Баффетт.РУ

В покупке акций через интернет нет ничего необычного, другое дело, что здесь фигурируют совершенно другие деньги — большие, в отличие, например, от покупки музыкального файла SMS-сообщением. Обращаться с большими деньгами надо осторожно

Интернет-трейдингнтернет-трейдинг, пожалуй, самая прямая дорога на фондовый рынок. Причем дорога, обильно уставленная по обочинам всевозможными указателями: «как открыть счет», «как начать торговлю», «как стать инвестором». Разделы с такими или аналогичными названиями есть на сайте любого брокера. Потенциальному клиенту обстоятельно объяснят, в красках и на примерах, как приобщиться к биржевой торговле посредством Глобальной сети. Ответу на другой ключевой вопрос — каковы риски инвестора? — внимания уделяется заметно меньше. Попробуем восполнить этот пробел и обозначить ключевые зоны уязвимости интернет-трейдинга.

Слабое звено

Риск номер один «зашит» в самом названии механизма торговли. Интернет, будучи абсолютно открытой системой, является источником угроз, но каждый участник цепочки «инвестор—брокер—биржа» решает эту проблему по-разному. Наиболее защищенными стоит признать серверы и шлюзы бирж.

Как ни парадоксально, но степенью защищенности торговые площадки во многом обязаны хакерам. Организаторы торгов изначально создают программное и аппаратное обеспечение и набирают персонал в IT-подразделения с расчетом на будущие вторжения. На ММВБ, например, не скрывают, что ежедневно происходит порядка 800 попыток взлома биржевой системы, и с каждым годом эта цифра только растет. Однако парализовать работу площадки злоумышленникам не удалось ни разу.

Брокеры, в свою очередь, заявляют, что и в их распоряжении достаточно превентивных средств борьбы с высокотехнологичными преступниками. «Атаки на торговые серверы, безусловно, возможны, но случаев успешного взлома брокерских систем в российской практике, насколько мне известно, не было», — говорит руководитель отдела торговых систем ИК «Финам» Дмитрий Анциферов.

Но если даже удачные попытки вскрытия брокерских систем имели место, а клиенты понесли убытки, то компания-брокер по понятным причинам предпочтет без лишнего шума компенсировать потери пострадавшим инвесторам. Придать дело огласке означало бы вызвать массовое бегство клиентов из-за недоверия к системе безопасности.

В любом случае стоит признать, что самым слабым звеном в механизме интернет-трейдинга остается инвестор. Причем эта слабость зачастую определяется простым нежеланием соблюдать простейшие правила безопасности. «О том, что рабочая станция существует исключительно для работы, а не для чего-то другого, многие забывают сразу после открытия счета. Трейдинг совмещается с сетевыми играми, серфингом по развлекательным сетевым ресурсам, болтовней в чатах и т. д. Вероятность кражи пароля в этом случае возрастает на порядок. Так что большую часть проблем с безопасностью клиенты организовывают себе сами. Брокер здесь ничего поделать не может, хотя мы регулярно проводим электронный ликбез. Прислушиваться к нашим советам или нет — выбор клиента», — заключает Дмитрий Анциферов.

«Система, ориентированная в конечном счете на физических лиц, не может быть сверхнадежной по определению, — считает исполнительный директор ИК “Церих кэпитал менеджмент” Александр Щеглов. — Кроме того, максимальная надежность — это всегда максимальное неудобство в пользовании. Система безопасности работает эффективно только в том случае, когда она жестко администрируется. Как, например, в силовых ведомствах: там за нарушением режима работы с секретными документами немедленно следуют санкции. Ввести такую практику для “гражданских” систем невозможно. Поэтому разработчики всегда стремятся сделать систему удобной для клиентов, простой в использовании. А значит, в той или иной степени приходится поступаться требованиями безопасности».

Подпись на миллион

Тем не менее существует вполне действенный способ борьбы с интернет-взломщиками — применение электронной цифровой подписи (ЭЦП). В отличие от обычной пары логин/пароль, которая известна и клиенту, и брокеру, в механизме ЭЦП задействованы два ассиметричных ключа. Один (публичный) доступен брокерской компании, другой (секретный) находится у клиента в виде набора файлов, записанных на диск или флеш-носитель.

Украсть секретный ключ можно только физически, если, конечно, особо продвинутый инвестор не решит скопировать его еще на пару компьютеров для удобства пользования.

При подписании документа с помощью ЭЦП требуется дополнительная программа, связывающая подпись с распоряжением или заявкой инвестора. Поскольку пара ключей является уникальной, брокер может с абсолютной точностью подтвердить авторство документа. Кроме того, документ, завизированный с помощью ЭЦП, невозможно изменить ни на йоту. Любое исправление, внесенное постфактум, ведет к искажению в подписи — она перестает быть тем самым уникальным идентификатором, а документ при возникновении споров будет признан подделкой.

На настоящий момент большинство крупных инвестиционных компаний предлагают ЭЦП либо в виде опции, либо в обязательном порядке. «ЭЦП удобна в первую очередь самим брокерам, — объясняет председатель правления ИК ITinvest Владимир Твардовский. — Представьте себе компанию, у которой несколько тысяч клиентов. Здесь уже начинает работать закон больших чисел, и среди этих тысяч всегда найдутся единицы, которые захотят каким-то образом сжульничать — отказаться от сделки или распоряжения. Цифровая подпись полностью исключает необоснованные претензии к брокеру: когда заявка или приказ снабжены ЭЦП, документ имеет ту же юридическую силу, что и бумага, подписанная клиентом собственноручно».

