Инсайдер как его найти

Инсайдерами для определённой компании считаются её руководящее звено и так же лица (в том числе и юридические), владеющие не менее 10% акций компании. Поскольку инсайдеры знают о компании больше, чем содержится в общедоступной информации, их покупка и продажа акций собственной компании регулируется законами США. В частности, им запрещено получать прибыль за любой период менее шести месяцев. Это правило делает для инсайдеров невозможным краткосрочные спекуляции; когда инсайдеры покупают акции, они рассчитывают на то, что компания будет успешной в более долгосрочном плане. Обо всех покупках и продажах инсайдеры обязаны сообщать в SEC в течение двух рабочих дней с момента совершения транзакции и SEC немедленно делает эту информацию общедоступной. Инсайдеры сообщают о своих сделках в SEC посредством заполнения специальной формы – так называемой формы номер четыре (form 4). Вот образец заполненной form 4.

В начале формы инсайдер заполняет информацию о себе и о компании (поля 1 – 6). Затем идёт собственно описание совершённых транзакций. В таблице 1 (table I) указываются совершённые операции с non-derivative securities, обычно это акции компании. Во второй таблице (table II) указываются операции с derivative securities, такими как опционы и warrant-ы. Значения полей должны быть ясны из формы за исключением поля 3 (Transaction Code). В этом поле ставится однобуквенный код транзакции. Hас более всего интересуют покупки акций инсайдерами на открытом рынке, для чего используется код P (от английского purchase – покупка):

P– покупка на открытом рынке или через приватную транзакцию.Для индикации продажи используется код

S– продажа на открытом рынке или через приватную транзакцию (от английского sell – продавать).Другие коды:

A– означает, что инсайдер получил акции не через покупку, а каким-то другим способом, например ему их выдала компания в качестве компенсации за что-либо (от английского award – награждать).

M– означает, что инсайдер получил акции путём исполнения опциона или другого derivative-а.Остальные коды с расшифровкой можно посмотреть здесь: http://www.sec.gov/about/forms/form4data.pdf

Важно отметить, что нередко инсайдеры сами путаются в кодах и допускают ошибки. Поэтому если вы обнаружили код “P”, надо не спешить радоваться, а проверить всю форму на предмет ошибки. В частности, в поле 4 должен стоять код “A” (acquisition) и количество акций у инсайдера после транзакции в поле 5 должно возрасти соответственно. Автор сайта не раз видел формы, в которых для продажи акций ошибочно использовался код “P”.

Другой вещью, на которую нужно обращать внимание – это что собой представляет инсайдер, является ли он живым человеком или фондом. Когда реальный человек вкладывает свои личные деньги, это значит гораздо больше, чем когда фонд совершает покупку. Также нужно обращать внимание на то, покупает ли инсайдер акции напрямую или косвенно (кодD(direct) илиI(indirect) в поле 6 таблицы 1). Покупка инсайдером акций напрямую является более сильным индикатором, чем когда он приобретает акции косвенно, например, через пенсионный план.

Как и все формы, предоставляемые в SEC, формы 4 для конкретных компаний можно просматривать здесь и здесь.И в заключение, о том, как находить компании, которые покупают инсайдеры. Существует замечательный бесплатный сайт, позволяющий это делать:http://www.secform4.comТак же частично эта инфомрация отображена на всем известном сайте FINVIZ finviz.com/insidertrading.ashx

Если понравился пост, то переходи в мой Telegram

Как найти инсайдера на финансовом рынке?

• 29 марта 2023, 21:04
• |

• хорошо
• 
  0

Есть люди, которые раньше других узнают корпоративную информацию, например топ-менеджеры. Такие люди называются инсайдерами.

Если разрешить инсайдерам торговать, как они хотят, и никак за этим не следить, торговля на бирже для обычных инвесторов потеряет всякий смысл: на место справедливого ценообразования придут манипуляции рынком, биржа утратит всякое доверие и никто на ней торговать не захочет. Это будет плохо для всех.

Чтобы этого не допустить, есть закон, запрещающий неправомерно использовать инсайдерскую информацию. Согласно этому закону, любой человек, который считается инсайдером определенной торгующейся на бирже компании, должен отчитываться о каждой сделке с ценными бумагами этой компании.

