27 август 2020
Либертариум Либертариум

Digital Divide, или Российские Интернет-брокеры между двумя "Ф"

Первые заявки на государственное регулирование Интернет-услуг на российском рынке ценных бумаг. Перспективы лицензирования и создания равных конкрентных условий на рынке. Опубликовано на Полит.ру.

Автор - заместитель директора по развитию брокерской компании НИКойл

Вслед за США и объединенной Европой в России обретают плоть и кровь проблемы свободы электронной коммерции и роли государства в развитии и регулировании бизнеса через Интернет. Последние новости на эту тему пришли из Федеральной комиссии по рынку ценных бумаг (ФКЦБ). И эти новости заставляют задуматься о проблеме digital divide " разрыва между развитыми и развивающимися странами в использовании современных цифровых технологий.

Возглавляемая вплоть до самого последнего времени Дмитрием Васильевым ФКЦБ считалась в России проводником "американской" модели развития финансовых рынков. Несмотря на то, что сам Васильев всегда демонстрировал активное неприятие термина "либерализм" в применении к своей деятельности, принципы относительной свободы, лежащие в основе североамериканской финансовой системы, просачивались и на российский рынок. Что всегда вызывало протест у основного конкурента ФКЦБ " Центрального Банка (ЦБ), который официально признавал себя сторонником "континентальной" или "германской" модели, а фактически демонстрировал черты наиболее социалистического из всех современных российских государственных институтов.

Однако именно ФКЦБ неожиданно начала кампанию, которая может иметь далеко идущие негативные последствия для электронной коммерции и развития российских финансовых рынков. Началась эта кампания незадолго до загадочной отставки Васильева с поста Председателя ФКЦБ (об официальном принятии отставки, как и об официальном назначении и.о. Председателя, до сих пор нет сведений). Заявление об отставке было вторым пунктом программы пресс-конференции 15 октября, а первое заявление тогда еще Председателя ФКЦБ касалось намерения Комиссии провести расследование обстоятельств появления в Интернете русскоязычных сайтов, предлагающих услуги иностранных брокеров через Интернет.

Вслед за заявлением последовала встреча российских брокеров с начальником Управления по работе с участниками фондового рынка ФКЦБ Еленой Одягайло, состоявшаяся 17 ноября. На этой встрече российские брокеры, уже ведущие обслуживание клиентов через Интернет или планирующие в ближайшее время начать такое обслуживание, выразили свою озабоченность угрозой неравных условий конкуренции с западными коллегами. И пожелали ФКЦБ разработать регулирование он-лайновых услуг таким образом, чтобы оно устраивало как государство, так и самих участников рынка.

Черты этого регулирования уже начали проявляться. В появившемся 2 декабря интервью г-жи Одягайло "Gazeta" содержатся первые наметки того, каким образом ФКЦБ будет создавать российским участникам равные условия с иностранными конкурентами. Выясняется, что вполне российским образом.

Первой мерой станет выяснение: на каком основании иностранные брокеры предлагают свои услуги на русском языке. Такое несомненно подозрительное поведение иностранцев станет поводом для обращения к SEC - (коллегам ФКЦБ в США, а позднее, видимо, и к коллегам в других юрисдикциях), с запросом о наличии у них лицензий на оказание соответствующих услуг. Этим, судя по интервью, и ограничатся усилия ФКЦБ в направлении зловредных иностранцев.

С теми владельцами сайтов, которые нарушают законы США, разберутся юристы из SEC, встреч с которыми жуликам и махинаторам рекомендуется всячески избегать. Те же, кто должным образом в SEC зарегистрирован, продолжат свою деятельность, и их российские клиенты могут спать спокойно, так как по мнению ФКЦБ, россиянами, инвестирующими деньги на Западе, должен заниматься ЦБ РФ, репутация которого пока еще уступает репутации заокеанских регуляторов.

Вполне в русле мировых тенденций российское государство готово признать единственный логичный способ определения юрисдикции в век глобальной сети " по месту регистрации лица, оказывающего услуги. Лицензированному американцу, пусть и пишущему на русском языке, ничего в России не грозит. Тем временем 1 декабря предоставление брокерских услуг в сети начал Merrill Lynch (пока на нерусских языках), в наличии лицензии у которого никто не сомневается, и которому доступны для торговли депозитарные расписки на большинство российских голубых фишек. Запомним этот факт.

