Skip to main content

Блоги экспертов

Friday Squid Blogging: Squid Launcher from "Despicable Me"

Schneier on Security - 15 часов 15 минут назад

Don't squid me, bro.

Категории: English, Все записи

Почему бессмысленно защищаться от преступников сокрытием информации

Блог Федотова - Пт, 30/07/2010 - 22:08
Начнём с рассмотрения прецедента. Однажды мошенник, получив из банка данные о задолженности, «...позвонил одной из клиенток, представился сотрудником службы безопасности банка и предложил погасить имеющуюся задолженность по кредиту на привлекательных условиях - без уплаты процентов. ...злоумышленник назвал даме номер расчетного счета, на который она должна была перечислить долг...» Из аналогичных преступлений кое-кто делает вывод, что персональные данные следует засекречивать во имя предотвращения мошенничества. Вывод совершенно неверный.

Для совершения преступлений используется много разных вещей и разной информации. Было бы неразумно запрещать, ограничивать или засекречивать всё, что используется, правда? Но столь же неразумно всё разрешать, в том числе, предметы (сведения), которые могут быть использованы только для преступных целей и больше ни для каких. Очевидно, разумное решение в том, что ограничения следует налагать на такие предметы и сведения, которые:
  1. для противоправных целей применяются много чаще, чем для законных;
  2. не имеют легальных применений, которые являются существенными с точки зрения прав человека;
  3. могут быть эффективно ограничены в обороте (т.е. после ограничения преступники испытают много больше сложностей, чем законопослушные граждане);
  4. приведут к действительному снижению соответствующих преступлений.

Классический предмет ограниченного оборота – оружие – всем четырём критериям удовлетворяет. (В тех странах, где огнестрельное оружие наличествует в "свободной продаже", очевидно, как-то по-своему взвешивают права человека, пункт 2.)

Посмотрим через вышеуказанные критерии на персональные данные. Конкретнее, на сведения о задолженности по кредиту.


Инженерное заграждение должно остановить врага или задержать его на время, достаточное для 1-2 дополнительных выстрелов. Если противник преодолевает препятствие без задержки – оно бессмысленно. Эта информация может быть использована не только мошенниками, но и многими честными гражданами и организациями. Например, для оценки состоятельности и платежеспособности человека, для построения с ним деловых и личных взаимоотношений. Право знать, что человек, с которым ты имеешь дело, не вернул кому-то долг – вполне себе вписывается в конституционное право на свободу информации. Информация свободна не просто так, а ради полезных целей.

Если бы (представим невозможное) нам удалось надёжно "закрыть" персональные данные, как того требует ФЗ-152, случилось бы это конкретное мошенничество? Очевидно, нет. А снизилось бы общее число преступлений? Вопрос непростой. Ваш покорный слуга считает, что не снизилось бы. Гражданин "Гоги Гелашвили" из процитированного сообщения – профессиональный обманщик. Живёт тем, что похищает чужие деньги. Недоступность одной жертвы не приводит к тому, что он складывает руки или, тем более, бросает преступный промысел и идёт вкалывать на завод. Он переключается на следующий объект. Вот что действительно склонило бы помянутого гражданина к праведной жизни – так это отправка его года на три шить рукавицы в Пермский край. А этому будет способствовать отнюдь не секретность данных, а своевременное выявление и учёт преступлений.

К тому же, если бы данные обо всех должниках (тем более, просрочивших) были бы общедоступными, то данное преступление тоже стало бы невозможным. Жертве обмана в голову бы не пришло принимать мошенника за полномочное должностное лицо банка. Только мнимая секретность персональных данных позволила жулику выдать себя за такового.

Ставить на пути преступников столь мелкие препятствия, как конфиденциальность персональных данных – это значит совсем не понимать логики и экономики криминального мира. Препятствия должны быть серьёзными. С врагом надо воевать, а не щекотать его.