Допустим, есть топ-менеджер корпорации N. В обычное «мирное» время он может покупать акции компании как обычный розничный инвестор — с той лишь разницей, что за эти сделки он должен отчитаться, и о них узнают все.

Но вот близится годовой финансовый отчет корпорации N — и топ-менеджер получает доступ к этому отчету раньше остальных. Он видит, что отчет хороший, и хочет купить акции — ведь после публикации они взлетят. Купить акции в этом случае он не сможет, даже если отчитается: он неправомерно использует инсайдерскую информацию и получает преимущество перед остальными участниками рынка.

Для нас в этом случае плюс в том, что мы тоже можем получить информацию, какие сделки совершил инсайдер. Именно эта информация нам и нужна: она может сигнализировать о настроениях ключевых акционеров или менеджмента по отношению к акциям компании.

А теперь давайте разбираться, как все работает.

Что такое инсайдеры и инсайдерская информация

В этой статье мы будем говорить про сделки инсайдеров с точки зрения пользы для обычного частного инвестора, а не с точки зрения закона и регулирования, но определенную вводную я все-таки должен рассказать.

Каждая страна так или иначе определяет и регулирует меры противодействия использованию инсайдерской информации. В России основные положения даны в федеральном законе № 224-ФЗ, который определяет, что такое инсайдерская информация, кто такие инсайдеры, как должен осуществляться контроль.

Инсайдерская информация — это, согласно закону, точная и конкретная информация, которая не была распространена и распространение которой может оказать существенное влияние на цену актива: акции, валюты, фонда и так далее.

К этому определению идет положение банка России с длинным перечнем конкретной информации, которая относится к инсайдерской. Сюда в том числе попадают сделки инсайдеров.

А кто считается инсайдером? Инсайдером человек может быть:

1. по должности — например, член совета директоров или наблюдательного совета компании. Такие люди относятся к инсайдерам вне зависимости от того, знают они что-то конкретное или нет, ходят на собрания или не ходят;
2. по доступу к инсайдерской информации — тут все еще проще. Если вы получили доступ к инсайдерской информации и связаны трудовым или гражданско-правовым договором с компанией или тем, кто считается в ней инсайдером, вы тоже будете считаться инсайдером.

И кроме того, инсайдерами признаются непосредственно компании-эмитенты, организаторы торгов, то есть биржи, брокеры — если получили инсайдерскую информацию от клиентов. А еще все, кто получил доступ к инсайдерской информации от вышеперечисленных.

Полный перечень лиц, относящихся к инсайдерам, перечислен в законе.

Как контролируют инсайдеров

Вот две важные вещи:

1. Использование инсайдерской информации незаконно и наказывается вплоть до лишения свободы на четыре года.
2. Компании обязаны раскрывать инсайдерскую информацию из перечня ЦБ в сроки, определяемые положением о раскрытии информации, — в большинстве случаев это один день с момента наступления события.

И тут я еще раз дам уточнение, о котором говорил еще в самом начале: сделки инсайдеров — это не сделки, в основе которых лежит инсайдерская информация. Если инсайдер, например член совета директоров, зная инсайдерскую информацию, совершит сделку с акциями компании-эмитента, это не будет сделкой инсайдера — это будет нарушением закона и грозит для него последствиями.

А мы с вами узнаем об этой сделке, потому что, как только эта сделка совершена, она сама становится инсайдерской информацией и подлежит публичному распространению как существенный факт, в течение одного дня.

Границы здесь довольно тонкие, событий в корпоративной жизни компаний много, и поэтому есть примеры, когда компании устанавливают целые календарные периоды, когда любым сотрудникам не рекомендуется совершать сделки с акциями компании.

Теперь, когда мы разобрались с основными понятиями, перейдем к практической части: посмотрим, где и как публикуется информация о сделках инсайдеров, и узнаем, как ее смотреть.

Сделки инсайдеров в США: форма 4

В плане раскрытия информации США — эталон. Информация о раскрытии публикуется на сайте комиссии по ценным бумагам sec.gov — данные здесь доступны в цифровом виде, есть удобные фильтры для поиска нужных событий.

На этой странице мы видим всю информацию, которая нам нужна:

1. Кто совершил сделку, имя и должность.
2. Что за сделка, когда была совершена, по какой цене и на какой объем акций.
3. Дату раскрытия.

