ЗАКОНОДАТЕЛЬНОЕ РЕГУЛИРОВАНИЕ И ПРАКТИКА ПРИМЕНЕНИЯ НОРМ О ЗАЩИТЕ ИНСАЙДЕРСКОЙ ИНФОРМАЦИИ ОТ НЕПРАВОМЕРНОГО ИСПОЛЬЗОВАНИЯ: ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ

Выход компании на IPO и обретение публичного статуса - это не только укрепление ее репутации на рынках капитала, получение стратегической гибкости в реализации долгосрочных планов роста и развития, но и огромная ответственность эмитента, в том числе в области защиты инсайдерской информации.

Инсайдерской является любая существенная информация о деятельности компании, которая:

1. имеет непосредственное отношение к компании, ее ценным бумагам (акциям, депозитарным распискам), сделкам с ценными бумагами, перспективам бизнеса;
2. носит конкретный и точный характер;
3. не является общедоступной;
4. в случае опубликования, скорее всего, окажет значительное влияние на курс или стоимость любых ценных бумаг компании.

Закон обязывает эмитентов осуществлять строгий контроль за оборотом особо важной информации о ключевых событиях компании, способной вызвать заметную реакцию инвесторов и существенно повлиять на рыночную ситуацию.

В законодательстве разных стран можно найти множество запретов и жестких требований вокруг понятия инсайд". В чем причина пристального внимания регуляторов к соблюдению норм об инсайде?

Ответ прост.

В основе эффективно функционирующего фондового рынка лежит информационная прозрачность, являющаяся залогом инвестиционной привлекательности. Сделки с использованием инсайдерской информации наряду с манипулированием и другими видами незаконной торговой практики на финансовых рынках ведут к подрыву финансовой стабильности. Следовательно, жесткий законодательный контроль призван обеспечить эту стабильность, упорядоченность работы фондового рынка, а также защитить инвесторов, гарантировав равный доступ к одной и той же актуальной информации о компаниях-эмитентах. Если законодатель и регулятор не смогут должным образом справиться с поставленной задачей, то наступит локальный инвестиционно-финансовый коллапс. Ни один инвестор не принесет свои сбережения на фондовый рынок, где инсайдеры приторговывают" конфиденциальной информацией, извлекая сверхприбыли на разнице текущих и перспективных цен на финансовые инструменты, ущемляя тем самым других участников рынка.

В настоящий момент во всех развитых странах мира законодательно установлены и успешно действуют строгие нормы борьбы с инсайд-трейдингом" (термин, образованный от английских слов inside" - внутренний и trade" - торговля, специфический способ торговли какими-либо активами на основе конфиденциальной информации).

Флагманом борьбы с незаконным использованием инсайдерской информации с целью извлечения прибыли при совершении сделок финансовыми инструментами были Соединенные Штаты Америки, где совершение указанных сделок преследовалось по закону уже в начале прошлого века. В соответствии с законодательством США, обладатель конкретного не общедоступного знания, способного определить будущую динамику курса ценных бумаг, не имеет права зарабатывать на этом знании или передавать его третьим лицам. Директоров и высший менеджмент закон рассматривает в качестве доверенных лиц акционеров: любая деятельность с использованием информации, ставшей известной в силу служебного положения, рассматривается как подрыв доверия держателей акций. Санкции за нарушение закона жесткие - штрафы, в несколько раз превышающие размеры незаконной прибыли, допускается лишение свободы на срок до 10 лет.

Законодательство Великобритании в области инсайда не уступает законодательству США, даже беглый взгляд на нормы и санкции позволяет сделать вывод о его достаточной жесткости. Правоприменительная практика изобилует примерами взыскания крупных сумм штрафов (от pound;100 тыс. до pound;7,2 млн. для физических лиц: David Einhorn - Greenlight Capital, RameshKumar Goenka - Dubai-based investor, Simon Eagle - SP Bell, Michiel Visser - Mercurius Capital Management Ltd.) и осуждения виновных на длительные сроки лишения свободы (до 10 лет при замене крупного штрафа лишением свободы).

