Обзор существующих решений обнаружения инсайда на бирже

На сегодняшний день информация является исключительным ценным ресурсом, а ее защита – критически важным элементом коммерческой деятельности и функционирования государство. Однако, несмотря на современные технологии, обеспечить полную информационную безопасность невозможно.

Проблемами и угрозами информационной безопасности являются внешние атаки и злоумышленники внутри компании: деструктивные действия хакерских групп, так и недобросовестные сотрудники, продающие конфиденциальную информацию, что приносит вред компании. Например, в следствие крупной утечки в американском в сентябре 2018 пострадало 147 млн человек [1]. В России при этом таких масштабных инцидентов на момент 2018 года не было зафиксировано [2]. При этом максимальный подтвержденный размер финансового ущерба от утечки информации в российской компании на момент 2019 года составляет $30 млн [3].

Это обозначает, что основная проблема заключается не только в защите информации извне, но и внутри организаций. В таблице 1 приведены типы инсайдеров, из-за которых может быть произведена утечка информации [4].

Таблица 1 – Типы инсайдеров, по вине которых может быть произведена утечка информации

Тип

Умысел

Корысть

Постановка задачи

Действия по возможности

Халатный	Нет	Нет	Нет	Сообщение
Манипулируемый	Нет	Нет	Нет	Сообщение
Обиженный	Да	Нет	Сам	Отказ
Нелояльный	Да	Нет	Сам	Имитация
Подрабатывающий	Да	Нет	Сам/Извне	Отказ/ Имитация/ Взлом
Внедренный	Да	Да	Извне	Взлом

До 2010 года [5] за неумышленное использование конфиденциальной информации производилось взыскание, а за умышленное причинение вреда путем торговли внутренними данными степень наказания работника заключалась в увольнении. Однако в 2010 году вступил закон (Федеральный закон от 27.07.2010 г. № 224-ФЗ [7]), предусматривающий уголовную ответственность за незаконное использование внутренней информации [8].

Несмотря на применяемые меры, из-за отсутствия рабочего механизма выявления инсайдерских сделок [9], проблема утечек, в частности по вине работников, остается актуальной и в последнее время. Ведь только на ликвидацию последствий одного инцидента в 2016 году затрагивалось около 1,6 млн рублей, а в крупных предприятиях – 20 млн рублей [6].

В большинстве случаев утечка внутренней информации по вине внутренних пользователей происходит на биржах.

Биржа [10] – форма объединения предприятий или собрание коммерческих посредников с целью проведения регулярных торгов, купли-продажи финансовых активов и товаров, а также контрактов на их поставку.

Современные технологии позволяют проводить на биржах миллионы сделок ежесекундно [10]. Основной причиной такого является то, что сделки можно совершать, не выезжая в штаб-квартиру корпорации.

Разработано множество методов по борьбе с утечкой внутренней информации.

• 1)    Data Mining – анализ информации с целью нахождения среди хранящихся данных раннее неизвестных, но при этом практически полезных знаний, которые необходимы для приятия решений в различных областях деятельности [11]. Прежде всего, это процесс нахождения скрытых закономерностей в хранящихся данных.

• 2)    Анализ изменения стоимости ПТ на основе графа.

После завершения очередной сессии на бирже остаются конечные стоимости ПТ: активов, ценных бумаг и т.д., показывающее изменение цен после совершения сделок.

При этом может возникнуть ситуация, когда после падения цен идет резкое увеличение, а в этот промежуток происходит скупка определенного ПТ, или же наоборот, когда стоимость высокая и производится их продажа, затем последующее падение его стоимости.

Следовательно, на графике изменения цен ПТ на бирже за некоторый достаточно небольшой промежуток времени можно выявить резкие изменения цен и сличить, были ли проведены за промежуток «пика» операции купли-продажи.

Подобную модель [13] можно представить в виде графа, где узлами являются объекты торгов на бирже, а дугами – сама операция купли-продажи вместе со стоимостью. В течение некоторого промежутка времени, например, ряда сессий, система накапливает данные, особенно отслеживая моменты роста и падения цен.

Сама процедура анализа изменения цен выглядит следующим образом. Собранные на конец сессии данные разделяются по биржам, причем, за один раз анализируется один торговый день. Котировки значений бид и аск компонуются по децилям. Для каждого такого набора вычисляется частота повышения цены. Подсчитывается число появлений каждой величины.

• 3)    Анализ изменения стоимости ПТ на основе машинного обучения [14] предполагает машинное обучение системы прогнозирования цен на основе имеющихся данных и также сравнения их с реальными. Если после подъема стоимости конкретного ПТ после операции купли-продажи произойдет резкий рост (обвал) цены этого ПТ, то система отследит подобное изменение и уточнит, были ли перед этим проведены операции купли-продажи.

Процесс машинного обучения состоит из нескольких шагов: от выбора математических и программных инструментов, сбора входных данных, до выработки предсказаний и тестирования. Самый простой способ — это создание с помощью машинного обучения модели на основе исторических данных, ее тестирование и дальнейшее применение для генерирования прогнозов будущего движения цен.

Система построения сети подозрительных инсайдеров подразумевает следующий принцип работы. Из общего числа сделок выделяются все участники торгов из одной и той же компании. После этого система должна сравнить все сделки совершенные за определенный период у каждой пары инсайдеров одной компании.

При этом находится коэффициент схожести сделок [15]:

5(т_ю и_н) =

(^^Т^,-))2

\^т н \ ^х Wh\

,i*j.

Данный коэффициент может принимать значения в пределах от

0 до 1. При этом чем выше это значение, тем больше одинаковых сделок совершила рассматриваемая пара инсайдеров. Из этого следует, что необходимо найти некоторый порог, выше которого следует считать участников торгов подозрительными, когда остальные случайно совершили одинаковые сделки.

Анализ рассмотренных методов

Большинство организаций, как ITInvest [16], создает свои программные комплексы, однако отсутствие принципов работы не дает полного представления о качестве защиты. Поэтому данные методы не рассматриваются в статье.

Система «Списки инсайдеров» также имеет ряд существенных недостатков:

• •    система производит сбор всех участников торгов, предоставляя дальнейший анализ сторонним организациям;

• •    система не собирает данных по произведенным транзакциям, лишь исключает нелегально торгующих лиц из списка;

• •    передача по открытому каналу увеличивает вероятность взлома системы.

Технологии Data Mining более универсальный способ нахождения скрытых связей и торговлей с использованием конфиденциальной информации.

В этом случае программный комплекс должен проанализировать базу данных всех произведенных транзакций, по косвенным признакам вычислить все сомнительные операции. Одними из главных недостатков этого метода являются быстродействие и память. База данных вполне может хранить информацию за год или несколько лет, находить одних и тех же инсайдеров, что тоже затрудняет процесс обработки информации.

Выводы

Таким образом, рассмотрены различные существующие методы защиты от инсайда на бирже, при этом произведен анализ достоинств и недостатков данных методов. В некоторых случаях основной проблемой становится стоимость готового продукта, а также сложность в эксплуатации подобных систем.

По этой причине была поставлена задача создать простую в использовании, но эффективную систему, которая способна обнаружить подозрительных участников торгов с вероятностью ошибок первого и второго рода ниже 5%.

Для этого был выбран метод построения сети из подозрительных инсайдеров на основе поиска коэффициента схожести сделок. В силу работы системы с большим объемом данных поставлена задача найти предел, ниже которого участники торгов не будут рассматриваться, как подозрительные.