В основном информация говорит сама за себя, она легко читается и понятна. Я хочу пояснить одно-единственное поле — тип сделки (transaction code).

Нас интересуют только типы P и S, потому что только они представляют собой реальные «живые» сделки инсайдеров: когда инсайдер пришел на рынок и купил или продал акции по рыночной цене.

Все остальные типы, назовем их техническими, не подразумевают рыночную сделку. Тут и вознаграждения в виде акций, исполнения опционов, вознаграждения сотрудникам, исполнения операций с производными инструментами и прочее.

Сделки инсайдеров в России: e-disclosure.ru

Теперь разберемся, как обстоит дело с раскрытием информации у нас.

В России главный источник данных о раскрытии информации — сайт e-disclosure.ru, Центр раскрытия корпоративной информации.

Уточню, что информацию о раскрытии можно искать непосредственно на официальных сайтах компаний, в специальных разделах для инвесторов. Там данные могут появляться даже немного раньше, чем на sec.gov и e-disclosure.ru.

На e-disclosure.ru тоже есть поиск по типам сообщений, но вся информация доступна только в виде текста. То есть вместо стандартизированной формы 4, которую легко оцифровать, вы увидите сплошной текст, с которым не очень удобно работать.

А вот типы сообщений, которые я выбрал, чтобы отфильтровать инсайдерские сделки на скриншоте выше:

1. Изменение размера доли участия члена органа управления управляющей организации эмитента в уставном капитале подконтрольной эмитенту организации, имеющей для него существенное значение.
2. Изменение размера доли участия члена органа управления управляющей организации эмитента в уставном капитале эмитента.
3. Отчуждение эмитентом собственных голосующих акций (долей) или депозитарных расписок на акции эмитента.
4. Получение эмитентом права распоряжаться определенным количеством голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал отдельной организации.
5. Прекращение у лица права распоряжаться определенным количеством голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал эмитента.
6. Прекращение у эмитента права распоряжаться определенным количеством голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал отдельной организации.
7. Приобретение лицом права распоряжаться определенным количеством голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал эмитента.
8. Приобретение эмитентом собственных голосующих акций (долей) или депозитарных расписок на акции эмитента.

То, что в форме 4 представлено простой и понятной буквой и типом сделки, у нас представлено в виде типа сообщения. Но самое плохое в другом: только исходя из этой классификации, нельзя понять, где была рыночная покупка или продажа акций инсайдером, а где тот же опцион или бонус.

На этом проблемы не заканчиваются, потому что, если мы откроем подобное сообщение на сайте e-disclosure.ru, мы увидим, что данные нужно еще и распознать.

Но есть и другая проблема: в этих сообщениях о раскрытии нет информации ни о количестве купленных или проданных акций, ни о цене покупки или продажи. Есть только изменение доли. В случае на скриншоте выше — с 0,00004 до 0%.

Такие расчеты, конечно, можно проводить, но результаты будут неточными и не совпадут с деталями реальной сделки, в то время как из формы 4 мы получаем все данные именно такими, какие они есть.

Работают ли сделки инсайдеров

Мы рассмотрели, как устроены сделки инсайдеров, и я даже заставил вас разобраться с сайтом e-disclosure.ru. А ради чего все это? Стоит ли это того?

В рамках этих исследований искали и находили корреляцию между сделками инсайдеров и последующим изменением цены акций в соответствующую сторону: рост — в случае большей доли покупок инсайдеров, снижение — в случае большей доли продаж.

Большинство результатов исследований говорят о том, что сделка сделке рознь: далеко не все продажи и покупки инсайдеров сигнализируют о возможном падении или росте акций.

Покупка или продажа? Покупки инсайдеров более информативны, чем продажи. Как говорил Питер Линч, «инсайдер может продать акции по тысяче причин, но купить только по одной — в ожидании роста».

Действительно, причин продажи акций может быть множество: высвобождение акций под новых акционеров, непредвиденные расходы, ребалансировка активов и просто выход в наличные.

Кто совершил сделку. Ключевые управляющие компании — CEO, CFO — должны как никто другой разбираться в делах и перспективах компании. Поэтому их сделки более информативны в общем списке.

Кроме того, инсайдером может выступать и юридическое лицо — в этих случаях речь часто может идти о реструктуризации активов компании, что не информативно.