Категории: Все записи

Doomsday Shelters

Schneier on Security - Пт, 30/07/2010 - 21:47

Selling fear:

The Vivos network, which offers partial ownerships similar to a timeshare in underground shelter communities, is one of several ventures touting escape from a surface-level calamity.

Radius Engineering in Terrell, Texas, has built underground shelters for more than three decades, and business has never been better, says Walton McCarthy, company president.

The company sells fiberglass shelters that can accommodate 10 to 2,000 adults to live underground for one to five years with power, food, water and filtered air, McCarthy says.

The shelters range from $400,000 to a $41 million facility Radius built and installed underground that is suitable for 750 people, McCarthy says. He declined to disclose the client or location of the shelter.

"We've doubled sales every year for five years," he says.Other shelter manufacturers include Hardened Structures of Colorado and Utah Shelter Systems, which also report increased sales.

[...]

The Vivos website features a clock counting down to Dec. 21, 2012, the date when the ancient Mayan "Long Count" calendar marks the end of a 5,126-year era, at which time some people expect an unknown apocalypse.

Vicino, whose terravivos.com website lists 11 global catastrophes ranging from nuclear war to solar flares to comets, bristles at the notion he's profiting from people's fears.

"You don't think of the person who sells you a fire extinguisher as taking advantage of your fear," he says. "The fact that you may never use that fire extinguisher doesn't make it a waste or bad.

"We're not creating the fear; the fear is already out there. We're creating a solution.

Yip Harburg commented on the subject about half a century ago, and the Chad Mitchell Trio recited it. It's at about 0:40 on the recording, though the rest is worth listening to as well.

    Hammacher Schlemmer is selling a shelter,
          worthy of Kubla Khan's Xanadu dome;
    Plushy and swanky, with posh hanky panky
          that affluent Yankees can really call home.

    Hammacher Schlemmer is selling a shelter,
          a push-button palace, fluorescent repose;
    Electric devices for facing a crisis
          with frozen fruit ices and cinema shows.

    Hammacher Schlemmer is selling a shelter
          all chromium kitchens and rubber-tiled dorms;
    With waterproof portals to echo the chortles
          of weatherproof mortals in hydrogen storms.

    What a great come-to-glory emporium!
    To enjoy a deluxe moratorium,
    Where nuclear heat can beguile the elite
          in a creme-de-la-creme crematorium.
Категории: English, Все записи

Hacking ATMs

Schneier on Security - Пт, 30/07/2010 - 17:55

Hacking ATMs to spit out money, demonstrated at the Black Hat conference:

The two systems he hacked on stage were made by Triton and Tranax. The Tranax hack was conducted using an authentication bypass vulnerability that Jack found in the system's remote monitoring feature, which can be accessed over the Internet or dial-up, depending on how the owner configured the machine.

Tranax's remote monitoring system is turned on by default, but Jack said the company has since begun advising customers to protect themselves from the attack by disabling the remote system.

To conduct the remote hack, an attacker would need to know an ATM's Internet IP address or phone number. Jack said he believes about 95 percent of retail ATMs are on dial-up; a hacker could war dial for ATMs connected to telephone modems, and identify them by the cash machine's proprietary protocol.

The Triton attack was made possible by a security flaw that allowed unauthorized programs to execute on the system. The company distributed a patch last November so that only digitally signed code can run on them.

Both the Triton and Tranax ATMs run on Windows CE.

Using a remote attack tool, dubbed Dillinger, Jack was able to exploit the authentication bypass vulnerability in Tranax's remote monitoring feature and upload software or overwrite the entire firmware on the system. With that capability, he installed a malicious program he wrote, called Scrooge.

EDITED TO ADD (7/30): Another two articles.

Категории: English, Все записи

Срочно вспоминаем свои online-платежи и блокируем карты?