Взлом электронной подписи теоретически возможен, но потребует времени и огромных расходов — нескольких сотен тысяч долларов, утверждает Владимир Твардовский. Это связано с тем, что обычное программное и аппаратное обеспечение не подходит для решения криптографических задач такого уровня сложности. Придется платить за время работы на мощных вычислительных станциях, а такое оборудование — штучный товар во всем мире, аренда подобной техники обходится недешево. Какой смысл тратить сотни тысяч долларов на подделку ЭЦП, если сумма на счету владельца подписи может не окупить расходов взломщика?

Но и в том случае, когда используются традиционные логин и пароль, мошеннику, получившему доступ к счету инвестора, будет не так просто воспользоваться активами. Вывести деньги с брокерского счета можно только на тот счет, реквизиты которого указаны клиентом в бумажной анкете. То есть средства все равно останутся у клиента, а взлом потеряет «экономический» смысл. Вывести деньги на какой-то другой счет, не указанный в договоре, может только сам клиент, и для этого требуются его присутствие в офисе компании и письменное заявление. Естественно, необходимо и удостоверение личности.

Однако прямой вывод денег — не единственный механизм мошенничества. Есть и более изощренные комбинации, когда средства на взломанных счетах применяются для преднамеренного «накачивания» котировок неликвидных акций. При этом мошенник заранее приобретает те же бумаги по низкой цене и продает их на пике искусственно созданного спроса. Такой схемой (pump and dump) неоднократно пользовались пресловутые российские хакеры в США, но у нас она распространения не получила.

Объясняется это не степенью безопасности отечественных систем интернет-трейдинга, а скорее тем, что российский рынок, во-первых, на порядки меньше американского, а во-вторых — спекулятивнее. Найти в России крупный счет с низкой торговой активностью пока проблематично, а потому хакеры предпочитают «гастролировать» в США, где принцип «купил и забыл» применяется инвесторами чаще.

«Для людей консервативных, а я себя причисляю к этой категории, торговля с голоса остается хорошей альтернативой интернет-трейдингу, — считает старший специалист управления консультационного обслуживания ИГ “Ист комерц” Павел Дерябин. — Кроме отсутствия риска взлома голосовая торговля предоставляет еще одно преимущество: пока я набираю номер и общаюсь со своим брокером, у меня есть время передумать и не совершать сделку. Интернет-трейдинг нужен в основном скальперам, а если вы не торгуете ежедневно, то зачем вам торговля в режиме онлайн? При этом у меня дома стоит информационный терминал, и я могу следить за тем, как ведет себя рынок и другие игроки. Лично для меня это лучший вариант, хотя здесь все зависит от индивидуального стиля торговли».

Синдром «пролога»

Наряду с внешними угрозами существуют риски банкротства компании-брокера, а также умышленных противоправных действий со стороны персонала. Отчасти такая опасность снижается требованиями ФСФР к профучастникам: регулятор настаивает на раздельном ведении счетов брокера и клиента. На деле это малоэффективно. «В законе указано, что брокер вправе воспользоваться деньгами клиентов с их согласия, — рассказывает генеральный директор компании “Алор+” Евгений Молчанов. — В 99% случаев регламент инвестиционной компании подразумевает такое согласие, хотя решение остается за инвестором. Клиент позволяет брокеру пользоваться деньгами в обмен на предоставление такой услуги, как маржинальная торговля. Расчет здесь простой: сегодня моими деньгами или акциями кредитуется кто-то другой, а завтра у меня будет возможность торговать с плечом за счет его средств».

Отметим, что маржинальное кредитование при соответствующем уровне риск-менеджмента является вполне безопасным инструментом и применяется всеми российскими брокерами. Другое дело, что инвесткомпания может воспользоваться средствами клиентов и для другой цели. Например, для закрытия собственных финансовых дыр. Прецедент такого рода имеется. В июне 2003 года питерский брокер «Пролог» обанкротился в результате неудачной игры на понижение. Причем рыночные обязательства в течение нескольких недель компенсировались за счет клиентских средств, что и привело «Пролог» к окончательному краху — от брокера остались только долги в несколько миллионов долларов. Никто из инвесторов компенсации не получил, проблемы возникли и у компаний-контрагентов — Ямальского фондового центра и «Четвертого измерения». Последняя благополучно пережила историю с «Прологом», а ЯФЦ позднее лишился лицензии в связи с собственными махинациями.

В 2003 году эффект домино наблюдался только в миниатюре, но не так уж сложно смоделировать ситуацию применительно к настоящему моменту. Банкротство даже одного крупного игрока (допустим, разорится один из брокеров, входящих в топ-20 на ММВБ) будет стоить репутации всему рынку. Массовый вывод денег в этом случае практически гарантирован — по аналогии с набегами вкладчиков на банки в период кризиса доверия образца 2004 года.

«Во всем цивилизованном мире — что в США, что в Европе — существует система страхования брокерских рисков, в том числе риска банкротства, — рассказывает Владимир Твардовский. — В Штатах с 1970 года действует специализированная корпорация Securities Investor Protection Corporation, созданная по инициативе Конгресса. Каждый уважающий себя брокер ежемесячно платит в SIPC взносы пропорционально объему клиентских средств. Взносы небольшие, но они позволяют застраховать каждого частного инвестора на сумму до $500 тыс. На мой взгляд, в России необходима аналогичная централизованная система. Но позиция большинства брокеров выглядит так: зачем нам лишние траты, если мы не собираемся банкротиться?

Надеяться на инициативу со стороны частного бизнеса в таких вопросах не приходится, что подтверждается историей создания системы страхования банковских вкладов. Центробанку удалось реализовать эту идею не благодаря, а скорее вопреки воле подшефных кредитных организаций. По всей видимости, инициировать создание коллективной подушки безопасности для инвесторов фондового рынка могла бы ФСФР, однако на сегодняшний день таких намерений у регулятора нет.

Источник:  «D`» №4 (43)/25 февраля 2008