Законодательное регулирование и практика применения норм о защите инсайдерской информации от неправомерного использования: технические меры защиты

Рынок ценных бумаг

Автор:
Источник: Журнал “Акционерное общество: вопросы корпоративного управления” №6-2015
Опубликовано: 1 июля 2015

Выход компании на IPO и обретение публичного стату­са — это не только укрепление ее репутации на рынках капитала, получение стратегической гибкости в реа­лизации долгосрочных планов роста и развития, но и огромная ответственность эмитента, в том числе в об­ласти защиты инсайдерской информации.

Инсайдерской является любая существенная ин­формация о деятельности компании, которая:

  1. имеет непосредственное отношение к компании, ее ценным бумагам (акциям, депозитарным распис­кам), сделкам с ценными бумагами, перспективам бизнеса;
  2. носит конкретный и точный характер;
  3. не является общедоступной;
  4. в случае опубликования, скорее всего, окажет зна­чительное влияние на курс или стоимость любых ценных бумаг компании.

Закон обязывает эмитентов осуществлять строгий контроль за оборотом особо важной информации о ключевых событиях компании, способной вызвать заметную реакцию инвесторов и существенно по­влиять на рыночную ситуацию.

В законодательстве разных стран можно найти мно­жество запретов и жестких требований вокруг поня­тия «инсайд». В чем причина пристального внима­ния регуляторов к соблюдению норм об инсайде?

Ответ прост.

В основе эффективно функционирующего фондово­го рынка лежит информационная прозрачность, яв­ляющаяся залогом инвестиционной привлекательно­сти. Сделки с использованием инсайдерской инфор­мации наряду с манипулированием и другими видами незаконной торговой практики на финансовых рынках ведут к подрыву финансовой стабильности. Следовательно, жесткий законодательный кон­троль призван обеспечить эту стабильность, упорядоченность работы фондового рынка, а также защитить инвесторов, гарантировав рав­ный доступ к одной и той же актуальной инфор­мации о компаниях-эмитентах. Если законода­тель и регулятор не смогут должным образом справиться с поставленной задачей, то насту­пит локальный инвестиционно-финансовый коллапс. Ни один инвестор не принесет свои сбережения на фондовый рынок, где инсайде­ры «приторговывают» конфиденциальной информацией, извлекая сверхприбыли на разни­це текущих и перспективных цен на финансо­вые инструменты, ущемляя тем самым других участников рынка.

В настоящий момент во всех развитых стра­нах мира законодательно установлены и успешно действуют строгие нормы борьбы с «инсайд-трейдингом» (термин, образован­ный от английских слов «inside» — внутренний и «trade» — торговля, специфический способ торговли какими-либо активами на основе конфиденциальной информации).

Флагманом борьбы с незаконным использо­ванием инсайдерской информации с целью извлечения прибыли при совершении сделок финансовыми инструментами были Соеди­ненные Штаты Америки, где совершение ука­занных сделок преследовалось по закону уже в начале прошлого века. В соответствии с за­конодательством США, обладатель конкрет­ного не общедоступного знания, способно­го определить будущую динамику курса цен­ных бумаг, не имеет права зарабатывать на этом знании или передавать его третьим ли­цам. Директоров и высший менеджмент закон рассматривает в качестве доверенных лиц акционеров: любая деятельность с использова­нием информации, ставшей известной в си­лу служебного положения, рассматривается как подрыв доверия держателей акций. Санк­ции за нарушение закона жесткие — штрафы, в несколько раз превышающие размеры неза­конной прибыли, допускается лишение сво­боды на срок до 10 лет.

Законодательство Великобритании в обла­сти инсайда не уступает законодательству США, даже беглый взгляд на нормы и санкции позволяет сделать вывод о его достаточной жесткости. Правоприменительная практи­ка изобилует примерами взыскания крупных сумм штрафов (от £100 тыс. до £7,2 млн. для физических лиц: David Einhorn— Greenlight Capital, RameshKumar Goenka—Dubai-based investor, Simon Eagle— SP Bell, Michiel Visser —Mercurius Capital Management Ltd.) и осуждения виновных на длительные сроки лише­ния свободы (до 10 лет при замене крупного штрафа лишением свободы).