Итак, основные усилия ФКЦБ по обеспечению равных условий доступа на рынок Интернет-услуг будут направлены на российских инвесторов и российских брокеров. И мало им не покажется. "Программное обеспечение электронных брокеров обязательно должно иметь сертификат ФАПСИ", - сказала Елена Одягайло.

Эта фраза многое скажет специалистам, разбирающимся в правовом регулировании электронного документооборота и криптографии в России. На сегодняшний день в результате многочисленных споров вокруг набора законов и подзаконных актов в этой сфере, выработалось равнодействующее (то есть постоянно оспариваемое) мнение юристов и практиков. В соответствии с ним сертифицированное Федеральным агентством правительственной связи и информации (ФАПСИ) программное обеспечение обязательно для использования государственными организациями, а также кредитными институтами в общении друг с другом. На основе этого консенсуса коммерческие банки развивают телефонные банковские услуги, системы "банк-клиент" и Интернет-банкинг, а Интернет-магазины налаживают прием кредитных карт в оплату своих услуг. ЦБ РФ, ответственный за развитие денежного обращения в стране, пока не пытается вмешаться в их деятельность, и сертификация ФАПСИ остается для них отдаленной угрозой.

ФКЦБ вправе регулировать практически любые аспекты обращения ценных бумаг и деятельности профессиональных участников фондового рынка в России. Пока законодательство позволяет брокерам и банкам самим определять в договорах с клиентами порядок использования средств криптографии и электронной подписи. Чем же мотивирует свои намерения ограничить это право государственный орган?

Защитой прав инвесторов, и только. Никакой закон не обязывает ФКЦБ вмешаться уже сегодня в сферу брокерских услуг в сети. ФКЦБ признает, что на сегодня такие услуги оказывает в России только один брокер, и жалоб от его клиентов пока не поступало. Как и жалоб от клиентов иностранных брокеров, впрочем. По поводу иностранных брокеров ФКЦБ планирует выступить с публичным предупреждением. Принятие жестких мер, по всей видимости, кажется ФКЦБ единственным действенным инструментом по отношению к россиянам. Может быть потому, что нет иных?

Иные меры были очерчены на упомянутой выше встрече с брокерами. Например, создать механизм разрешения споров по поводу электронных документов в третейских судах при саморегулируемых организациях, российских биржах и торговых системах. Такие третейские суды являются эффективными инструментами воздействия на брокеров, так как исключение из членства на торговых площадках уничтожает бизнес брокера в один день, и именно это наказание грозит тому, кто не принимает решения третейского суда. Еще один доступный метод " создание системы независимого архивирования поручений клиентов, переданных по электронным каналам, у третьего лица. Именно такой проект уже начала одна из российских бирж (к сожалению, исключительно с использованием сертифицированного ФАПСИ программного обеспечения).

Ну а в чем проблема, чем плоха сертификация ФАПСИ?

Во-первых, своим отсутствием. На сегодня никто еще не видел сертифицированный продукт, который может быть использован на компьютерах массовых пользователей.

Во-вторых, обещанный (через некоторое время) продукт плох своей нестандартностью. Чтобы стать клиентом иностранного он-лайнового брокера, достаточно стандартного программного обеспечения " Netscape Navigator или Microsoft Explorer. Если у вас экспортная версия с ослабленной криптозащитой, вы можете скачать небольшой патч (говорят, что последние версии программ будут автоматически использовать сильную защиту с американским сервером и слабую с иностранным). Для потенциальных мелких клиентов необходимость устанавливать на свои компьютеры специальное средство станет препятствием.

Для иностранных инвесторов оно может оказаться непреодолимым в силу третьего недостатка сертификации ФАПСИ " непрозрачности. Дыры в защите американских браузеров и призраки специализированных закладок АНБ США преследуют пользователей средств криптозащиты во всем мире. Что же можно сказать по поводу программного обеспечения, разработанного в России фирмой, имеющей лицензию почти "from KGB"? Фактически требование сертификации продукта (и отсутствие шансов на сертификацию в ФАПСИ для стандартных браузеров) приведет к разделению рынка на Россию и остальной мир. Фондовый рынок России очень мал, извне этого разделения просто не заметят, а вот изнутри уменьшение потока иностранных инвестиций может оказаться заметным.

