Технологии подписания поручений для мобильных брокеров

Инвестиционные продукты становятся все популярнее на фоне низких процентных ставок по классическим депозитам при высоком уровне инфляции. Прежде всего — брокерские услуги специализированных компаний и универсальных банков. Конечно, для непрофессионального трейдера развертывание специализированных десктоп торговых терминалов — непозволительная роскошь, все стремятся к простоте мобильных приложений, доступных в любое время в любом месте.

Благодаря онлайну финансовые рынки теперь доступны каждому.

Здесь можно прокачать знания в финансовой грамотности и применить их на практике. Сайт брокерской компании или мобильное приложение доступно в любой точке мира. Нужно только пройти авторизацию — и сразу становишься участником торгов, начинаешь покупать и продавать акции, облигации, фьючерсы, валюту и другие активы. Плюсом таких приложений является и тот факт, что они обладают дополнительными фичами, которые облегчают пользовательские запросы. Например, можно выстраивать собственную стратегию действий с помощью встроенных инструментов анализа рынка и рекомендаций экспертов. Все это можно посмотреть на сайте, отфильтровав нужные параметры.

Основное преимущество работы с мобильным трейдингом, кроме того, что это быстро и доступно в любой точке мира — возможность выполнять сделки без участия трейдера.

Но в данном случае возникает проблема, о которой немногие задумываются — безопасность. Хакеры в данном случае могут взломать систему и получить доступ к персональным данным. Так они смогут управлять вашими финансовыми операциями.

Для того, чтобы понимать, как защитить себя от хакерских атак, нужно знать, какие существуют виды сервисов. Глобально функционал трейдинговых приложений можно разделить на два вида — информационные и торговые.

Для информационных сервисов допустима защита только на основе авторизации/аутентификации на входе в приложение. В этом случае разработчикам рекомендуется использовать два фактора — классический логин/пароль плюс подтверждение по SMS-коду или с использованием биометрических данных (Touch ID, Face ID и тд.).

Один фактор защиты можно использовать, если телефон дает возможность защититься от несанкционированного доступа в момент включения устройства или его перевода из спящего в рабочий режим.

Вторая группа — это активные операции, передача поручений брокеру на покупку или продажу тех или иных активов.

Операции, которые проводятся в трейдинговых приложениях торгового вида требуют более серьезной защиты.

Если злоумышленники проникнут в них, то это может привести к финансовым потерям. Конечно, данные манипуляции менее опасны, чем при несанкционированном доступе к банковскому приложению, но также могут быть достаточно неприятны для клиента. При этом надо иметь в виду, что при активном использовании приложения в период торговой сессии, у клиента может возникнуть потребность совершения большого количества операций в ограниченный промежуток времени, а от скорости выполнения поручений будет зависеть уровень доходности.

В этом случае ввод контрольного кода из SMS или использование биометрических данных будет сильно тормозить работу. Это будет отвлекать от основного процесса торговли и доставлять неудобства пользователю. В данном случае мы сталкиваемся с классической проблемой «борьбы брони и снаряда», чрезмерное бронирование утопит корабль, недостаточное — не сможет защитить, необходимо придерживаться уровня разумной достаточности.

Кроме безопасных технологий в приложении нельзя забывать о других средствах защиты — использовать обновленные антивирусные программы, не передавать данные по открытым каналам, проверять сертификат SSL, ограничивать количество вводов PIN-кода и разовых кодов.

Опыт разработки и эксплуатации приложений показал, что компромисс может быть достигнут. Уровень защищенности при этом будет сильно зависеть не только от технических средств защиты, но и от дисциплины пользователя. Человек в любой системе информационной защиты — самое слабое звено. Для удобства на какой-то заданный промежуток времени (например, 15 – 20 мин) может быть установлен торговый пароль, который автоматически легитимно подписывает все торговые поручения в данном интервале. Пользователь должен понимать, что данный период как дает ему возможность быстрого и удобного совершения операций, так и возлагает на него ответственность за защиту своего устройства от злоумышленников. И также достаточно популярна автоматическая обработка внутри приложения разовых кодов, принимаемых через push-уведомления или SMS.

Соблюдение этих несложных правил на этапах разработки и использования трейдинговых мобильных приложений позволит комфортно управлять инвестициями и избежать финансовых потерь из-за действий злоумышленников.

Появление портала «Госуслуги» позволило рынку инвестиций выйти в веб-пространство. Портал дал возможность получать электронный доступ к документам, удостоверяющим личность. Поэтому теперь клиенты банков не предоставляют документы лично сотрудникам, а вводят в систему, которая умеет сопоставить их с данными на «Госуслугах».

Теперь все стало мобильным, и операции происходят где угодно с помощью смартфона. Для открытия брокерского счета достаточно пары кликов, не нужно ходить в банки и подписывать стопки бумаг.

Разберемся, как же происходят процедуры подписания поручений в разных финансовых компаниях.

Не во всех банках можно открыть инвестиционный счет, если вы не являетесь клиентом этого банка.

Например, в «Открытии», счет может открыть любой желающий, предстоит только зарегистрироваться на портале «Открытие Инвестиции» или в приложении. Но стоит понимать, что тем, кто не является клиентом брокерской компании, придется заполнять личные данные вручную.

Для подписания поручения следует установить торговый пароль, который пользователь задает при регистрации в приложении, либо сформировывает потом через настройки. В приложении «Открытие Инвестиции» есть возможность подавать торговые поручения на фондовом, срочном и валютном рынках Московской биржи (кроме опционных контрактов). И для подписания поручения, нужно зайти в соответствующий раздел приложения и подтвердить операцию паролем. В приложении также доступны функции «отменить» и «повторить» для тех поручений, которые выполнялись только в приложении.

В «ВТБ» заниматься инвестициями может только клиент банка, при этом процедура регистрации ускоренная. Для подачи поручения нужно будет подтвердить действие ПЭП (простой электронной подписью), либо усиленной электронной подписью. В первом случае это одноразовый код, который придет на номер телефона в виде SMS, его нужно будет ввести в специально отведенное место, затем нажать кнопку «подтвердить операцию». Усиленная неквалифицированная электронная подпись (НЭП) представляет собой постоянный набор цифр, создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. С помощью НЭП можно проверить, вносили ли в файл изменения после его отправки. Если она у вас есть, то вводите ее, соглашаясь на обработку данных.

В мобильном брокере Halyk Invest для того, чтобы подписать поручение, приложение требует ввести фамилию и имя в заранее заполненную форму — дополнительная контрольная точка. В этот момент система просит проверить данные еще раз. Перед тем как прислать подтверждающий код в виде SMS, алгоритм проверяет доступность операции у определенного пользователя.

Существуют и альтернативные сценарии развития событий, можно вернуться и изменить детали заявки, либо из этого раздела сразу же перейти в «Новости» или «Мой профиль». В случае, если операцию невозможно осуществить или торги еще недоступны, пользователь получает соответствующее оповещение.

Важно отметить, что финансовые компании в своих договорах указывают пункт о том, что за действия, которые происходят в личных кабинетах, несут ответственность владельцы. Поэтому не забывайте о личных правилах безопасности, чтобы не попасть в сети злоумышленников.