Блог им. wibe

о рисках ИБ в общем и частности. ч2. выбор брокера

возвращаемся к теме.

формализуем условие: задача – сохранение своих денег.
для этого  необходимо определить и минимизировать критические риски:
1 риск потери средств при банкротстве брокера;
2 риск кражи путем взлома системы «клиент-сервер» на любом конце\этапе.

с чего начинается биржа? с выбора брокера. основные критерии выбора – рынки, услуги, тарифы и рейтинги с приоритетом в зависимости от наличия опыта и кэша в кармане.

по просьбам «трейдящихся» прекращаю теоретическое изложение и опускаюсь на землю.

читаю рекомендации, листаю инет, выбираю соответствующего моим критериям брокера, звоню, уточняю неясные вопросы и подхожу к моменту заключения договоров. все легко и просто – никуда не надо ехать, все решается с домашнего компа. регистрация – через федеральные информационные системы — сайт госуслуг (ЕСИА — единая система идентификации и авторизации) (другие компании дополнительно предлагают регистрацию посредством СМЭВ — систему межведомственного электронного взаимодействия), где крутятся полные персональные данные всех граждан отчизны. это технологично и серьезно! и получаю холодный душ – в качестве логина предлагается использовать серию и номер паспорта и без вариантов.
о рисках ИБ в общем и частности. ч2. выбор брокера




как так? ни в одной операционной системе в парольных базах логин не зашифрован! т.е. при взломе  брокера (а ломается все) и сливании информации с компа любого менеджера последующее  сопоставление паспортных данных с именами клиентов не представляет никакого труда, а риск утечки персональных данных в результате взлома – критический! куда смотрит их служба безопасности? в никуда. айтишник компании, до которого смог достучаться, подтверждает косяк, но контора никаких объяснений не дает. пытаюсь развеять или утвердить свои сомнения. листаю 152 закон (о персональных данных) – любая контора, обрабатывающая ПДн, обязана обеспечить их защиту (правда, по своему усмотрению) и пройти регистрацию в  реестре Роскомнадзора. но для этого необходимо выполнить ряд нормативных требований регуляторов закона, включая проведение организационно-технических мероприятий (а это уже затраты и немалые) и подтвердить их выполнение при регистрации в реестре РКН.

иду туда, ввожу название – в реестре конторы нет, по ИНН тоже нет, т.е. контора  не зарегистрирована, что, в свою очередь, означает, что на защиту ПДн эта лавочка поскупилась, как, надо полагать, и на защиту своей информационной системы. и это при том, что она имеет доступ к федеральным системам идентификации субъектов ПДн!!! т.е. РКН, ФСБ, Минкомсвязи, тот же ЦБ могут предоставить доступ к ПДн любым рогам и копытам? грандиозное открытие! т.е. помимо риска потери своих средств (хотя бы с банкротством брокера) я дополнительно получаю куда более грозный риск кражи личности, в результате реализации которого в недалеком будущем в одно мгновение могу превратиться в бомжа без рода и племени? (по теме кражи личности ТАМ в инет, пожалуйста.)

ессно, доверять этой конторе ни свои ПДн, ни свои финансы я не стану. пишу отзыв своих данных, ответа по сей день нет, видимо, тамошние юристы еще не дочитали 152-ФЗ до пункта про уголовную ответственность.

продолжаю выбор брокера, но на сей раз с обратной стороны — иду на ММВБ, читаю рекомендации:
«Банкротство или отзыв лицензии – редкое и неприятное событие, происходит 1-2 раза в год… Тем не менее лучше один раз потратить время, но зато выбрать..» — ценный совет на фоне факта. )  брокеров несколько сотен, но меня интересуют конкретные услуги.  сужаю поиск рынком драгметаллов – там всего семь компаний, предоставляющих доступ клиентам, включая уже пройденную. кстати, как ни странно, в этом списке нет ни одного банка.

открываю последовательно сайты, читаю условия подключения и выясняю их отношение к 152 закону. ха! из семи компаний лишь три(!) зарегистрированы на сайте РКН, а из них лишь одна, которая при применении продвинутых информационных технологий соблюдает 152 закон! не верю своим глазам, иду на ММВБ и выбираю другую компанию из первой десятки и списка семи и становится совсем не смешно — вместо положения об организации защиты ПДн на сайте нахожу какую-то филькину грамоту в один абзац:
о рисках ИБ в общем и частности. ч2. выбор брокера


и о какой защите своих ПДн можно говорить в этом случае?

всех брокеров ММВБ можно разделить на две группы — кредитные (ок 340) и некредитные организации (200). разница между ними принципиальная – ЦБ и Минфину по большому счета абсолютно безразлична благонадежность (читай – защищенность) второй группы, т.к. в отличие от банков их присутствие\отсутствие на рынке никакой погоды в экономике страны не делает, поэтому и внимание к регулированию их деятельности минимальное, как и требования к лицензиату по организации работы, а банковская сфера зарегулирована до предела, формально система защита информации построена и существует де-факто, так что банковский брокер более законопослушен и надежен.

экстраполируя полученную информацию, могу предположить, что из пяти с половиной сотен брокеров к формально наиболее надежным, на мой взгляд, можно отнести лишь пару-другую десятков банков и примерно столько же некредитных контор, т.е. менее 10% биржевых брокеров.

а кто из вас оценивал эти риски при выборе своего брокера?

в итоге,
при выборе брокера надо учитывать не только уровень сответствия брокера вашим осовным критериям, но и, в частности, риск утраты своих ПДн (ваш личный актив), ибо их утечка в свете предстоящей тотальной цифровизации может привести к значительно большим потерям, чем только финансовых средств.

удачи!

Продолжение следует

ЗЫ обе упомянутые конторы присутствуют на сайте — некоторые рейтинги нуждаются в правке. )
★1
5 комментариев
Только недавно читал статью на ВВС об утечках данных от сотовых операторов, Сбербанка и ФМС. Там сказано, что только в 2018-м осуждено 59 человек, а журналистский эксперимент показал, что за 10 тыс. руб. можно получить анкетные данные случайного человека, а за 50-100 тыс. распечатку его звонков и смс с местоположением за сутки.  За 30-50 тыс. — скан паспорта. 

Так что в данном случае ссылка на закон бессмысленна. Закон работает плохо.  Так как полной защиты нет, я выработал свою: передаю в банк, сотовым операторам и прочим фото паспорта или его распечатку сам с небольшим незаметным искажением по сравнению с оригиналом. 
avatar
А. Г., я описал обстоятельства возникновения конкретного риска, не упомянутого в биржевой деятельности, а утечка через инсайдеров — это другой риск и другие законы.
рисков множество… )
avatar
no matter, так любая утечка — это нарушение УК РФ. Страховки от этих нарушений нет ни у сотовых операторов, ни у брокеров и только есть в банках при отзыве лицензии в размере суммы от АСВ. 
avatar
а кто из вас оценивал эти риски при выборе своего брокера?

Вы шутите? Это же первейший критерий выбора.
avatar
Vadi, это был риторический вопрос, т.к. при верной оценке риска утечки ПДн у этих брокеров не было бы клиентов. )
avatar

теги блога no matter

....все тэги



UPDONW