номера мобильного телефона или замена существующего номера мобильного телефона обрабатывается только после применения надежных методов проверки для подтверждения подлинности клиента"

— RMiT Приложение 3, пункт 3(c)

Многие учреждения до сих пор обрабатывают изменения номеров телефонов, используя лишь OTP, отправленный на текущий номер. Этот подход не работает, если номер уже скомпрометирован или SIM-карта заменена. «Надежная проверка» в формулировке BNM означает методы, которые выходят за рамки изменяемого канала: повторная проверка личности, усиленная аутентификация с использованием биометрии или подтверждение в отделении для изменений с высоким уровнем риска.

5.3 Периоды охлаждения и лимиты транзакций для новых устройств#

"применять соответствующую проверку и период охлаждения для первичной регистрации цифровых услуг или защищенного устройства, а также для нескольких последовательных транзакций большого объема или других аномальных шаблонов транзакций"

— RMiT Приложение 3, пункт 3(e)

Вновь зарегистрированное устройство не должно сразу получать полные возможности транзакций. Учреждениям необходимо внедрить временные ограничения и контроль скорости, которые постепенно снимаются по мере того, как устройство и поведение пользователя формируют историю доверия. Если хакер получает доступ, он обычно пытается увеличить дневной лимит переводов и немедленно перевести деньги. Период охлаждения дает законному владельцу и команде банка по борьбе с мошенничеством окно для обнаружения и остановки сеанса.

В сочетании со стандартами обнаружения мошенничества, которые требуют профилирования поведения в реальном времени и оценки рисков, это создает четкое ожидание: уровень аутентификации должен учитывать контекст, а не только учетные данные.

5.4 MFA, которая безопаснее нешифрованных SMS#

Это наиболее значимое требование к аутентификации в обновлении. Оно основано на многолетних рекомендациях BNM и превращает их в обязательный стандарт:

"внедрение технологий и каналов MFA, которые более безопасны, чем нешифрованные SMS... решение MFA устойчиво к перехвату или манипулированию любой третьей стороной на протяжении всего процесса аутентификации"

— RMiT Приложение 3, пункты 5 и 6

Политика идет дальше, вводя привязку транзакций (transaction binding):

"код аутентификации должен быть инициирован и сгенерирован локально плательщиком/отправителем с использованием MFA... код аутентификации, сгенерированный плательщиком/отправителем, должен быть специфичен для подтвержденного идентифицированного бенефициара и суммы"

— RMiT Приложение 3, пункты 6(c) и 6(d)

Привязка транзакции означает, что код аутентификации должен быть привязан к конкретным деталям транзакции (получателю и сумме), а не только к сеансу или входу в систему. Это напрямую решает проблему атак с «перенаправлением OTP», когда мошенники манипулируют транзакцией после того, как пользователь уже прошел аутентификацию. OTP, сгенерированный для платежа на сумму 500 ринггитов на счет А, не может быть повторно использован для платежа на сумму 50 000 ринггитов на счет Б.

Для учреждений, все еще полагающихся на SMS OTP в качестве основного второго фактора, это самый четкий сигнал о том, что путь миграции не является необязательным. В таблице ниже приведен обзор того, какие методы MFA соответствуют новым требованиям:

5.5 Ключи доступа и аутентификация на основе криптографических ключей для BNM RMiT#

BNM также в явном виде требует от учреждений предлагать беспарольные альтернативы:

"предлагать своим клиентам надежную аутентификацию на основе криптографических ключей, такую как цифровой сертификат или беспарольную аутентификацию, в качестве альтернативы существующему методу аутентификации на основе пароля"

— RMiT Приложение 3, пункт 9

Это четкая директива по переходу на ключи доступа, аппаратную аутентификацию или методы на основе сертификатов. В отличие от модернизации MFA, которая фокусируется на замене SMS OTP, это требование нацелено на сам пароль. Два требования работают в тандеме: учреждениям необходимо отказаться от SMS в качестве второго фактора и предложить альтернативу паролю в качестве первого фактора.