И последний недостаток планируемого нововведения " платность. За сертифицированный продукт придется платить. Платить должен будет или сам инвестор, или его брокер. Если учесть, что во всем мире Интернет-коммерция требует больших инвестиций и одновременно уменьшает маржу, получаемую бизнесом, дополнительные издержки не увеличивают привлекательность выхода на рынок. Впрочем, от последнего недостатка уже легко перейти к достоинствам. Платность продукта несомненно является достоинством для фирмы-производителя. Ее фактическая монополия (ФАПСИ никогда не раздавало лицензий направо и налево) является вторым достоинством новой системы.

Единственное достоинство, которое имеет смысл обсуждать всерьез " высокая степень защиты информации, действительно недоступная пользователям экспортных версий американских программных продуктов и сертификатов электронных подписей. Но приглядимся повнимательнее к законодательству об экспорте сильной криптографии из США. Во-первых, оно меняется. И неизвестно, появится ли сертифицированный ФАПСИ продукт раньше, чем пройдет все инстанции закон об отмене экспортных ограничений в США. Во-вторых, экспорт надежных сертификатов разрешен и теперь, для банков, финансовых институтов, электронных торговцев, общественных организаций, медицинских и дочерних американских компаний - кроме банков и финансовых институтов, расположенных в Афганистане, Венесуэле, Доминиканской республике, Индии, Ираке, Иране, Каймановых островах, Китае, Колумбии, на Кубе, в Ливии, Мексике, Нигерии, Пакистане, Панаме, Парагвае, Российской Федерации, Румынии, Северной Корее, Сербии, Сирии, Судане, на Тайване, в Таиланде, Черногории и в Чили. Ограничения для электронных торговцев, общественных организаций, медицинских и дочерних американских компаний значительно слабее, и Россию не включают.

Вот оно, еще одно направление для деятельности по обеспечению равных конкурентных условий для российских и иностранных брокеров. Американские законодатели явно больше обеспокоены успехом своих банков и брокеров (включая их дочерние компании), чем равной конкуренцией. Почему бы ФКЦБ, давно уже ставшей полноправным членом Международной организации комиссий по ценным бумагам (IOSCO), не поговорить на эту тему со своими коллегами из Комиссии американской?

Пора подводить итоги. Проведение в жизнь планов ФКЦБ в их озвученном Gazeta.ru варианте не создаст условий для равной конкуренции. Российский рынок ценных бумаг окажется в неравных условиях с иными сегментами российского электронного рынка. Банковские услуги и торговля товарами получат явное конкурентное преимущество по сравнению с услугами брокеров и депозитариев.

Резко ухудшатся условия конкуренции российских брокеров с иностранными. С развитием глобального фондового рынка у иностранных инвесторов вообще пропадают причины обращаться к услугам местного брокера. Если предоставление услуг по сети будет для российских брокеров сопряжено с необходимостью установить специальное программное обеспечение на компьютер каждого клиента, про иностранных инвесторов (и про тех, кто может таковыми прикинуться) можно будет забыть. Нишу российских брокеров займут иностранцы. Углубится пресловутый digital divide, отделяющий рынки развитых и развивающихся стран.

Является ли вмешательство ФКЦБ результатом искренней заботы об инвесторах, следствием смены руководства, смены политики, давней дружбы с ФАПСИ или чьих-то лоббирующих усилий? Для брокеров, которые оказались под угрозой необоснованного "перерегулирования" и вытеснения с рынка, это не столь важно.

Комментарии (3)

  • DIVIDE OVERFLOW: СИТУАЦИЯ МОЖЕТ БЫТЬ НЕСКОЛЬКО СЛОЖНЕЕ, ЧЕМ СЛЕДУЕТ ИЗ АНАЛИЗА АГРОСКИНА

    Виктор Агроскин в своей статье "Digital Divide" совершенно
    справедливо привлекает внимание к нездоровой ситуации вокруг еще
    несуществующей отрасли Internet-брокеринга в России, и, в частности, к
    угрозе сговора между "Двумя "Ф"": ФКЦБ и ФАПСИ за спиной участников
    рынка и их клиентов, направленного на то, чтобы отделить российский
    рынок капитала от рынков более развитых стран.