Одна или несколько сделок? Здесь преимущество у так называемых кластерных сделок — когда много инсайдеров одновременно покупают или продают акции.

Размер сделки — нетипично крупная сделка более информативна.

Крупная или мелкая компания. Сделки инсайдеров в относительно небольших компаниях более информативны, так как там инсайдеры «ближе к телу» компании.

Звучит логично: в гигантах типа Amazon и Facebook одни только корпоративные процессы по выплате опционов и бонусов сотрудникам в виде акций могут порождать огромные потоки сделок инсайдеров, которые не будут нести никакой полезной информации.

Давайте соберем все озвученные пункты и попробуем объединить их в одну идеальную сделку инсайдера — вот что нам нужно искать в первую очередь: крупные кластерные покупки, то есть когда покупают много инсайдеров сразу, ключевыми инсайдерами — директорами, управляющими — в относительно небольших компаниях.

И пример такой сделки у меня есть — и я даже покупал по ней акции на свой счет.

Банк «Санкт-Петербург» — вечно недооцененная и вечно не растущая история на российском фондовом рынке. В какой-то момент я увидел крупные (+1) кластерные (+1) покупки (+1) акций ключевыми сотрудниками (+1) в этой небольшой (+1) компании.

Можно сказать, что я угадал. Дальше по компании пошли позитивные новости: сначала о возможном повышении дивидендов, а затем и о выкупе собственных акций. В итоге менее чем за четыре месяца акции выросли почти на 30%, а в сделку я вошел исключительно вслед за инсайдерами.

Где следить за сделками инсайдеров

Теперь, когда мы разобрались с основными вопросами и вы увидели наглядные примеры того, когда сделки инсайдеров были очень полезны, осталось понять, где за ними следить.

Понятно, что на практике самостоятельно мониторить и читать e-disclosure.ru и даже форму 4 очень неудобно. Но есть инструменты, которые с этим помогают.

🇺🇸 США. Учитывая, что данные формы 4 доступны в электронном формате, получить доступ к сделкам инсайдеров очень легко, и инструментов для их поиска множество:

• finviz.com — скринер акций американских компаний, где также есть сделки инсайдеров;
• secform4.com — специализируется именно на сделках инсайдеров по форме 4;
• openinsider.com — аналогичный сайт, тоже только по сделкам инсайдеров на основе формы 4.

А в разрезе конкретной компании сделки инсайдеров есть и на Yahoo Finance.

🇷🇺 Россия. Ни один международный сервис не содержит сделок инсайдеров по российским компаниям, а на нашем рынке я знаю только три сервиса, где эта информация есть. Если вы знаете другие сервисы, где автоматизированы сделки инсайдеров на российском рынке, напишите в комментариях, мы обновим статью.

«Смартлаб». На «Смартлабе» есть раздел с лентой сообщений по сделкам инсайдеров. Раздел бесплатный. Есть поток из сообщений, с которым не так удобно работать, потому что не видно, что за сделка была. Нет фильтров для поиска.

Нельзя сказать, что это именно инструмент по сделкам инсайдеров, но здесь их хотя бы удобнее смотреть, чем на e-disclosure.ru.

«Инвестидеи». На сайте инвестидей есть раздел со сделками инсайдеров — в том числе можно выбрать российские компании. Есть фильтры для поиска сообщений. Доступ платный.

Financemarker. Возможно, кто-то уже знает, что я сам разрабатываю этот сервис — и, возможно, когда-нибудь напишу отдельную статью о своем опыте.

На Financemarker также есть отдельный раздел по сделкам инсайдеров с фильтрами поиска нужных сделок. Но доступ тоже платный.

Запомнить

1. Не все сделки, которые совершают инсайдеры, — инсайдерские. Сделки инсайдеров законны, а вот торговля на основании инсайдерской информации запрещена и регулируется законом № 224-ФЗ.
2. В соответствии с законом инсайдеры обязаны сообщать о своих сделках в течение одного дня с момента их совершения.
3. Сделки инсайдеров — не гарантия роста или падения акций, не стоит основывать свою инвестиционную стратегию только на них. Но у некоторых сделок есть корреляция с дальнейшей динамикой акций.
4. Если вы смотрите на сделки инсайдеров, то отдавайте предпочтение крупным кластерным покупкам ключевыми инсайдерами в относительно небольших компаниях. То есть когда много ключевых инсайдеров сразу — директора, управляющие — совершают сделки.
5. Помните, что есть тысяча причин продать акции, но только одна причина, чтобы купить.