Ключи доступа подходят здесь лучше всего. Одни учетные данные в виде ключа доступа одновременно удовлетворяют обоим требованиям. Это метод аутентификации на основе криптографического ключа (пункт 9), он более безопасен, чем нешифрованные SMS (пункты 5-6), и поскольку ключи доступа привязывают аутентификацию к конкретному источнику (веб-сайту или приложению), они также поддерживают саму идею привязки транзакций.

6. Резюме: до и после обновления в ноябре 2025 года#

7. Региональный контекст: Малайзия не одинока#

Обновленный RMiT Малайзии вписывается в более широкую региональную тенденцию. В Азиатско-Тихоокеанском регионе финансовые регуляторы сходятся к одному и тому же набору требований: учетные данные с привязкой к устройству, устойчивая к фишингу MFA, а также отказ от паролей и SMS OTP.

• Сингапур (MAS): Денежно-кредитное управление Сингапура давно требует привязки устройств и подписи транзакций для цифрового банкинга и постепенно ужесточает свои руководящие принципы управления технологическими рисками (TRM) в направлении, тесно отражающем подход BNM.

• Индия (RBI): Резервный банк Индии настаивает на дополнительных факторах аутентификации и авторизации конкретных транзакций, в частности для транзакций без физического присутствия карты и транзакций UPI.

• Гонконг (HKMA): Руководящие принципы электронного банкинга Валютного управления Гонконга требуют строгой аутентификации клиентов и контроля регистрации устройств для операций с высоким риском.

• Вьетнам (Государственный банк Вьетнама): Циркуляр 45/2025 требует от банков проверять биометрические данные клиентов по национальному удостоверению личности (Citizen ID) с чипом или национальной базе данных для определенных транзакций с высокой стоимостью, вводя этап централизованной проверки.

Архитектура, необходимая для соответствия RMiT, включая криптографическую привязку устройств, ключи доступа и аутентификацию на уровне транзакций — это то, к чему движется весь регион. Учреждения, которые инвестируют в эту архитектуру сейчас, готовятся к региональному регуляторному сближению, а не только к единой национальной политике.

8. Как Corbado помогает финансовым учреждениям соответствовать обновленному RMiT#

Платформа Corbado создана для решения проблем аутентификации, на которые направлен обновленный RMiT. Вот как ключевые требования соотносятся с возможностями Corbado:

• Устойчивая к фишингу MFA и беспарольная аутентификация: реализация ключей доступа Corbado обеспечивает прямой путь к соответствию требованиям BNM к MFA, которая более безопасна, чем нешифрованные SMS (пункты 5-6), и к аутентификации на основе криптографических ключей в качестве альтернативы паролям (пункт 9). Одни учетные данные в виде ключа доступа решают обе задачи одновременно.

• Привязка устройств: Corbado поддерживает ключи доступа и криптографические учетные данные, привязанные к конкретному устройству. Процессы регистрации могут обеспечивать соблюдение правила «одно устройство на пользователя» по умолчанию с четкими механизмами для исключений, запрашиваемых клиентами, с полным контрольным журналом.

• Готовность к аудиту и соответствие требованиям: возможности Corbado по телеметрии, регистрации событий и отчетности позволяют легко продемонстрировать, что средства контроля аутентификации не только спроектированы, но и эффективно работают. Corbado работает в рамках СУИБ, сертифицированной по стандарту ISO 27001, и имеет аттестацию SOC 2 Type II, что приводит ее собственную систему безопасности в соответствие с ожиданиями, возлагаемыми на финансовые учреждения Малайзии.

9. Заключение#

Обновление RMiT от ноября 2025 года превращает многолетние рекомендации BNM по безопасности аутентификации в обязательное нормативное требование. SMS OTP больше не соответствует требованиям в качестве автономного второго фактора. Привязка устройств обязательна по умолчанию. Аутентификация транзакций должна быть привязана к конкретным деталям платежа. А учреждения должны предлагать криптографические альтернативы паролям.

Для учреждений, которые уже начали миграцию от SMS к методам, устойчивым к фишингу, обновление закрепляет то, что они уже делали. Для тех, кто этого не сделал, разрыв между текущей практикой и новым стандартом значителен, а сроки соблюдения требований теперь четко определены.