Британский регулятор - Financial Conduct Authority (FСA), инспекция по контролю за деятельностью финансовых организаций - является независимой структурой, располагающей широким спектром возможностей законотворчества, проведения расследований и достаточными полномочиями в области поддержания эффективности, порядка и прозрачности на финансовых рынках. FСA в своей работе использует безотказную тактику эффективного устрашения", которая служит серьезным предупреждением тем, кто намеревается нарушить установленные правила: пресса пестрит громкими разоблачительными статьями по материалам судебных разбирательств инсайдерских кейсов", инициированных FСA и завершившихся назначением незадачливым дельцам финансового мира многомиллионных штрафов, развороты уважаемых деловых изданий украшают печальные лица инсайдеров, получивших длительные сроки лишения свободы.

Российский законодатель также хоть и медленно, но верно идет по пути ужесточения ответственности за неправомерное использование инсайдерской информации.

В 2010 был принят Федеральный закон О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации" (далее также - Закон, Закон об инсайде). Законом предусмотрена уголовная ответственность за неправомерное использование или передачу инсайдерской информации - штрафы от 300 тыс. до 1 млн руб. или лишение свободы на срок до 6 лет. Но действовать уголовная ответственность начала только через 3 года. Таким образом, у российского регулятора - ЦБ РФ (Банк России, ранее ФСФР России) - руки были связаны, и все громкие расследования заканчивались строгими увещеваниями и привлечением нарушителей к административной ответственности (Роснефть", Калина", Онэксим").

С августа 2013 года Банк России имеет основания для передачи материалов проверки в правоохранительные органы с целью возбуждения уголовного дела, а если есть норма и основание, то есть надежда, что за практикой правоприменения дело не встанет.

Практика построения эффективной системы защиты инсайдерской информации

Так каким же образом компании-эмитенту выстроить эффективную систему защиты от неправомерного использования инсайдерской информации с целью минимизации финансовых, репутационных и иных существенных рисков?

Как показывает мировая практика, крупным компаниям-эмитентам при построении системы защиты инсайдерской информации следует руководствоваться комплексным системным подходом. При этом желательно, чтобы процесс внедрения организационных и технических мер защиты инсайдерской информации находился под пристальным вниманием высших органов управления компании в силу его особой значимости.

Так, в компании МегаФон в соответствии с применимым законодательством Российской Федерации и Великобритании о предотвращении незаконного использования инсайдерской информации (МегаФон листингуется в двух юрисдикциях, РФ и Великобритании, и обязан соблюдать нормы и требования законодательства об инсайде двух стран) под контролем Аудиторского комитета Совета директоров внедрены и постоянно совершенствуются специальные организационные и технические меры защиты инсайдерской информации, способствующие соблюдению действующего законодательства, включающие в себя:

• ограничение доступа к инсайдерской информации;
• регламентацию мест хранения и доступа к инсайдерской информации;
• использование инструментов защиты ИТ-систем от потери ключевых данных и доступа к ним третьих лиц;
• внедрение технических средств защиты инсайдерской информации и др.

Эффективное выстраивание периметра информационной защиты компании невозможно без внедрения соответствующих технических средств информационной защиты. В компании МегаФон они используются на всех этапах жизненного цикла" инсайда: начиная с момента обобщения разрозненных данных в единый консолидированный документ, содержащий инсайдерскую информацию, до момента официального раскрытия инсайдерской информации.

Внедряя систему технических мер защиты инсайда, компания следовала следующим основным принципам.

Унификация и регламентация процедур

Построение системы организационной и технической защиты инсайдерской информации в крупной компании с разветвленной региональной структурой должно начинаться с предварительного детального кроссфункционального анализа типовых операций, производимых сотрудниками внутренних подразделений компании и позволяющих получить доступ к конфиденциальной (инсайдерской) информации. Далее под руководством ответственного подразделения компании (в МегаФоне - Контролер компании) указанные операции систематизируются и унифицируются функциональными экспертами юридической службы, подразделения информационной безопасности и информационных технологий. Определяются защищенные соответствующим образом места и информационные ресурсы для хранения инсайдерской информации, устанавливается особый режим и правила предоставления доступа к инсайду, минимизирующие риск утечки инсайдерской информации. Все вышеописанные процедуры и правила закрепляются во внутренних документах компании и доводятся до сведения сотрудников.

