SMART-LAB
Новый дизайн
Мы делаем деньги на бирже
Информация
Блог им. wibe
о рисках ИБ в общем и частности. ч2. выбор брокера
- 27 апреля 2019, 09:27
- |
возвращаемся к теме.
формализуем условие: задача – сохранение своих денег.
для этого необходимо определить и минимизировать критические риски:
1 риск потери средств при банкротстве брокера;
2 риск кражи путем взлома системы «клиент-сервер» на любом конце\этапе.
с чего начинается биржа? с выбора брокера. основные критерии выбора – рынки, услуги, тарифы и рейтинги с приоритетом в зависимости от наличия опыта и кэша в кармане.
по просьбам «трейдящихся» прекращаю теоретическое изложение и опускаюсь на землю.
читаю рекомендации, листаю инет, выбираю соответствующего моим критериям брокера, звоню, уточняю неясные вопросы и подхожу к моменту заключения договоров. все легко и просто – никуда не надо ехать, все решается с домашнего компа. регистрация – через федеральные информационные системы — сайт госуслуг (ЕСИА — единая система идентификации и авторизации) (другие компании дополнительно предлагают регистрацию посредством СМЭВ — систему межведомственного электронного взаимодействия), где крутятся полные персональные данные всех граждан отчизны. это технологично и серьезно! и получаю холодный душ – в качестве логина предлагается использовать серию и номер паспорта и без вариантов.
как так? ни в одной операционной системе в парольных базах логин не зашифрован! т.е. при взломе брокера (а ломается все) и сливании информации с компа любого менеджера последующее сопоставление паспортных данных с именами клиентов не представляет никакого труда, а риск утечки персональных данных в результате взлома – критический! куда смотрит их служба безопасности? в никуда. айтишник компании, до которого смог достучаться, подтверждает косяк, но контора никаких объяснений не дает. пытаюсь развеять или утвердить свои сомнения. листаю 152 закон (о персональных данных) – любая контора, обрабатывающая ПДн, обязана обеспечить их защиту (правда, по своему усмотрению) и пройти регистрацию в реестре Роскомнадзора. но для этого необходимо выполнить ряд нормативных требований регуляторов закона, включая проведение организационно-технических мероприятий (а это уже затраты и немалые) и подтвердить их выполнение при регистрации в реестре РКН.
иду туда, ввожу название – в реестре конторы нет, по ИНН тоже нет, т.е. контора не зарегистрирована, что, в свою очередь, означает, что на защиту ПДн эта лавочка поскупилась, как, надо полагать, и на защиту своей информационной системы. и это при том, что она имеет доступ к федеральным системам идентификации субъектов ПДн!!! т.е. РКН, ФСБ, Минкомсвязи, тот же ЦБ могут предоставить доступ к ПДн любым рогам и копытам? грандиозное открытие! т.е. помимо риска потери своих средств (хотя бы с банкротством брокера) я дополнительно получаю куда более грозный риск кражи личности, в результате реализации которого в недалеком будущем в одно мгновение могу превратиться в бомжа без рода и племени? (по теме кражи личности ТАМ в инет, пожалуйста.)
ессно, доверять этой конторе ни свои ПДн, ни свои финансы я не стану. пишу отзыв своих данных, ответа по сей день нет, видимо, тамошние юристы еще не дочитали 152-ФЗ до пункта про уголовную ответственность.
продолжаю выбор брокера, но на сей раз с обратной стороны — иду на ММВБ, читаю рекомендации:
«Банкротство или отзыв лицензии – редкое и неприятное событие, происходит 1-2 раза в год… Тем не менее лучше один раз потратить время, но зато выбрать..» — ценный совет на фоне факта. ) брокеров несколько сотен, но меня интересуют конкретные услуги. сужаю поиск рынком драгметаллов – там всего семь компаний, предоставляющих доступ клиентам, включая уже пройденную. кстати, как ни странно, в этом списке нет ни одного банка.