    Я бы хотел обратить внимание на некоторые технические детали.

    Агроскин пишет: "Ну а в чем проблема, чем плоха сертификация ФАПСИ?"

    Мне бы хотелось дать несколько другой, нежели предложенный Агроскиным,
    более технический и формальный, почти математический ответ на этот
    вопрос, перечислив некоторые из общепринятых требований к средствам
    гражданской криптографии и пояснив, почему к "сертифицированным ФАПСИ
    шифровальным средствам" нельзя относиться серьезно.

    Требование 1. Использование проверенных временем и прошедших горнило
    пристрастной коллегиальной критики криптографических алгоритмов.

    1.1 На сегодня ФАПСИ настаивает на использовании своих алгоритмов,
    описанных в доморощенных ГОСТах и российских стандартах. История их
    создания темна, критерии принятия решений о тех или иных
    конструктивных особенностях неясны, а спецификации некоторых из них
    (например, стандарта на электронную цифровую подпись) по стилю
    напоминают скорее грязные черновики, чем законченные, подлежащие
    однозначной интерпретации формальные документы.

    1.2 Ни один из них не привлек сколько-нибудь значительного внимания
    профессионального сообщества и ни одному из них не было уделено хотя
    бы одного процента того времени квалифицированных независимых
    экспертов, которое потрачено на анализ 3DES, IDEA, CAST, Blowfish,
    RSA, DH/ElGamal или других общеупотребимых криптографических
    алгоритмов.

    1.3 Ни один из них не принят в результате открытого конкурса,
    подобного тому, который проходят сейчас кандидаты на новый федеральный
    стандарт симметричного шифра в США.

    Поэтому в ответ на вопрос об их стойкости честный профессионал может
    лишь пожать плечами.

    Требование 2. Использование опубликованных и однозначно
    интерпретируемых спецификаций протоколов и форматов передачи данных.

    2.1 Я не видел таких спецификаций не только в официальных публикациях,
    но и в технической документации к отдельным продуктам.

    2.2 В тех случаях, когда декларируется использование какого-либо
    известного протокола (SSL, S/MIME и т.п.), выясняется, что
    соответствующие алгоритмы не зарегистрированы для использования в
    этом протоколе. Хотя большинство из протоколов специфицируется
    открытыми комитетами или рабочими группами IETF, и никто не мешает
    производителям подать заявку на регистрацию дополнительного алгоритма.

    Требование 3. Открытость исходных текстов программ и модулей для
    независимой экспертизы.

    3.1 На сегодняшний день публике не доступны исходные тексты ни
    одного
    из программных продуктов, имеющих сертификат ФАПСИ (и ни одной
    топологии аппаратных средств, если уж на то пошло).

    3.2 Что скрывают производители? Свою некомпетентность? Несоответствие
    своих продуктов описаниям? Обнаружения "закладок", внедренных в
    сговоре с ФАПСИ и открывающих возможность несанкционированного доступа
    к якобы "защищенным" данным? -- Можно только догадываться.

    Требование 4. Ответственность производителя.

    4.1 На сегодняшний день никакой ответственности за соответствие
    сертифицированного ФАПСИ продукта заявленным характеристикам (в
    частности, заявленной стойкости) производитель не несет.

    4.2 В рекламе часто говорится: "гарантированная сертификатом ФАПСИ
    стойкость", однако, если клиент попытается выяснить, в какой сумме
    выражается эта "гарантия", в ФАПСИ его просто не поймут: "Мы же не
    страховая компания".

    4.2 Что вам ответят на этот вопрос сами производители, можете выяснить
    сами, позвонив в любую из компаний, имеющих лицензии ФАПСИ.

    ....Этот список можно продолжить...

    Далее, Агроскин предполагает, что "единственное достоинство, которое
    имеет смысл обсуждать всерьез "высокая степень защиты информации,
    действительно недоступная пользователям экспортных версий американских
    программных продуктов и сертификатов электронных подписей."

    Здесь есть недосказанность. Хотя США и являются наиболее крупным
    производителем программного обеспечения, на них свет клином не
    сошелся; более того, режим экспортных ограничений на стойкое крипто
    "выбросил" многие компании, специализирующиеся на этих перспективных
    технологиях, за пределы Северной Америки.

