В соответствии со ст. 44 указанного Закона № 3480-IV инсайдерская информация представляет собой любую неопубликованную информацию об эмитенте, его ценных бумагах или договорах, предание огласке которой может значительно повлиять на стоимость ценных бумаг. Информация относительно оценки стоимости ценных бумаг и/или финансово-хозяйственного состояния эмитента, если она получена исключительно на основе обнародованной информации или информации из других публичных источников, не запрещенных законодательством, не является инсайдерской информацией. Государственная комиссия по ценным бумагам и фондовому рынку определяет, какая именно информация принадлежит к инсайдерской. Исходя из изложенного, можно определить, что термины "инсайдер" и "инсайдерская информация" относится к сфере биржевой торговли.
Во избежание таких очевидных фактов распространения информации, законодатель в ст. 45 Закона устанавливает определенные нормы, направленные на запрещение использования инсайдерской информации. Инсайдеру запрещается:
• совершать с использованием инсайдерской информации для собственной пользы или в интересах других лиц сделок, направленных на приобретение или отчуждение ценных бумаг, которых касается инсайдерска информация, до момента предания огласке такой информации;
• передавать инсайдерскую информацию или предоставлять доступ к ней другим лицам, кроме раскрытия информации в пределах выполнения профессиональных, трудовых или служебных обязанностей, либо в иных случаях, предусмотренных законодательством;
• давать любому лицу рекомендации относительно приобретения или отчуждения ценных бумаг, относительно которых он владеет инсайдерской информацией, до момента предания огласке такой информации.
Порядок раскрытия инсайдерской информации устанавливается нормативно-правовыми актами Государственной комиссии по ценным бумагам и фондовому рынку. Профессиональные участники рынка ценных бумаг должны сообщить Государственной комиссии по ценным бумагам и фондовому рынку об операциях с ценными бумагами в случаях, когда есть подозрение о том, что во время осуществления таких операций используется или может быть использована инсайдерская информация.
Вышеперечисленные действия распространяются также на лиц, которые не являются инсайдерами, но владеют инсайдерской информацией и знают (или должны знать), что эта информация поступила от инсайдера. Ответственность за противоправное использование инсайдерской информации устанавливается законом. Но применительно к нашему законодательству этого недостаточно, чтобы искоренить такое негативное явление, как инсайдерство. К конкретному искоренению или запрету использования инсайдерской информации Украине предстоит пройти очень долгий и нелёгкий путь. Будет недостаточно принять запрещающие нормы на законодательном уровне и наладить систему контроля над их исполнением. Важно, чтобы рынку стало выгоднее исключить инсайд из своей жизни, чем пользоваться им. А здесь наступает чисто психологический момент, происходит существенная ломка мировоззрения, переоценка ценностей. Даже если сегодня принять нормы, ограничивающие использование инсайда в украинском бизнесе, можно проследить их судьбу на примере понятий "коммерческая" и "банковская тайна". Как первая, так и вторая чётко прописаны и закреплены в действующем законодательстве. Но ими пользуются лишь при необходимости отстоять свои интересы. И первым нарушителем здесь выступает государство. Когда оно преследует цель собрать налоги, понятий "банковской" и "коммерческой" тайн уже не существует. Точно такая же судьба ожидает и инсайд. Когда это выгодно, то о нём молчат, но когда в дело вступают правоохранительные и фискальные органы, то утечка информации на лицо. Да и вообще, уважаемый читатель, решить наскоком проблему инсайдеров непросто.
Кадры решают всё!
Должностные проступки, совершаемые в кредитно-финансовой сфере, особенно в финансовых структурах и коммерческих банках, напрямую затрагивают не только и не столько акционеров и участников хозяйственных обществ, сколько многочисленных клиентов предприятий, учреждений, организаций и рядовых граждан. Проблема безопасности финансово-хозяйственной деятельности общества стоит по-прежнему крайне остро. Любой ценой, во что бы то ни стало установить влияние в финансовой сфере – вот цель, на которую направлены усилия как криминальной среды, так и чиновничьего аппарата. И в первую очередь, эти внешние проявления связаны с получением информации для установления жесткого контроля. Однако внешние проявления невозможны без использования внутренних факторов, без учёта человеческих слабостей. Кому, как не сотруднику хозяйственного общества, финансовой структуры или банка, знать о просчетах и недостатках работы собственной службы безопасности и других профильных отделов. Не секрет, что подавляющее большинство корыстных злоупотреблений совершается персоналом, имеющим легальный доступ к документам, носящим гриф "ДСП", а также к информационным системам предприятия.