открываю последовательно сайты, читаю условия подключения и выясняю их отношение к 152 закону. ха! из семи компаний лишь три(!) зарегистрированы на сайте РКН, а из них лишь одна, которая при применении продвинутых информационных технологий соблюдает 152 закон! не верю своим глазам, иду на ММВБ и выбираю другую компанию из первой десятки и списка семи и становится совсем не смешно — вместо положения об организации защиты ПДн на сайте нахожу какую-то филькину грамоту в один абзац:
и о какой защите своих ПДн можно говорить в этом случае?
всех брокеров ММВБ можно разделить на две группы — кредитные (ок 340) и некредитные организации (200). разница между ними принципиальная – ЦБ и Минфину по большому счета абсолютно безразлична благонадежность (читай – защищенность) второй группы, т.к. в отличие от банков их присутствие\отсутствие на рынке никакой погоды в экономике страны не делает, поэтому и внимание к регулированию их деятельности минимальное, как и требования к лицензиату по организации работы, а банковская сфера зарегулирована до предела, формально система защита информации построена и существует де-факто, так что банковский брокер более законопослушен и надежен.
экстраполируя полученную информацию, могу предположить, что из пяти с половиной сотен брокеров к формально наиболее надежным, на мой взгляд, можно отнести лишь пару-другую десятков банков и примерно столько же некредитных контор, т.е. менее 10% биржевых брокеров.
а кто из вас оценивал эти риски при выборе своего брокера?
в итоге,
при выборе брокера надо учитывать не только уровень сответствия брокера вашим осовным критериям, но и, в частности, риск утраты своих ПДн (ваш личный актив), ибо их утечка в свете предстоящей тотальной цифровизации может привести к значительно большим потерям, чем только финансовых средств.
удачи!
Продолжение следует
ЗЫ обе упомянутые конторы присутствуют на сайте — некоторые рейтинги нуждаются в правке. )
формализуем условие: задача – сохранение своих денег.
для этого необходимо определить и минимизировать критические риски:
1 риск потери средств при банкротстве брокера;
2 риск кражи путем взлома системы «клиент-сервер» на любом конце\этапе.
с чего начинается биржа? с выбора брокера. основные критерии выбора – рынки, услуги, тарифы и рейтинги с приоритетом в зависимости от наличия опыта и кэша в кармане.
по просьбам «трейдящихся» прекращаю теоретическое изложение и опускаюсь на землю.
читаю рекомендации, листаю инет, выбираю соответствующего моим критериям брокера, звоню, уточняю неясные вопросы и подхожу к моменту заключения договоров. все легко и просто – никуда не надо ехать, все решается с домашнего компа. регистрация – через федеральные информационные системы — сайт госуслуг (ЕСИА — единая система идентификации и авторизации) (другие компании дополнительно предлагают регистрацию посредством СМЭВ — систему межведомственного электронного взаимодействия), где крутятся полные персональные данные всех граждан отчизны. это технологично и серьезно! и получаю холодный душ – в качестве логина предлагается использовать серию и номер паспорта и без вариантов.
как так? ни в одной операционной системе в парольных базах логин не зашифрован! т.е. при взломе брокера (а ломается все) и сливании информации с компа любого менеджера последующее сопоставление паспортных данных с именами клиентов не представляет никакого труда, а риск утечки персональных данных в результате взлома – критический! куда смотрит их служба безопасности? в никуда. айтишник компании, до которого смог достучаться, подтверждает косяк, но контора никаких объяснений не дает. пытаюсь развеять или утвердить свои сомнения. листаю 152 закон (о персональных данных) – любая контора, обрабатывающая ПДн, обязана обеспечить их защиту (правда, по своему усмотрению) и пройти регистрацию в реестре Роскомнадзора. но для этого необходимо выполнить ряд нормативных требований регуляторов закона, включая проведение организационно-технических мероприятий (а это уже затраты и немалые) и подтвердить их выполнение при регистрации в реестре РКН.