Обнаружение инсайдерской торговли: Алгоритмы выявления и паттерны незаконных сделок

Как конкретно ведут себя инсайдеры на бирже? Зависят ли их сделки от занимаемой должности в компании (генеральный или финансовый директор), меняется ли поведение инсайдеров с течением времени (повлиял ли на него, к примеру, кризис 2008 года)?

Группа исследователей из технологического института Джорджии провели исследование на основе данных о 12 млн транзакций, совершенных 370 тысячами инсайдеров в период с 1986 по 2012 год. Целью этой работы было выявление паттернов поведения игроков на фондовом рынке, с помощью которых регулирующие органы могли бы обнаруживать и пресекать незаконную инсайдерскую торговлю. Мы представляем вашему вниманию основные моменты этого документа.

Что такое инсайдерская торговля

Согласно общепринятому определению, инсайдерской торговлей считается совершение операций с финансовыми инструментами и извлечение прибыли на основе информации, полученной внутри компании благодаря должности или роли в ней злоумышленника. Считается, что инсайдерская торговля вредит финансовым рынкам, поскольку она снижает ликвидность и подрывает общее доверие участников экономической деятельности друг к другу. Власти различных стран активно борются с инсайдерской торговлей.

Однако большая часть сделок, совершаемая на бирже инсайдерами, вовсе не является незаконной. В число «инсайдеров» попадают директоры, менеджеры и владельцы акций компании. Эти люди в принципе имеют право торговать на бирже, незаконной инсайдерская торговля становится только в случае использованися важной непубличной информации в качестве основы для принятия решения о совершении той или иной транзакции.

В различных странах существуют всевозможные правила, которые предписывают инсайдерам отчитываться о совершенных ими сделках. И в случае значтельного количества совершенных операций, выявить среди них те, что подпадают под описание незаконной торговли, отнюдь не так легко.

Data Mining спешит на помощь

Исследователи решили применить для решения проблемы техники Data Mining. Как уже было сказано выше, в набор данных вошла информация о более чем 12 млн сделок на американских биржах, которые были совершены более чем 370 тысячами инсайдеров с 1986 по 2012 год. База хранилась в SQLite, общий объём данных составил 5,61 гигабайт.

Инсайдеры	370 627
Компании	15 598
Транзакции	12 360 325
Продажа	3 206 175
Покупка	1 206 038

Каждая запись в наборе данных состоит из полей имени и компании инсайдера, цены сделки, роли человека в компании, а также информация о ней (включая сектор экономики и адрес). Существует большое количество определений и кодов, которыми обозначаются различные должности, при этом нет какой-то четкой иерархии. Поэтому инсайдеры могут случайно или намеренно указывать в документах неверное описание своей должности, что затрудняет дальнейший анализ их сделок.

Исследователи решили эту проблему с помощью ввода четырех обозначений, каждое из которых объединяет близкие друг к другу коды занимаемых должностей:

• CEO — генеральный директор;
• CFO — финансовый директор;
• D — директор;
• ОО — другой руководитель.

На рисунках 1 и 2 показано кумулятивное распределение для числа компаний, к которым принадлежат инсайдеры и числа транзакций ими совершенных. Как правило, инсайдер имеет отношение к небольшому количеству компаний и совершает не особенно крупные сделки, но есть и небольшое количество людей, которые связаны с множеством организаций и совершают объёмные сделки.

Рис. 1: Функция эмпирического кумулятивного распределения числа компаний, к которым имеет отношение инсайдер

Рис. 2: Функция эмпирического кумулятивного распределения числа совершенных инсайдерами транзакций (ось X имеет логарифмический масштаб)

Для чего нужен подобный анализ

Анализ сделок инсайдеров может быть полезен с различных точек зрения, например:

• Понимание рисков — несколько различных исследований доказали, что те руководители, которые занимаются покупкой и продажей на бирже акций своей компании, в конечном итоге начинают принимать такие решения по своей основной работе, которые диктуются их покупками или продажами на фондовом рынке. К примеру, такой генеральный директор, собравшись купить акции, может способствовать выпуску пресс-релиза, в котором рассказывается о тех или иных проблемах компании — это сбивает цену ее акций и помогает ему сэкономить. А если он хочет продать акции, то новостной поток компании наоборот может стать излишне позитивным.
• Обнаружение мошенничества и незаконных сделок — применение техник дата майнинга позволяет определят возможные инсайдерские сделки, целью которых является обман инвесторов компании.