И здесь как нельзя кстати подходит крылатое выражение: "Кадры решают всё!". Контроль за поведением персонала в полном объеме невозможен. Действительно, добившись обеспечения технической защиты предприятия, служба безопасности не в состоянии эффективно контролировать те или иные поступки человека, а тем более, стопроцентно предугадать его помыслы и чаяния. Аналитики считают, что утечка информации происходит по нескольким причинам. Действия инсайдеров, готовых продать сведения, – 36 %; болтливость персонала – 10 %; подкуп сотрудников банка – 28 %; проникновение в базы данных – 21 %; технические методы сбора информации – 5 %. В итоге утечка коммерческой информации в 70 % случаев происходит по вине персонала. Отделить добросовестных сотрудников от недобросовестных "на глаз" довольно сложно даже психологам, поэтому локальной службе безопасности совместно с подразделениями, отвечающими за подбор персонала, приходится работать по принципу "доверяй, но проверяй". Особая роль в решении этого вопроса отводится методике тестирования потенциальных служащих финансового учреждения, которую формируют менеджеры по персоналу. Если объективно оценивать существующие сегодня процедуры отбора кадров, то оказывается, что во многих организациях акцент делается, прежде всего, лишь на выяснение уровня профессиональной подготовки кандидатов, который определяется по формальным признакам: образование, последняя занимаемая должность и стаж работы по специальности.
Как показывает практика, лучший способ бороться с инсайдерами – максимально усилить технический контроль над сделками. Для пущей безопасности, по мнению автора, в их совершении со стороны финансового учреждения должны принимать участие сразу несколько человек, последовательно выполняя функции внутреннего контроля. Позволяя одному служащему иметь полный контроль над важной сферой деятельности предприятия без перекрестной проверки другими служащими, организация тем самым создаёт благоприятные условия для совершения служебных подлогов.
Как уже отмечалось, должным образом бороться с инсайдерами при современном законодательстве практически невозможно. Человека, разгласившего конфиденциальную информацию, нельзя привлечь к уголовной ответственности и даже уволить. Меры административного характера – выговор – как правило, должного эффекта не имеют. Сотрудники, которые "сливают" информацию, получают за это немалые деньги, поэтому им ничего не стоит пережить лишний выговор.
Специалисты выделяют более ста факторов, влияющих на лояльность и благонадежность сотрудников. Условно их можно разделить на три группы: документально зафиксированные факты биографии, например, наличие судимости; сведения неформального характера (связи с криминалом); черты характера. Однако нельзя забывать, что персональные данные следует брать у самого работника, а для получения информации у третьей стороны желательно его письменное разрешение.
Инсайдеры, кто они?
Возвращаясь к внутреннему фактору разглашения инсайдерской информации, следует отметить, что дополнительной проблемой являются внешние служащие, работающие по контракту. Большинство из них имеет доступ во внутреннюю сеть компании. Как известно, аудиторы в своей деятельности, часто посещают корпоративную сеть, тем самым становясь аккумулятором информационных технологий и объектом для пристального внимания со стороны лиц, желающих получить такую информацию. Если проанализировать сложившуюся ситуацию, то можно увидеть, что в среднем каждый день 30 % пользователей корпоративной сети являются временными сотрудниками. Но всё же временные сотрудники способны только на получение части информации, и в связи с этим наибольшую опасность представляют все-таки штатные служащие, так как именно они лучше всего знают, что является критической информацией для компании и как найти к ней доступ. Следовательно, бизнес должен заботиться о своих сотрудниках, иначе они будут вести себя нелояльно. Именно поэтому в организации должна быть комплексная и всесторонняя политика ИТ-безопасности, которая регламентирует права и обязанности временных служащих (контрактников), а также устанавливает правила обработки конфиденциальной (личной, секретной, финансовой и др.) информации. В свою очередь этот официальный документ должен быть закреплен соответствующими барьерами, которые защитят критические цифровые активы компании от посягательств со стороны инсайдеров.