Адекватность и достаточность

Внедряя технические меры защиты инсайда, функциональные эксперты предварительно оценивают адекватность и достаточность существующих технических мер защиты, анализируя риски и сопоставляя результаты субъективной экспертной оценки потенциальной угрозы с объективным расчетом затрат на внедрение механизма защиты.

Автоматизация

Автоматизация рутинных процессов технической защиты инсайда дает широкие возможности по минимизации рисков человеческого фактора и высвобождению значительных временных ресурсов. Доверять машине можно и нужно много таких сопутствующих процедур, как:

• оперативное автоматическое выявление инсайдерской информации, требующей скорейшего раскрытия,
• предоставление конкретному сотруднику соответствующих инсайдерских прав с предварительным включением этого сотрудника в список инсайдеров,
• ежедневная автоматическая актуализация списка инсайдеров,
• информирование инсайдеров о начале и окончании открытых и закрытых периодов торговли финансовыми инструментами компании,
• распределение и отработка заявок по устранению проблем с использованием технических средств защиты информации и др.

В качестве примера приведу успешный опыт автоматизации одного из наиболее трудоемких рутинных процессов - ежедневная актуализация списка инсайдеров компании. Ввиду особенностей построения организационной структуры управления и необходимости соблюдения норм законодательства об инсайде двух юрисдикций, список инсайдеров МегаФона довольно обширен. Лица, включенные в список, ежедневно совершают большое количество юридически значимых действий (меняют паспорта, имена, фамилии, переходят на новые должности и т. д.), требующих своевременной актуализации данных списка инсайдеров. Ручное сопровождение бизнес-процесса было малоэффективным. На помощь пришла автоматизация. На базе корпоративной системы кадрового документооборота (SAP HR) разработана и внедрена системная надстройка, позволяющая в режиме реального времени отслеживать все изменения в данных инсайдеров МегаФона, а также получать своевременную информацию о приеме сотрудников на штатные должности, обозначенные признаком инсайдер". Эти и другие возможности системы позволяют поддерживать список инсайдеров в актуальном состоянии, не затрачивая при этом большого количества времени и минимизируя риск ошибок, неизбежных в случае ручного сопровождения процесса.

Ревизия и оптимизация

Компания проводит ежеквартальную ревизию использования технических средств защиты инсайда с целью актуализации существующих контрольных механизмов и их модернизации в случае необходимости. Неактуальные контроли оперативно устраняются. Необходимость устранения действующих контрольных процедур предварительно обсуждается с внутренними функциональными подразделениями компании, задействованными в их осуществлении, и согласовывается Контролером компании, отвечающим за контроль оборота инсайдерской информации.

Информирование

Внедрение новых и модернизация действующих технических мер защиты проходит с обязательным информированием сотрудников МегаФона.

В компании разработаны и внедрены специальные обучающие инструменты и материалы, призванные повысить уровень осознанности сотрудников, проинформировать о персональной ответственности за соблюдение норм законодательства и внутренних корпоративных норм об инсайде, ознакомить с основными принципами защиты инсайдерской информации, а также специализированными способами работы с инсайдом.

Популяризация соответствующих сервисов происходит одновременно по нескольким коммуникационным каналам:

• обучающие тренинги и семинары,
• дистанционные обучающие курсы с обязательным итоговым тестированием,
• размещение актуальных документов, регламентов, информационных презентаций на внутреннем корпоративном портале МегаФона,
• ведение регулярного информационного блога, в котором размещаются статьи о наиболее интересных случаях судебной практики по инсайду в Российской Федерации и Великобритании,
• консультирование внутренних пользователей
• и даже создание и трансляция обучающих анимационных фильмов, которые на простых и понятных примерах разъясняют правила работы с инсайдерской информацией.

