В покупке акций через интернет нет ничего необычного, другое дело, что здесь фигурируют совершенно другие деньги -- большие, в отличие, например, от покупки музыкального файла SMS-сообщением. Обращаться с большими деньгами надо осторожно

Интернет-трейдинг, пожалуй, самая прямая дорога на фондовый рынок. Причем дорога, обильно уставленная по обочинам всевозможными указателями: "как открыть счет", "как начать торговлю", "как стать инвестором". Разделы с такими или аналогичными названиями есть на сайте любого брокера. Потенциальному клиенту обстоятельно объяснят, в красках и на примерах, как приобщиться к биржевой торговле посредством Глобальной сети. Ответу на другой ключевой вопрос -- каковы риски инвестора? -- внимания уделяется заметно меньше. Попробуем восполнить этот пробел и обозначить ключевые зоны уязвимости интернет-трейдинга.

Слабое звено

Риск номер один "зашит" в самом названии механизма торговли. Интернет, будучи абсолютно открытой системой, является источником угроз, но каждый участник цепочки "инвестор--брокер--биржа" решает эту проблему по-разному. Наиболее защищенными стоит признать серверы и шлюзы бирж.

Как ни парадоксально, но степенью защищенности торговые площадки во многом обязаны хакерам. Организаторы торгов изначально создают программное и аппаратное обеспечение и набирают персонал в IT-подразделения с расчетом на будущие вторжения. На ММВБ, например, не скрывают, что ежедневно происходит порядка 800 попыток взлома биржевой системы, и с каждым годом эта цифра только растет. Однако парализовать работу площадки злоумышленникам не удалось ни разу.

Брокеры, в свою очередь, заявляют, что и в их распоряжении достаточно превентивных средств борьбы с высокотехнологичными преступниками. "Атаки на торговые серверы, безусловно, возможны, но случаев успешного взлома брокерских систем в российской практике, насколько мне известно, не было", -- говорит руководитель отдела торговых систем ИК "Финам" Дмитрий Анциферов. -----------------

Современная Enigma

Ранее в криптографии использовался один и тот же алгоритм для шифрования и дешифровки сообщения, который должны были знать отправитель и получатель информации. То, что знают двое, знают все, гласит пословица. Тем более что получателю информации требовалось передать алгоритм (пароль) открытым способом, что несет риск его перехвата. Сейчас же распространен иной способ -- более сложный, но надежный, и его используют большинство систем интернет-трейдинга. При заключении договора на брокерское обслуживание с компанией, применяющей, например, QUIK, вы получите специальную программу, благодаря которой самостоятельно создадите два файла-ключа.

Первый -- открытый ключ (public key), с его помощью шифруются сообщения. Этот файл передается брокеру любым способом.

Второй -- закрытый ключ (secret key), позволяет расшифровывать сообщения. Он же служит электронно-цифровой подписью. Получив поручение на совершение сделки, брокер с помощью открытого ключа будет уверен в том, что поручение подписано с использованием вашего секретного ключа. 

-----------------

Но если даже удачные попытки вскрытия брокерских систем имели место, а клиенты понесли убытки, то компания-брокер по понятным причинам предпочтет без лишнего шума компенсировать потери пострадавшим инвесторам. Придать дело огласке означало бы вызвать массовое бегство клиентов из-за недоверия к системе безопасности.

В любом случае стоит признать, что самым слабым звеном в механизме интернет-трейдинга остается инвестор. Причем эта слабость зачастую определяется простым нежеланием соблюдать простейшие правила безопасности. "О том, что рабочая станция существует исключительно для работы, а не для чего-то другого, многие забывают сразу после открытия счета. Трейдинг совмещается с сетевыми играми, серфингом по развлекательным сетевым ресурсам, болтовней в чатах и т. д. Вероятность кражи пароля в этом случае возрастает на порядок. Так что большую часть проблем с безопасностью клиенты организовывают себе сами. Брокер здесь ничего поделать не может, хотя мы регулярно проводим электронный ликбез. Прислушиваться к нашим советам или нет -- выбор клиента", -- заключает Дмитрий Анциферов.

"Система, ориентированная в конечном счете на физических лиц, не может быть сверхнадежной по определению, -- считает исполнительный директор ИК »Церих кэпитал менеджментј Александр Щеглов. -- Кроме того, максимальная надежность -- это всегда максимальное неудобство в пользовании. Система безопасности работает эффективно только в том случае, когда она жестко администрируется. Как, например, в силовых ведомствах: там за нарушением режима работы с секретными документами немедленно следуют санкции. Ввести такую практику для »гражданскихј систем невозможно. Поэтому разработчики всегда стремятся сделать систему удобной для клиентов, простой в использовании. А значит, в той или иной степени приходится поступаться требованиями безопасности".

Подпись на миллион

Тем не менее существует вполне действенный способ борьбы с интернет-взломщиками -- применение электронной цифровой подписи (ЭЦП). В отличие от обычной пары логин/пароль, которая известна и клиенту, и брокеру, в механизме ЭЦП задействованы два ассиметричных ключа. Один (публичный) доступен брокерской компании, другой (секретный) находится у клиента в виде набора файлов, записанных на диск или флеш-носитель.

Украсть секретный ключ можно только физически, если, конечно, особо продвинутый инвестор не решит скопировать его еще на пару компьютеров для удобства пользования. 

-----------------

Типовая ЭЦП

Юридические отношения брокера и инвестора, как правило, прописываются в регламенте на обслуживание. В типовом регламенте типового брокера будет примерно такая типовая фраза:

"Клиент компании признает все заявки, направленные через систему интернет-трейдинга, имеющими такую же юридическую силу, как и заявки, переданные в бумажном виде или устно по телефону. Клиент компании признает в качестве доказательства, которое может быть использовано при разрешении споров в суде, файлы протокола обмена информацией между торговым сервером компании и компьютером клиента". 

-----------------

При подписании документа с помощью ЭЦП требуется дополнительная программа, связывающая подпись с распоряжением или заявкой инвестора. Поскольку пара ключей является уникальной, брокер может с абсолютной точностью подтвердить авторство документа. Кроме того, документ, завизированный с помощью ЭЦП, невозможно изменить ни на йоту. Любое исправление, внесенное постфактум, ведет к искажению в подписи -- она перестает быть тем самым уникальным идентификатором, а документ при возникновении споров будет признан подделкой.

На настоящий момент большинство крупных инвестиционных компаний, получив сертификат электронной подписи для ФСФР, предлагают ЭЦП либо в виде опции, либо в обязательном порядке. "ЭЦП удобна в первую очередь самим брокерам, -- объясняет председатель правления ИК ITinvest Владимир Твардовский. -- Представьте себе компанию, у которой несколько тысяч клиентов. Здесь уже начинает работать закон больших чисел, и среди этих тысяч всегда найдутся единицы, которые захотят каким-то образом сжульничать -- отказаться от сделки или распоряжения. Цифровая подпись полностью исключает необоснованные претензии к брокеру: когда заявка или приказ снабжены ЭЦП, документ имеет ту же юридическую силу, что и бумага, подписанная клиентом собственноручно".