иду туда, ввожу название – в реестре конторы нет, по ИНН тоже нет, т.е. контора не зарегистрирована, что, в свою очередь, означает, что на защиту ПДн эта лавочка поскупилась, как, надо полагать, и на защиту своей информационной системы. и это при том, что она имеет доступ к федеральным системам идентификации субъектов ПДн!!! т.е. РКН, ФСБ, Минкомсвязи, тот же ЦБ могут предоставить доступ к ПДн любым рогам и копытам? грандиозное открытие! т.е. помимо риска потери своих средств (хотя бы с банкротством брокера) я дополнительно получаю куда более грозный риск кражи личности, в результате реализации которого в недалеком будущем в одно мгновение могу превратиться в бомжа без рода и племени? (по теме кражи личности ТАМ в инет, пожалуйста.)
ессно, доверять этой конторе ни свои ПДн, ни свои финансы я не стану. пишу отзыв своих данных, ответа по сей день нет, видимо, тамошние юристы еще не дочитали 152-ФЗ до пункта про уголовную ответственность.
продолжаю выбор брокера, но на сей раз с обратной стороны — иду на ММВБ, читаю рекомендации:
«Банкротство или отзыв лицензии – редкое и неприятное событие, происходит 1-2 раза в год… Тем не менее лучше один раз потратить время, но зато выбрать..» — ценный совет на фоне факта. ) брокеров несколько сотен, но меня интересуют конкретные услуги. сужаю поиск рынком драгметаллов – там всего семь компаний, предоставляющих доступ клиентам, включая уже пройденную. кстати, как ни странно, в этом списке нет ни одного банка.
открываю последовательно сайты, читаю условия подключения и выясняю их отношение к 152 закону. ха! из семи компаний лишь три(!) зарегистрированы на сайте РКН, а из них лишь одна, которая при применении продвинутых информационных технологий соблюдает 152 закон! не верю своим глазам, иду на ММВБ и выбираю другую компанию из первой десятки и списка семи и становится совсем не смешно — вместо положения об организации защиты ПДн на сайте нахожу какую-то филькину грамоту в один абзац:
и о какой защите своих ПДн можно говорить в этом случае?
всех брокеров ММВБ можно разделить на две группы — кредитные (ок 340) и некредитные организации (200). разница между ними принципиальная – ЦБ и Минфину по большому счета абсолютно безразлична благонадежность (читай – защищенность) второй группы, т.к. в отличие от банков их присутствие\отсутствие на рынке никакой погоды в экономике страны не делает, поэтому и внимание к регулированию их деятельности минимальное, как и требования к лицензиату по организации работы, а банковская сфера зарегулирована до предела, формально система защита информации построена и существует де-факто, так что банковский брокер более законопослушен и надежен.
экстраполируя полученную информацию, могу предположить, что из пяти с половиной сотен брокеров к формально наиболее надежным, на мой взгляд, можно отнести лишь пару-другую десятков банков и примерно столько же некредитных контор, т.е. менее 10% биржевых брокеров.
а кто из вас оценивал эти риски при выборе своего брокера?
в итоге,
при выборе брокера надо учитывать не только уровень сответствия брокера вашим осовным критериям, но и, в частности, риск утраты своих ПДн (ваш личный актив), ибо их утечка в свете предстоящей тотальной цифровизации может привести к значительно большим потерям, чем только финансовых средств.
удачи!
Продолжение следует
ЗЫ обе упомянутые конторы присутствуют на сайте — некоторые рейтинги нуждаются в правке. )
теги блога no matter
- qe
- S&P500
- акции
- биржа
- взлом аккаунтов
- выбор брокера
- доллар
- защита данных
- защита капитала
- злоумышленники
- инвестиции
- интернет
- информация
- китай
- коронавирус
- кража данных
- мировой кризис
- отрицательные цены
- приватность
- прогноз
- риски
- сша
- трейдинг
- фондовый рынок
- фрс
- экономика
Так что в данном случае ссылка на закон бессмысленна. Закон работает плохо. Так как полной защиты нет, я выработал свою: передаю в банк, сотовым операторам и прочим фото паспорта или его распечатку сам с небольшим незаметным искажением по сравнению с оригиналом.
рисков множество… )
Вы шутите? Это же первейший критерий выбора.