Но об общих тенденциях поговорить стоит. Взять, к примеру, скромную фигуру рядового бухгалтера. Обладая доступом к финансовым документам, бухгалтер может не только присвоить деньги банка, финансового учреждения или хозяйственного общества, но и без особых трудностей скрыть недостачу в своем отделе. На примере работы банков можно проследить, что манипуляции с процентами по сберегательным счетам осуществляются путем завышения фактических процентов, начисляемых на различные счета, и использования суммы, представленной в завышении, для компенсации фиктивных расходов – либо против счета клиента, либо против контрольного счета. При злоупотреблениях в кредитных и вексельных отделах банковские служащие чаще всего прибегают к подделке подписей на векселях клиентов, однако поддельные векселя иногда обнаруживаются во время их просмотра должностными лицами, знакомыми с подписями заемщиков. В этом случае инсайдеру проще найти сообщника, который по его "наводке" в самый удобный момент приносит платежное поручение на перевод крупной суммы со счета одного из клиентов банка. Операционист обязан лишь визуально проверить соответствие подписей и печати на платежном поручении и банковской карточке. Установить личность принесшего платежное поручение и его полномочия на право распоряжаться счетом операционист не должен. А ведь для мошенника получить информацию о том, как выглядят подписи и печать, и затем подделать их сегодня не составляет труда, особенно если ему помогает один из сотрудников банка. Так же деньги могут присваиваться путем занижения дохода, полученного в форме ссудных процентов и скидок по займам, или завышения суммы возврата процентов, когда займы погашаются досрочно.
Оформление фиктивных займов – характерный пример должностных преступлений сотрудников кредитных отделов банков. Займы оформляются на подставных или вымышленных получателей по несуществующим адресам или же по адресам людей, не имеющих никакого отношения к этим займам.
В последние годы широкое распространение получили нарушения, связанные с умышленной задержкой перечислений в бюджеты компаний, использованием этих средств для "прокрутки" на валютной бирже или же в качестве кредитов для быстрых спекулятивных сделок с целью последующего присвоения. Подобными махинациями занимаются в транзитных отделах банков.
А как у них?
Существует мировая практика борьбы с подобными негативными явлениями, которая непременно должна распространяться и повсеместно внедряться в отечественные бизнес-структуры. Такая влиятельная организация, как ФБР, для того чтобы защититься от инсайдеров, создаёт отдельное подразделение, в обязанности которого вменяется обеспечение внутренней ИТ-безопасности. В руках руководителя этого отдела будет сконцентрировано управление всеми программами ИТ-безопасности. На нем также будет лежать ответственность за защиту от инсайдеров, которая будет сбалансирована широкими полномочиями, делегированными этой должности.
Решение ФБР лучше всех других примеров демонстрирует, насколько важно организациям по всему миру защищать свои информационные активы и конфиденциальные данные. ФБР имеет в своем распоряжении контрразведывательные подразделения, службы ИТ-безопасности, чрезвычайно подозрительный отдел кадров и т. д. Но всего этого не хватает, чтобы противостоять инсайдерам – нужна служба внутренней ИТ-безопасности. Менее крупным организациям не обязательно выделять функции борьбы с инсайдерами в отдельное подразделение. Достаточно наделить ими службу ИТ-безопасности.
Это что касается США, однако в странах Европы существует аналогичная проблема. Еврокомиссия планирует подготовить новый закон в области защиты персональных данных. Однако на пути реализации будущего закона наверняка возникнут трудности. Если переводить слово "инсайд" дословно, то получим "внутри", "изнутри", "внутренний". По сути, таким термином в англоязычных странах принято называть все то, что доступно немногим, избранным. И информация, которая попадает в руки этих избранных, называется "инсайдерской". Европейская комиссия заявила, что существующие в области защиты личности законы требуют изменений и дополнений. На данный момент система неэффективна и не отвечает современным требованиям. Новая политика предполагает улучшить взаимодействие между отдельными правоохранительными органами. Таким образом, агентства смогут лучше противостоять угрозе утечек информации. Кроме того, законы будут ориентированы, прежде всего, на защиту от кражи личности в сфере электронных преступлений. Законопроект вряд ли будет подготовлен до конца этого года. Хотя актуальность проблемы не вызывает сомнений, инициативу европейских чиновников ждет ряд трудностей. Наверняка многие организации откажутся безвозмездно делиться информацией. Те, кто обладает хорошими наработками и богатой практикой в деле защиты информации, не будут заинтересованы передать наработанные технологии. А польза от прочих агентств окажется не столь эффективной. Но всё же сдвиги есть, и они положительные.