    За пределами США (в том числе и россиянам) доступны такие продукты,
    как пакеты PGPi и GNU Privacy Guard,
    реализующий стойкую криптографию по протоколам OpenPGP и IPSec и
    норвежский браузер Opera, реализующий стойкую
    криптографию по протоколу SSL.

    Более того, для ряда американских продуктов существуют "заплатки",
    убирающие "экспортные закладки", ограничивающие длину ключа. Агроскин
    лишь упомянул об их наличии, а мне хочется дать хотя бы одну
    конкретную ссылку, поскольку для кого-то из читателей вопрос о
    стойкости шифрования может стоять и в практической плоскости.
    Например, для популярных продуктов Netscape Navigator и Netscape
    Communicator (на всех платформах, включая столь любимую народом
    Wintel) существует программа Fortify ,
    восстанавливающая способность их "экспортных" версий к безопасной
    коммуникации по протоколам SSL и S/MIME.

    Таким образом, проблемы недоступности программных продуктов,
    реализующих стойкое крипто, на сегодня просто нет. Соответственно, и
    указанного "достоинства", которым, по Агроскину, гипотетически могли
    бы обладать продукты от ФАПСИ, тоже нет, и обсуждать его не имеет
    смысла.

    "Во-вторых, экспорт надежных сертификатов разрешен и теперь, для
    банков, финансовых институтов, электронных торговцев, общественных
    организаций, медицинских и дочерних американских компаний - кроме
    банков и финансовых институтов, расположенных в Афганистане,
    Венесуэле, Доминиканской республике, Индии, Ираке, Иране, Каймановых
    островах, Китае, Колумбии, на Кубе, в Ливии, Мексике, Нигерии,
    Пакистане, Панаме, Парагвае, Российской Федерации, Румынии, Северной
    Корее, Сербии, Сирии, Судане, на Тайване, в Таиланде, Черногории и в
    Чили. Ограничения для электронных торговцев, общественных организаций,
    медицинских и дочерних американских компаний значительно слабее, и
    Россию не включают. "

    Проблемы недоступности сертификатов (в том числе, и для финансовых
    организаций) тоже нет, так как сети сертифицирующих организаций
    развернуты не только в США. В частности, популярность в России
    приобрели сертификаты, выпускаемые пользующейся высокой репутацией
    фирмой Thawte, Inc., которая базируется в ЮАР и имеет
    представителей во многих странах, включая близкую к нам Эстонию.
    Сертификаты ключей самой Thawte входят в базовые поставки большинства
    браузеров, включая продукты той же Netscape Corp. и новомодный
    Internet Explorer от Microsoft, Inc.

    ***

    Несмотря на эти уточнения, и несмотря на то, что я не в силах
    верифицировать политические предположения Агроскина, я склонен
    согласиться с основным выводом статьи. В нынешних условиях глобального
    делового пространства за любой попыткой выполнить digital divide
    неизменно последует divide overflow. Если стандартенфюрерам от ФАПСИ
    удастся оккупировать пространство технологической инфраструктуры
    российского сектора рынка ценных бумаг, то рынок ценных бумаг (включая
    российских инвесторов) будет жить сам по себе, а Россия -- сама по себе

  • Надежные и известные сертификаты для серверов

    Максим,

    я взял список ограничений на экспорт длинных сертификатов с сайта http://www.thawte.com . Все-таки мне показалось, что российским финансовым институтам они надежных сертификатов не продают?

    В общем, требование к сертификатам у меня простое - сертификат должен узнаваться стандартным браузером, установленным в любой точке мира. Список предустановленных в мою копию Навигатора Certificate Authorities включает Deutsche Telecom. Пойду посмотрю, кому они продают....

  • Надежные и известные сертификаты для серверов

    Сходил на Дойче Телеком. Никому они не продают, кроме немцев. И вообще по-английски не разговаривают. Зато среди предустановленных сертификатов обнаружились http://www.globalsign.net/ из Бельгии. У них про ограничения ничего не сказано. Но и про длину сертификатов не сказано.

    Кто-нибудь знает, какие сертификаты от CA's доступны в Европе?

[email protected] Московский Либертариум, 1994-2020