Блог Гордейчика - Пт, 30/07/2010 - 14:34

Без комментариев.


http://www.google.ru/search?hl=ru&source=hp&q=%D0%A5%D1%80%D0%BE%D0%BD%D0%BE%D0%BF%D1%8D%D0%B9+%D0%9C%D0%9F%D0%A1+%D0%90%D1%8D%D1%80%D0%BE%D1%84%D0%BB%D0%BE%D1%82&aq=f&aqi=&aql=&oq=&gs_rfai=

Категории: Все записи

Juniper покупает SMobile

Блог Лукацкого - Пт, 30/07/2010 - 06:36
27 июля Juniper объявила о покупке небольшой компании SMobile, занимающейся разработкой ПО для защиты мобильных устройств на базе Android, Apple iOS (iPhones и iPads), Symbian, BlackBerry и Windows Mobile. Сумма сделки - около 70 миллионов долларов. Емкость рынка не очень большая (для покупателя) - всего около миллиарда долларов к 2014 году. Но и сумма покупки тоже не зашкаливает.
Категории: Все записи

Привычное-незаметное

Блог Федотова - Чт, 29/07/2010 - 17:16
Старое – привычно. Старое – ненадёжно. Но привычное редко воспринимается критически. Вот, например, в старой доброй Англии... «Великобританию заполонили поддельные однофунтовые монеты
Эксперты, опрошенные изданием, не исключили, что Королевскому Монетному двору придется перевыпустить все монеты достоинством в 1 фунт. ...более 2,8 процента всех однофунтовых монет являются поддельными.» Это безобразие иначе как "разгулом фальшивомонетчиков" не назовёшь.

Купюры от подделки защищены гораздо лучше. Постоянно становятся доступны новые технологии для подделки, постоянно же совершенствуются меры защиты бумажных купюр. А вот металлические монеты у нас ровно такие же, как 500 и даже 1000 лет назад. Где новые технологии? Где голограммы? Где переливы цвета? Где RFID-метки? Я уж не буду заикаться про "нано", чтоб не бередить патриотизм, но где хотя бы индивидуальные номера на монетах? А в распоряжении злоумышленников за последние несколько веков появилось довольно много технологий, позволяющих упростить и удешевить изготовление монет, уменьшить размеры оборудования, снизить его заметность и так далее. Всё меняется, только средство проверки подлинности (человек) остаётся прежним.

Однако монеты были всю дорогу настолько привычной технологией защиты, что мало кто задумывался о её стойкости, о её надёжности.


...и совсем недорого. При чём тут утечки? При том, что мы, защитники информации, тоже используем технологии, которым не одна сотня лет. Мы к ним так привыкли, что обычно не отдаём себе отчёта, что имеем дело именно с технологиями именно защиты. Например, опознавание человека по лицу и по голосу. Это технология аутентификации, древняя настолько, что она уже окаменела в наших головах. В эту окаменелость с трудом приходит предположение, что для злоумышленника изменить голос и внешность ныне много легче, нежели сто лет назад. И дешевле. Такой фокус окупается не только при краже миллиона долларов, но и при банальной социально-инженерной краже пароля от билинговой системы.

Другой пример. Кое-кто ради пущей надёжности требует нотариально заверенную копию документа. Для добросовестных граждан такое требование затрудняет жизнь, а для мошенников – облегчает. Потому что поддельная печать нотариуса стоит совершенно смешных денег, дешевле любого удостоверения, сертификата, диплома или свидетельства. К тому же, может быть использована многократно. Да, нотариус – это хорошая, годная технология, но слабейшим звеном в этой цепочке является резиновая печать. А печать – технология позапрошлого века.

Присмотритесь, сколько вокруг вас привычного старья, которому мы привыкли доверять, а доверять-то уже нельзя.

Категории: Все записи

Log Awesomeness – On August 19!