Британский регулятор —Financial Conduct Authority (FCA), инспекция по контролю за де­ятельностью финансовых организаций — яв­ляется независимой структурой, распола­гающей широким спектром возможностей законотворчества, проведения расследова­ний и достаточными полномочиями в обла­сти поддержания эффективности, порядка и прозрачности на финансовых рынках.FCA в своей работе использует безотказную такти­ку «эффективного устрашения», которая слу­жит серьезным предупреждением тем, кто намеревается нарушить установленные пра­вила: пресса пестрит громкими разоблачи­тельными статьями по материалам судебных разбирательств инсайдерских «кейсов», инициированных FCA и завершившихся назначе­нием незадачливым дельцам финансового мира многомиллионных штрафов, развороты уважаемых деловых изданий украшают пе­чальные лица инсайдеров, получивших дли­тельные сроки лишения свободы.

Российский законодатель также хоть и мед­ленно, но верно идет по пути ужесточения от­ветственности за неправомерное использо­вание инсайдерской информации. В 2010 был принят Федеральный закон «О про­тиводействии неправомерному использова­нию инсайдерской информации и манипули­рованию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» (далее также — Закон, Закон об инсайде). Законом предусмотрена уголовная ответственность за неправомерное использо­вание или передачу инсайдерской информа­ции — штрафы от 300 тыс. до 1 млн руб. или лишение свободы на срок до 6 лет. Но действо­вать уголовная ответственность начала только через 3 года. Таким образом, у российского ре­гулятора — ЦБ РФ (Банк России, ранее ФСФР России) — руки были связаны, и все громкие расследования заканчивались строгими уве­щеваниями и привлечением нарушителей к административной ответственности («Рос­нефть», «Калина», «Онэксим»).

С августа 2013 года Банк России имеет ос­нования для передачи материалов проверки в правоохранительные органы с целью воз­буждения уголовного дела, а если есть норма и основание, то есть надежда, что за практи­кой правоприменения дело не встанет.

Практика построения эффективной системы защиты инсайдерской информации

Так каким же образом компании-эмитенту выстроить эффективную систему защиты от неправомерного использования инсайдер­ской информации с целью минимизации фи­нансовых, репутационных и иных существен­ных рисков?

Как показывает мировая практика, крупным компаниям-эмитентам при построении системы защиты инсайдерской информации следует руководствоваться комплексным си­стемным подходом. При этом желательно, чтобы процесс внедрения организационных и технических мер защиты инсайдерской информации находился под пристальным вни­манием высших органов управления компа­нии в силу его особой значимости.

Так, в компании МегаФон в соответствии с применимым законодательством Российской Федерации и Великобритании о пре­дотвращении незаконного использования инсайдерской информации (МегаФон листингуется в двух юрисдикциях, РФ и Велико­британии, и обязан соблюдать нормы и тре­бования законодательства об инсайде двух стран) под контролем Аудиторского комите­та Совета директоров внедрены и постоянно совершенствуются специальные организационные и технические меры защиты инсай­дерской информации, способствующие со­блюдению действующего законодательства, включающие в себя:

  • ограничение доступа к инсайдерской инфор­мации;
  • регламентацию мест хранения и доступа к инсайдерской информации;
  • использование инструментов защиты ИТ-систем от потери ключевых данных и доступа к ним третьих лиц;
  • внедрение технических средств защиты ин­сайдерской информации и др.

Эффективное выстраивание периметра ин­формационной защиты компании невозможно без внедрения соответствующих техни­ческих средств информационной защиты. В компании МегаФон они используются на всех этапах «жизненного цикла» инсайда: начиная с момента обобщения разрозненных данных в единый консолидированный документ, содержащий инсайдерскую информа­цию, до момента официального раскрытия инсайдерской информации.

Внедряя систему технических мер защиты инсайда, компания следовала следующим основным принципам.

Унификация и регламентация процедур

Построение системы организационной и тех­нической защиты инсайдерской информации в крупной компании с разветвленной ре­гиональной структурой должно начинаться с предварительного детального кроссфункцио­нального анализа типовых операций, произво­димых сотрудниками внутренних подразделений компании и позволяющих получить доступ к конфиденциальной (инсайдерской) информации. Далее под руководством ответствен­ного подразделения компании (в МегаФоне — Контролер компании) указанные операции систематизируются и унифицируются функци­ональными экспертами юридической службы, подразделения информационной безопасно­сти и информационных технологий. Определя­ются защищенные соответствующим образом места и информационные ресурсы для хране­ния инсайдерской информации, устанавлива­ется особый режим и правила предоставле­ния доступа к инсайду, минимизирующие риск утечки инсайдерской информации. Все выше­описанные процедуры и правила закрепляют­ся во внутренних документах компании и дово­дятся до сведения сотрудников.