Изучив реальные угрозы, приступил Бизнесмен Бизнесменович к разработке эффективной схемы защиты.
Превентивная защита
Опыт развития, становления и процветания рейдерства как явления у нас достаточно велик и обширен. Точно так же достаточен и опыт борьбы с рейдерскими проявлениями, правда, пока не обобщенный, но всё же в некоторых случаях действенный! Общеизвестные факты статистики говорят о том, что в Украине примерно 40 % бизнесменов обращаются к компетентным специалистам (антирейдерам) до начала захвата предприятия. Остальные 60 % спешат за помощью, когда атака уже началась, реализовано несколько этапов плана захвата и собственник фактически потерял контроль над бизнесом. В целом, к превентивной защите прибегает не более 20 % предпринимателей. Именно таким пренебрежительным отношением к правилам безопасности ведения бизнеса и объясняется обилие успешных рейдов в нашей стране.
Практически все средства массовой информации писали о том, что теоретически любое отечественное предприятие может подвергнуться и стать жертвой рейдерской атаки. Во избежание таких захватов, необходимо знать о том минимуме необходимых действий, которыми бизнесмены могут обезопасить свое предприятие на каждом из этапов рейдерской атаки. Данные рекомендации не могут быть трактоваться как типовые, так как каждому предприятию присущи свои индивидуальные особенности и носят условный характер, однако в каждом отдельном случае собственник должен иметь возможность противостоять недружественному поглощению или захвату. Несмотря на всю сложность ситуации и, казалось бы, правовую пустоту в вопросах защиты от "торпедирования бизнеса", в практике антирейдерских компаний существуют обобщенные принципы защиты, которые и хотелось бы изложить.
Предвидя возможный недружественный захват или поглощение при потенциальной степени опасности, необходимо разработать и применить обобщенную методологию защиты. Потенциальная мишень, прежде всего, рискует потерять ликвидные активы (земля и недвижимость), а также налаженные связи и успешный бизнес. Если угроза рейдерской атаки призрачна и пугает только своей возможностью "быть", собственник, не торопясь, может выстроить дееспособную защиту, выбрав наиболее подходящий способ. Один из способов – это выстраивание с самого начала работы компании своеобразной холдинговой структуры, состоящей из нескольких компаний. Например, одной компании, как правило, частному предприятию (если собственник один) или ООО (если участник один или более) принадлежат активы. Вторая компания, не важно, какой формы собственности, занимается производством, используя мощности по договору с собственником активов. Третья закупает сырье для производства, перепродавая его затем второй. Четвертая реализует изготовленную продукцию. Пятая обеспечивает всё остальные персоналом или оказывает консалтинговые услуги. Более того, получить активы, войдя в состав акционеров или в число учредителей, также крайне сложно: компания, владеющая активами, зарегистрирована в форме ООО. Для сложности такого процесса головное предприятие группы собственников можно зарегистрировать за рубежом, что еще более усложнит задачу рейдера.
Есть здесь и свои сложности. Основной недостаток подобной схемы – сложность контроля финансовых потоков. Или, что ещё хуже, при таком построении бизнес-группы может возникнуть проблема с привлечением заемных средств. Ведь предприятия группы, непосредственно вовлеченные в бизнес-процесс, не располагают активами, под залог которых можно привлечь кредит. Если же деньги занимает ключевая компания, являющаяся собственником основных материальных ценностей, то активы становятся уязвимыми вследствие задолженности компании перед банком или другой кредитной организацией.
Ещё один вариант превентивной защиты – умышленное изначальное отягощение активов или самой компании долгами. Наличие существенной кредиторской задолженности предприятия вполне может служить неплохой гарантией от недружественного поглощения. Разумеется, только в том случае, если кредиторами выступают дружественные или подконтрольные должнику структуры. Если рейдер сможет захватить такую компанию, то он с удивлением обнаружит множество непогашенных долгов, сумма которых в несколько раз превышает стоимость бизнеса. А далее применяется процедура банкротства захваченного рейдером предприятия, что послужит основанием его возврата. Если же целью рейдера являются активы, то, захватив их, он обнаружит, что они три раза заложены и уже заключен предварительный договор об их продаже. Продать он их не сможет, пользоваться имуществом – тоже, и собственник сможет восстановить контроль над активами.