Chuvakin's blog - Чт, 29/07/2010 - 16:05

As far as awesomeness is concerned  [and I am a big student of it :-)], this is full of it. BrightTalk Log Management Summit promises to be as awesome as logging events go... Here is an agenda:

WHEN: Thursday, August 19, 2010, attend live online throughout the day or afterward on-demand

HOW: Register Now: http://www.brighttalk.com/r/vbf

TOPICS AND PRESENTERS:

  • “Log Standards & Future Trends” by Dr. Anton Chuvakin, Principal, Security Warrior Consulting
  • “Leveraging Logs, Information and Events” by Derek Brink, VP & Research Fellow for IT Security, Aberdeen Group
  • “Log Visualization in the Cloud” by Raffael Marty, Chief Logger, SecViz.org <– how come they don’t mention Loggly here?
  • “The Integration Lifecycle: Loving Long Logging Lifecycles” by Andrew Hay, CISSP, Senior Analyst, Enterprise Security Practice, The 451 Group <- high chance for an awesomeness boost from Andrew!
  • “Best Practice and Approaches for Log Management” by Ritesh Singhai, Senior Security Engineer, SecureWorks
  • “Delivering Value from SIEM” by Chris Burtenshaw, Information & Technology Risk Manager, Deloitte

Enjoy! And “see” you there on August 19th.

Possibly related posts:

About me: http://www.chuvakin.org


Категории: English, Все записи

Security Vulnerabilities of Smart Electricity Meters

Schneier on Security - Чт, 29/07/2010 - 15:16

"Who controls the off switch?" by Ross Anderson and Shailendra Fuloria.

Abstract: We're about to acquire a significant new cybervulnerability. The world's energy utilities are starting to install hundreds of millions of 'smart meters' which contain a remote off switch. Its main purpose is to ensure that customers who default on their payments can be switched remotely to a prepay tariff; secondary purposes include supporting interruptible tariffs and implementing rolling power cuts at times of supply shortage.

The off switch creates information security problems of a kind, and on a scale, that the energy companies have not had to face before. From the viewpoint of a cyber attacker -- whether a hostile government agency, a terrorist organisation or even a militant environmental group -- the ideal attack on a target country is to interrupt its citizens' electricity supply. This is the cyber equivalent of a nuclear strike; when electricity stops, then pretty soon everything else does too. Until now, the only plausible ways to do that involved attacks on critical generation, transmission and distribution assets, which are increasingly well defended.

Smart meters change the game. The combination of commands that will cause meters to interrupt the supply, of applets and software upgrades that run in the meters, and of cryptographic keys that are used to authenticate these commands and software changes, create a new strategic vulnerability, which we discuss in this paper.

The two have another paper on the economics of smart meters. Blog post here.

Категории: English, Все записи

DNSSEC Root Key Split Among Seven People

Schneier on Security - Ср, 28/07/2010 - 20:12

The DNSSEC root key has been divided among seven people:

Part of ICANN's security scheme is the Domain Name System Security, a security protocol that ensures Web sites are registered and "signed" (this is the security measure built into the Web that ensures when you go to a URL you arrive at a real site and not an identical pirate site). Most major servers are a part of DNSSEC, as it's known, and during a major international attack, the system might sever connections between important servers to contain the damage.

A minimum of five of the seven keyholders -- one each from Britain, the U.S., Burkina Faso, Trinidad and Tobago, Canada, China, and the Czech Republic -- would have to converge at a U.S. base with their keys to restart the system and connect everything once again.

That's a secret sharing scheme they're using, most likely Shamir's Secret Sharing.
We know the names of some of them.

Paul Kane -- who lives in the Bradford-on-Avon area -- has been chosen to look after one of seven keys, which will 'restart the world wide web' in the event of a catastrophic event.

Dan Kaminsky is another.

I don't know how they picked those countries.

Категории: English, Все записи

Ты куда смотришь?!

Блог Федотова - Ср, 28/07/2010 - 16:05
Продвинутые модели полиграфов ("детекторов лжи") фиксируют наряду с прочими такой показатель, как движение зрачков испытуемого. Например, как давно известно, движение глазами вверх-влево непосредственно перед ответом на вопрос означает, что человек вспоминает то, что было. Аналогичное движение вверх-вправо значит, что человек выдумывает то, чего не было.