Адекватность и достаточность

Внедряя технические меры защиты инсайда, функциональные эксперты предварительно оценивают адекватность и достаточность су­ществующих технических мер защиты, ана­лизируя риски и сопоставляя результаты субъективной экспертной оценки потенци­альной угрозы с объективным расчетом за­трат на внедрение механизма защиты.

Автоматизация

Автоматизация рутинных процессов техниче­ской защиты инсайда дает широкие возможно­сти по минимизации рисков человеческого фак­тора и высвобождению значительных времен­ных ресурсов. Доверять машине можно и нужно много таких сопутствующих процедур, как:

  • оперативное автоматическое выявление ин­сайдерской информации, требующей скорейшего раскрытия
  • предоставление конкретному сотруднику со­ответствующих инсайдерских прав с предва­рительным включением этого сотрудника в список инсайдеров
  • ежедневная автоматическая актуализация списка инсайдеров
  • информирование инсайдеров о начале и окон­чании открытых и закрытых периодов торгов­ли финансовыми инструментами компании
  • распределение и отработка заявок по устра­нению проблем с использованием техниче­ских средств защиты информации и др.

В качестве примера приведу успешный опыт автоматизации одного из наиболее трудоем­ких рутинных процессов — ежедневная акту­ализация списка инсайдеров компании. Вви­ду особенностей построения организацион­ной структуры управления и необходимости соблюдения норм законодательства об инсай­де двух юрисдикций, список инсайдеров Мега­фона довольно обширен. Лица, включенные в список, ежедневно совершают большое коли­чество юридически значимых действий (меня­ют паспорта, имена, фамилии, переходят на новые должности и т. д.), требующих своевре­менной актуализации данных списка инсайде­ров. Ручное сопровождение бизнес-процесса было малоэффективным. На помощь пришла автоматизация. На базе корпоративной си­стемы кадрового документооборота (SAPHR) разработана и внедрена системная надстрой­ка, позволяющая в режиме реального времени отслеживать все изменения в данных инсайде­ров Мегафона, а также получать своевремен­ную информацию о приеме сотрудников на штатные должности, обозначенные признаком «инсайдер». Эти и другие возможности систе­мы позволяют поддерживать список инсайде­ров в актуальном состоянии, не затрачивая при этом большого количества времени и миними­зируя риск ошибок, неизбежных в случае руч­ного сопровождения процесса.

Ревизия и оптимизация

Компания проводит ежеквартальную ревизию использования технических средств защиты инсайда с целью актуализации существую­щих контрольных механизмов и их модерни­зации в случае необходимости. Неактуальные контроли оперативно устраняются. Необхо­димость устранения действующих контроль­ных процедур предварительно обсуждается с внутренними функциональными подразделе­ниями компании, задействованными в их осу­ществлении, и согласовывается Контролером компании, отвечающим за контроль оборота инсайдерской информации.

Информирование

Внедрение новых и модернизация действую­щих технических мер защиты проходит с обя­зательным информированием сотрудников МегаФона.

В компании разработаны и внедрены спе­циальные обучающие инструменты и материалы, призванные повысить уровень осоз­нанности сотрудников, проинформировать о персональной ответственности за соблю­дение норм законодательства и внутренних корпоративных норм об инсайде, ознако­мить с основными принципами защиты инсайдерской информации, а также специ­ализированными способами работы с ин­сайдом.

Популяризация соответствующих сервисов происходит одновременно по нескольким коммуникационным каналам:

  • обучающие тренинги и семинары
  • дистанционные обучающие курсы с обяза­тельным итоговым тестированием,
  • размещение актуальных документов, регла­ментов, информационных презентаций на вну­треннем корпоративном портале МегаФона
  • ведение регулярного информационного блога, в котором размещаются статьи о наиболее ин­тересных случаях судебной практики по инсай­ду в Российской Федерации и Великобритании
  • консультирование внутренних пользователей
  • и даже создание и трансляция обучающих анимационных фильмов, которые на простых и понятных примерах разъясняют правила работы с инсайдерской информацией.

Периметр информационной защиты инсайдерской информации компании: защита без ущерба удобству пользователя

В настоящий момент в компании функциони­рует система защиты инсайдерской информа­ции, отвечающая требованиям действующего российского и британского законодательства, позволяющая успешно проходить проверки регуляторов. Указанная система органично ин­тегрирована в электронные системы корпора­тивного документооборота (SAP ERP SAP HR, Oracle's Hyperion Planning, LiveLink xEcm и др.) и охватывает весь спектр операционной дея­тельности компании, финансовый и управлен­ческий учет, стратегическое планирование, бюджетирование, прогнозирование, систе­му управления персоналом, работу сервис­ных служб, обеспечивая полную функциональ­ность, необходимую для реализации задачи по защите инсайдерской информации.