Периметр информационной защиты инсайдерской информации компании: защита без ущерба удобству пользователя

В настоящий момент в компании функционирует система защиты инсайдерской информации, отвечающая требованиям действующего российского и британского законодательства, позволяющая успешно проходить проверки регуляторов. Указанная система органично интегрирована в электронные системы корпоративного документооборота (SAP ERP, SAP HR, Oracles Hyperion Planning, LiveLink xEcm и др.) и охватывает весь спектр операционной деятельности компании, финансовый и управленческий учет, стратегическое планирование, бюджетирование, прогнозирование, систему управления персоналом, работу сервисных служб, обеспечивая полную функциональность, необходимую для реализации задачи по защите инсайдерской информации.

При этом, внедряя и совершенствуя технические средства защиты и повышая безопасность, ответственные внутренние подразделения компании заботятся о том, чтобы элементы системы информационной защиты были простыми и удобными в использовании, насколько это возможно.

Так, для работы с инсайдерской информацией создана специализированная виртуальная ИТ-инфраструктура, которая обеспечивает высокоэффективные инструменты управления, не внося при этом заметных изменений в рабочий процесс пользователей. На базе технологи Virtual Desktop Infrastructure (VDI) создано защищенное виртуальное рабочее пространство для обработки инсайдерской информации компании, централизованно развернутое на базе отказоустойчивого кластера (группы серверов, спроектированных в соответствии с методом обеспечения высокой доступности, гарантирующим минимальное время простоя за счет аппаратной избыточности).

Текущее решение обеспечивает снижение операционных издержек, повышение уровня защиты инсайдерских данных и не требует обучения конечных пользователей работе с новым интерфейсом. Благодаря VDI инсайдеры компании получают в свое распоряжение виртуальный персональный компьютер, с которым можно работать не только в офисе, но и во время путешествия или из дома. Все данные и настройки пользователей хранятся на сервере и надежно защищены. Защищенный доступ к ресурсу с внешних устройств для внешних" инсайдеров, не являющихся сотрудниками компании, обеспечивается с помощью средства двухфакторной ОТР-аутентификации пользователей (термин, от английского one time password" - одноразовый пароль): внешним" инсайдерам, согласно действующим регламентам безопасности компании, выдается специальное устройство (так называемый OTP-токен), генерирующее комбинацию цифр для единичного сеанса подключения к рабочей среде VDI.

Кроме того, в компании внедрена удобная система защиты сообщений электронной почты, содержащих инсайдерскую информацию, осуществляющая проверку правомочности доступа и защиту документов. При попытке открытия защищенного сообщения программа производит моментальную сверку прав доступа и предоставляет возможность работы с защищенным контентом только инсайдерам компании.

Работа с инсайдерскими документами и корпоративными системами при помощи мобильных устройств обеспечивается еще одной программой, осуществляющей визуальный мониторинг состояния инсайдерского мобильного сегмента и администрирование параметров рабочей среды для мобильных устройств, находящихся в пользовании инсайдеров компании.

Также в компании внедрены и успешно функционируют системные решения, обеспечивающие защиту персональных компьютеров инсайдеров от несанкционированного доступа, копирования, повреждения, кражи или принудительного изъятия, и осуществляется контекстный контроль каналов сетевых коммуникаций.

С целью повышения эффективности системы защиты инсайдерской информации ответственные подразделения компании проводят ежеквартальный аудит использования технических мер защиты. А для оперативной поддержки и технического обслуживания инсайдеров компании создана специальная группа быстрого реагирования" из числа инсайдеров - сотрудников функции информационных технологий, которая в приоритетном режиме устраняют технические проблемы в работе технических средств защиты на персональных компьютерах и переносных мобильных устройствах инсайдеров, обеспечивая функциональность и работоспособность системы информационной безопасности компании.

При этом, выстраивая периметр информационной защиты компании, в том числе в области защиты инсайда, нельзя ограничиваться внедрением технических мер защиты. Необходимо понимать, что никакая ИТ-система или их конфигурация не сможет обеспечить тотальную защиту от несанкционированного доступа и распространения конфиденциальной информации. Можно потратить миллионы долларов на обеспечение информационной безопасности и допустить ее утечку, если сотрудник сфотографирует конфиденциальный документ на телефон и впоследствии распространит эту информацию. Поэтому не менее важно воспитывать в сотрудниках культуру бережного отношения к инсайдерской информации общества, акцентировать внимание на том, что защита конфиденциальной информации - это персональная ответственность каждого сотрудника.