Запатентованы, разработаны, но пока не продаются устройства, позволяющие фиксировать взгляды прохожих на наружную рекламу. Своеобразный "счётчик посещений" для офлайна.

Компьютерные интерфейсы, где управление происходит движением зрачков пользователей уже существуют. Они серийно выпускаются и внедрены лишь для некоторой военной техники. На гражданке – проходят стадии экспериментальных моделей.

В то же время, направление взгляда человека вполне неплохо фиксируется и безо всяких навороченных технических средств. И не только фиксируется. С недавних пор "сексуальный взгляд" ("excessive eye contact") может иметь существенные правовые последствия. Страшно подумать, что будет, когда фокусирование взгляда на предмете можно будет запротоколировать.

На наш взгляд, назрела необходимость ставить "зрачковый" модуль на DLP-систему (пока "на"). Наличие возможности управлять компьютером при помощи взгляда будет для работников вполне достаточной платой за отслеживание их зрительной активности. А информация о частоте и продолжительности взглядов на те или иные элементы GUI, слова и картинки скажет о пользователе ой-ёй-ёй сколько интересного.

Категории: Все записи

Статья на CNews

Блог Царева - Ср, 28/07/2010 - 12:25

Сегодня на CNews вышла статья «Защита персональных данных: пригодится ли нам британский опыт?», которую мы писали совместно с Алексеем Волковым.

Статья получилась более фундаментальной, чем обычно. В ней сравниваем международные законы и стандарты. Приходим к выводу, что они не применимы для российской действительности. Вернее смыла применять международные наработки в области персональных данных, просто нет. Слишком уж российский подход и нормативная база отличается от международного понимания этого вопроса.

Основным идейным вдохновителем был Алексей, за что ему большое спасибо. Отдельное спасибо за эту прикольную фотку, которую он сделал в последней командировке))).

P.S. Перед публикацией статью заметно порезали, так что если кому-то интересна полная версия, то ее можно скачать отсюда. По понятным причинам полная версия мне нравится больше .

Другие записи

208 . 108

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | 5 коммент. |
Post tags: , , , , , , ,

Категории: Все записи, Персональные данные

Блоги по информационной безопасности

Блог Царева - Ср, 28/07/2010 - 00:19

Год назад выкладывал ссылки на ресурсы по защите персональных данных. Судя по статистике, пользователи несколько раз возвращались на эту страницу, стало быть потребность в простом списке ресурсов действительно была. Конечно тема персональных данных по-прежнему остается флагманской, но далеко не единственной.

Блогосфера информационной безопасности растет и растет быстро. Появляются новые блоги и развиваются существующие. По сравнению с ситуацией двухгодичной давности, сегодняшнего количества блогов вполне достаточно для получения объективной информации по подавляющему количеству вопросов в области ИБ. А учитывая «разношерстность» контента и его авторов, любой может найти для себя что-то интересное. Кстати об интересном: многие действительно интересные ресурсы существуют давно, но о них мало кто знает. В причинах можно долго разбираться, а можно сделать просто список блогов по информационной безопасности и предоставить читателям возможность выбора.

За основу я взял довольно полный список блогов с www.iso27000.ru и дополнил несколькими ресурсами, которые там не указаны. Я специально исключил какую-либо классификацию, т.к. каждый ресурс уникален и четкие грани по тематике провести не всегда возможно (хотя в скором времени видимо придется ).

Список, естественно, не окончательный, если вы считаете, что какого-то ресурса не хватает или у него неверное описание, пишите в комментарии.

Примерно так.

Другие записи

425 . 235

© Царев Евгений for Персональные данные по-русски, 2010. | Permalink | 2 коммент. |
Post tags: , , , , ,

Категории: Все записи, Персональные данные

WPA2 взломали?

Блог Гордейчика - Втр, 27/07/2010 - 22:45

Интересная заметка появилась о потенциальном взломе WPA2.

http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html

http://www.securitylab.ru/news/396094.php

Судя по описаниям - опять вмешался ARP + ключи групповой рассылки. 