При этом, внедряя и совершенствуя техни­ческие средства защиты и повышая безопасность, ответственные внутренние подразде­ления компании заботятся о том, чтобы эле­менты системы информационной защиты были простыми и удобными в использова­нии, насколько это возможно.

Так, для работы с инсайдерской информаци­ей создана специализированная виртуальная ИТ-инфраструктура, которая обеспечивает высокоэффективные инструменты управле­ния, не внося при этом заметных изменений в рабочий процесс пользователей. На базе технологи Virtual Desktop Infrastructure (VDI) создано защищенное виртуальное рабочее пространство для обработки инсайдерской информации компании, централизованно развернутое на базе отказоустойчивого кла­стера (группы серверов, спроектированных в соответствии с методом обеспечения высо­кой доступности, гарантирующим минималь­ное время простоя за счет аппаратной избы­точности).

Текущее решение обеспечивает снижение операционных издержек, повышение уров­ня защиты инсайдерских данных и не требу­ет обучения конечных пользователей работе с новым интерфейсом. Благодаря VDI инсай­деры компании получают в свое распоряжение виртуальный персональный компьютер, с которым можно работать не только в офисе, но и во время путешествия или из дома. Все данные и настройки пользователей хранят­ся на сервере и надежно защищены. Защи­щенный доступ к ресурсу с внешних устройств для «внешних» инсайдеров, не являющих­ся сотрудниками компании, обеспечивает­ся с помощью средства двухфакторной ОТР-аутентификации пользователей (термин, от английского «one time password» — одноразо­вый пароль): «внешним» инсайдерам, соглас­но действующим регламентам безопасности компании, выдается специальное устройство (так называемый OTP-токен), генерирующее комбинацию цифр для единичного сеанса подключения к рабочей среде VDI.

Кроме того, в компании внедрена удобная система защиты сообщений электронной почты, содержащих инсайдерскую информа­цию, осуществляющая проверку правомочности доступа и защиту документов. При по­пытке открытия защищенного сообщения программа производит моментальную свер­ку прав доступа и предоставляет возмож­ность работы с защищенным контентом толь­ко инсайдерам компании.

Работа с инсайдерскими документами и корпо­ративными системами при помощи мобильных устройств обеспечивается еще одной програм­мой, осуществляющей визуальный мониторинг состояния инсайдерского мобильного сегмен­та и администрирование параметров рабочей среды для мобильных устройств, находящихся в пользовании инсайдеров компании.

Также в компании внедрены и успешно функ­ционируют системные решения, обеспечива­ющие защиту персональных компьютеров ин­сайдеров от несанкционированного доступа, копирования, повреждения, кражи или при­нудительного изъятия, и осуществляется кон­текстный контроль каналов сетевых коммуни­каций.

С целью повышения эффективности систе­мы защиты инсайдерской информации ответственные подразделения компании проводят ежеквартальный аудит использования техни­ческих мер защиты. А для оперативной под­держки и технического обслуживания инсай­деров компании создана специальная группа «быстрого реагирования» из числа инсайде­ров — сотрудников функции информационных технологий, которая в приоритетном режи­ме устраняют технические проблемы в работе технических средств защиты на персональ­ных компьютерах и переносных мобильных устройствах инсайдеров, обеспечивая функ­циональность и работоспособность системы информационной безопасности компании.

При этом, выстраивая периметр информаци­онной защиты компании, в том числе в обла­сти защиты инсайда, нельзя ограничивать­ся внедрением технических мер защиты. Не­обходимо понимать, что никакая ИТ-система или их конфигурация не сможет обеспечить тотальную защиту от несанкционированного доступа и распространения конфиденциаль­ной информации. Можно потратить миллио­ны долларов на обеспечение информацион­ной безопасности и допустить ее утечку, если сотрудник сфотографирует конфиденциаль­ный документ на телефон и впоследствии распространит эту информацию. Поэтому не менее важно воспитывать в сотрудниках культуру бережного отношения к инсайдер­ской информации общества, акцентировать внимание на том, что защита конфиденци­альной информации — это персональная ответственность каждого сотрудника.

Автор:

Теги: инсайдерская информация  IPO  публичный статус  инсайд  информационная прозрачность  финансовая стабильность  финансовые рынки  инсайд-трейдинг  Financial Conduct Authority  FCA  неправомерное использование инсайдерской информации  манипулирование рынком