Ключи доступа (passkeys) — самый прямой путь к соответствию обновленным требованиям. Одни учетные данные в виде ключа доступа удовлетворяют требованиям к модернизации MFA, беспарольной альтернативе и привязке устройств в рамках одной реализации. В сочетании с усиленной аутентификацией (step-up authentication) для конфиденциальных операций и логикой периода охлаждения для новых регистраций, это дает учреждениям целостную архитектуру, а не лоскутное одеяло из точечных решений.

Мы также смогли ответить на самые важные вопросы, касающиеся этой темы:

• Что такое политика RMiT и к кому она применяется? RMiT — это центральная система управления технологическими рисками BNM, применимая ко всем регулируемым финансовым учреждениям в Малайзии, включая банки, страховщиков, эмитентов электронных денег, операторов платежных систем и поставщиков услуг по переводу средств.

• Как выглядела ситуация с аутентификацией до ноября 2025 года? MFA уже была обязательной для транзакций с высоким уровнем риска и привилегированного доступа, но SMS OTP по-прежнему допускался, настройки для нескольких устройств слабо регулировались, а беспарольная альтернатива еще не требовалась.

• Каковы наиболее важные изменения в аутентификации и MFA? Выделяются пять изменений: одно устройство на пользователя по умолчанию, надежная проверка при смене номера телефона, обязательные периоды охлаждения для новых устройств, MFA, которая безопаснее SMS, с привязкой транзакций, а также требование предлагать ключи доступа или аутентификацию на основе криптографических ключей.

• Как ключи доступа помогают финансовым учреждениям соблюдать требования? Ключи доступа удовлетворяют требованиям к модернизации MFA, беспарольной альтернативе и привязке устройств в единой реализации, при этом будучи устойчивыми к фишингу, подмене SIM-карт и атакам с перехватом OTP.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Что означает «привязка транзакций» (transaction binding) в контексте соответствия BNM RMiT?#

Привязка транзакций требует, чтобы каждый код аутентификации генерировался плательщиком локально и был математически привязан к конкретному счету бенефициара и разрешаемой сумме платежа. Это предотвращает атаки с перенаправлением OTP, когда мошенник манипулирует деталями транзакции после того, как пользователь уже прошел аутентификацию. Код, сгенерированный для платежа на один счет, не может быть повторно использован для авторизации другого платежа или суммы.

Почему обновление RMiT 2025 года требует периода охлаждения после того, как клиент регистрирует новое устройство?#

Период охлаждения не позволяет мошенникам, получившим доступ к учетной записи, немедленно переводить средства через вновь зарегистрированное устройство. BNM требует от учреждений применять лимиты транзакций и временные ограничения на этапе начального формирования доверия к вновь зарегистрированным устройствам. Это дает как законному владельцу счета, так и группе учреждения по борьбе с мошенничеством окно для обнаружения, прежде чем будут разблокированы полные возможности транзакций.

Как обновленный RMiT Малайзии соотносится с правилами аутентификации в других странах Азии?#

RMiT 2025 Малайзии соответствует региональной тенденции Азиатско-Тихоокеанского региона, где MAS (Сингапур), RBI (Индия), HKMA (Гонконг) и Государственный банк Вьетнама сходятся во мнении относительно учетных данных с привязкой к устройству, устойчивой к фишингу MFA и отказа от SMS OTP. Циркуляр Вьетнама 45/2025 прямо требует биометрической проверки по национальным документам, удостоверяющим личность, с чипом для транзакций на крупные суммы. Учреждения, инвестирующие в архитектуру, совместимую с RMiT, таким образом, готовятся к региональному нормативному сближению, а не только к единому национальному требованию.

Какую проверку теперь требует BNM RMiT, когда клиент меняет свой зарегистрированный номер мобильного телефона?#

Обновленный RMiT требует надежной проверки перед обработкой любого изменения номера телефона, выходя за рамки простой отправки OTP на текущий номер. Приемлемые подходы включают повторную проверку личности, усиленную биометрическую аутентификацию или подтверждение в отделении, гарантируя, что канал проверки не зависит от заменяемого. Это напрямую противодействует атакам с подменой SIM-карт, при которых мошенник, уже контролирующий номер телефона, мог бы в противном случае самостоятельно авторизовать изменение.