Особых деталей нет, и кстати - непонятен риск. Кроме DoS со стороны аутентифицированного пользователя заявлен некий "snoop", что далеко не sniff.

Т.е. по предварительным данным CVSS Base Score невысокий, где-то  3.8.

http://nvd.nist.gov/cvss.cfm?name=&vector=(AV:N/AC:M/Au:N/C:N/I:N/A:C)&version=2

Ждем Defcon, подробности и код. 



Категории: Все записи

Pork-Filled Counter-Islamic Bomb Device

Schneier on Security - Втр, 27/07/2010 - 21:33

Okay, this is just weird:

Mark S. Price, a specialist in public security, and his privately held company, Paradise Lost Antiterrorism Network of America (www.plan-a.us), have recently applied to the United States Patent and Trademark Office for a Utility Patent on their Suicide Bomb Deterrent, a security device designed, manufactured and distributed by PLAN-A. This device has been designed to warn and deter potential fanatical religious suicide bomb-wielding terrorists from otherwise detonating an explosive charge within close proximity of said device, to the intended end of successfully accomplishing its namesake purpose of Suicide Bomb Deterrent and the protecting and preserving of all life and property otherwise in mortal and destructive danger.

Reading the partial patent application on their minimal website, it appears to be a packet of pork product, combined with a big sign saying something like: "Warning. If you blow up a bomb right here, you'll get pork stuff all over you before you die -- which might be suboptimal from a religious point of view."

This appears to not be a joke.

Категории: English, Все записи

Идеологические утечки

Блог Федотова - Втр, 27/07/2010 - 17:32
Они всё-таки сделали это! Редактор сайта Wikileaks таки решился опубликовать переданные ему секретные документы Госдепа США про операцию в Афганистане. (Про саму утечку ваш покорный слуга уже писал.) Оказалось, кстати, что злоумышленный инсайдер был не единственный.


Сделать ЭТО за деньги всегда считалось постыдным. А "по любви" – не очень. Размер убытков от этой утечки они, видите ли, затрудняются определить. Конечно, ведь ущерб носит в основном репутационный характер. Перевести его в доллары затруднительно, да и незачем. Злоинсайдеры, судя по всему, тоже действовали не из меркантильных сображений. А во имя мира во всём мире, торжества демократии и справедливости. То есть, оказались не просто предателями, а идейными перерожденцами, поставившими общечеловеческие интересы выше интересов цивилизованных стран.

Какие выводы следует сделать нам, специалистам по защите информации?

Риск подобной "идейной" утечки, очевидно зависит от "градуса скандальности", от величины общественного резонанса, который возник бы в случае разглашения. Чем острее скандал, тем сильнее искус. А вы всё по-старинке считаете риски, исходя из стоимости информации на чёрном рынке? Правильно считаете, только не для такого случая. Для "скандальных" или "репутационных" утечек следовало бы придумать иную формулу.

Сдаётся мне, что обладатель информации, как правило, недооценивает то, с какой силой компрометирующая (но не могущая быть продана) информация рвётся наружу.

Кстати, в России не может составлять коммерческую тайну информация о нарушениях законодательства, о загрязнении окружающей среды, всяких пожароопасных и вредных для здоровья фичах, о задолженностях. Хотя эти исключения из комтайны сформулированы в виде перечня, а не общего принципа, принцип проглядывает: нельзя скрывать то, что компрометирует обладателя информации. К сожалению, к государственной тайне такой же принцип не применяется. Жаль. Но всегда может найтись принципиальный инсайдер.

Категории: Все записи

WPA Cracking in the Cloud

Schneier on Security - Втр, 27/07/2010 - 15:43

It's a service:

The mechanism used involves captured network traffic, which is uploaded to the WPA Cracker service and subjected to an intensive brute force cracking effort. As advertised on the site, what would be a five-day task on a dual-core PC is reduced to a job of about twenty minutes on average. For the more “premium” price of $35, you can get the job done in about half the time. Because it is a dictionary attack using a predefined 135-million-word list, there is no guarantee that you will crack the WPA key, but such an extensive dictionary attack should be sufficient for any but the most specialized penetration testing purposes.

[...]

It gets even better. If you try the standard 135-million-word dictionary and do not crack the WPA encryption on your target network, there is an extended dictionary that contains an additional 284 million words. In short, serious brute force wireless network encryption cracking has become a retail commodity.

FAQ here.

In related news, there might be a man-in-the-middle attack possible against the WPA2 protocol. Man-in-the-middle attacks are potentially serious, but it depends on the details -- and they're not available yet.

Категории: English, Все записи

1921 Book on Profiling

Schneier on Security - Пнд, 26/07/2010 - 21:30

Here's a book from 1921 on how to profile people.

Категории: English, Все записи

New web site about python and security is launched

Блог Иващенко - Пнд, 26/07/2010 - 21:20
Категории: Все записи

Инсайдеров будут ставить на учёт

Блог Федотова - Пнд, 26/07/2010 - 18:31
И снова я про свежепринятый инсайдерский закон. Сегодня мы рассмотрим, как именно он отразится на среднем предприятии.

Все предприятия будут поделены на "чистых" и "нечистых" – тех, у которых обращается инсайдерская информация и тех, где её нет. Как именно проведут черту, сейчас сказать трудно. Проводить её будет ФСФР. Вот, например, в случае закона "О персональных данных" регулирующие органы немного ошиблись, записав в операторы ПД больше, чем они в состоянии доить проверять и лицензировать. Надо думать, опыт будет учтён, и в числе юрлиц-инсайдеров окажется ровно столько, сколько ФСФР сможет обслужить в плане проверок, учёта и методических указаний.

На каждом предприятии, где нашлась инсайдерская информация, нужно составить список инсайдеров (п.1 ч.1 ст.9). Туда войдут руководители, члены совета директоров, крупные акционеры. Рядовые наёмные работники, которые имеют доступ к инсайдерской информации (п.13 ст.4), в список тоже войдут, за исключением государственных органов и Центробанка. Всех инсайдеров положено официально уведомить о включении в список (п.2 ч.1 ст.9). Составленный список и его обновления положено передавать «организаторам торговли» (т.е. биржам), а также в ФСФР (п.3-4 ч.1 ст.9).


Постановка на учёт. Для «осуществления контроля за соблюдением требований», связанных с инсайдерской информацией (п.2 ст.11) потребуется назначить ответственное лицо и составить ряд бумаг. Ну, к этому не привыкать.

Поставленные на учёт инсайдеры обязаны уведомлять своё предприятие и ФСФР о совершённых ими сделках с соответствующими биржевыми лотами – теми акциями, товарами и деривативами, которых касается инсайдерская информация (ч.1-4 ст.10). Порядок этого уведомления устанавливает опять же ФСФР (т.н. бланкетность). Посмотрим, какими условиями они обставят это уведомление. Вполне могут потребовать приложить копии договоров, счетов, реестров акционеров, бухбаланса и т.п. Учитывая, что установлена административная ответственность за неуведомление о таких операциях, проигнорировать требования будет сложно.

Не исключено, что появится отдельный рынок услуг по подготовке и подаче таких уведомлений. Как, например, появился рынок налоговых консультантов, помогающих составлять налоговые декларации (ваш покорный слуга сам пользовался, так как разобраться самостоятельно не смог). Услуги «инсайдерских поверенных» будут тем дороже, чем более замороченную процедуру напишут в ФСФР.

Вывод – такой же, как и в случае ФЗ "О персональных данных". Ясно, что ничего не ясно; полная неопределённость до выхода всех подзаконных актов.

Категории: Все записи

При полном или частичном использовании материалов сайта ссылка на RISSPA обязательна!
Copyright © RISSPA, 2006-2010. All Rights Reserved.