Паттерны поведения инсайдеров на фондовом рынке

Исследователи выдвинули две гипотезы о важны факторах, оказывающих влияние на законность или незаконность действий инсайдеров на фондовом рынке. Первый из них — фактор времени. Если инсайдер совершает сделки в период, находящийся перед или после важных корпоративных новостей, то с большой долей вероятности, решение о совершении операции продиктовано знанием какой-то информации, которая недоступна другим участникам рынка. Если же сделки совершаются всегда в одном и том же месяце несколько лет подряд, то скорее всего здесь речь идет о простой диверсификации портфеля финансовых инструментов. Второй важный фактор — взаимосвязь между трейдерами. Если сеть инсайдеров торгует одинаково, то высока вероятность того, что они делятся информацией друг с другом.

На основе этих предположений и строится предложенный алгоритм анализа. Прежде всего изучаются тренды во временных рядах транзакций. На время совершения транзакции влияет множество факторов, поэтому информация о них разбивается на тип сделки, код роли инсайдера в компании и сектор экономики компании.

Анализ типов транзакций позволяет выявить некоторые интересные паттерны. Например, инсайдеры чаще продают акции, а не покупают — это связано с тем, что многие руководители получают акции за свою работу посредством, к примеру, опционов в компании. Поэтому инсайдеры чаще продают акции, чтобы сбалансировать свое портфолио ценных бумаг (рис. 4).

Рис. 4: График распределения транзакций разного типа (Sell — продажа, Purchase — покупка, Grant — получение акций инсайдеров с помощью реализаци, к примеру, опциона)

Кроме того, инсайдеры, занимающие разные позиции в компании, торгуют на бирже также по-разному (рис. 5). Поведение генеральных директоров (CEO) более волатильно — к примеру, в имеющемся наборе данных сделки говорят о том, что после 2003 года американские CEO агрессивно продавали акции, а затем после 2008 года прекратили это делать. И напротив, активность в продажах со стороны акционеров компании стала нарастать только накануне финансового кризиса 2008 года.

Рис. 5: Разбивка транзакций по ролям инсайдеров в компании

Влияет на активность торговли и сфера экономики, которую представляет конкретная компании. К примеру, акции технологических компаний покупают и продают чаще. Интересный момент — тренд активности транзакций акций этого типа совпадает с графиком продаж с рисунка 4 (коэффицент кросс-корелляции p < 0.1) — это объясняется тем, что такие компании (среди них много стартапов) включают в компенсацию сотрудников собственные акции.

Рис. 6: Разбивка транзакций по секторам экономики

Далее изучались паттерны внутри определенных последовательностей транзакций. Какая часть инсайдеров продает акции после их покупки, а кто продолжает докупать или продавать дальше? Чтобы ответить на эти вопросы необходимо проанализировать интервалы транзакций между последовательными сделками.

Если инсайдер продал акции после их покупки, то такая комбинация называется sale-then-purchase и обозначается как S→P. Следующие три типа описываются как purchase-then-sale (покупка и продажа, P→S), sale-then-sale ( продажа и продажа, S→S), и purchase-then-purchase (покупка и покупка, P→P). Графики визуализации позволяют понять, что паттерны S→P и P→S встречаются реже, чем пары P→P и S→S. Это может объясняться тем, что многие инсайдеры — это работники, которым акции дают за их работу, а значит они могут время от времени продавать их (отсюда и продажа за продажей).

Рис. 7: Время между последовательными тразакциями одного и того же типа: P→P и S→S

Иногда инсайдеры могут хотеть аккумулировать в своих руках большее количество акций, что вынуждает их покупать их несколько раз подряд.

Наивысший интервал между сделками P→S и S→P составляет примерно 180 дней. При этом, те сделки пар S→P и P→S, что оказыаются внутри этого интервала прибыльны в 45% случаев, а те, что лежат вне его — в 70%.

Анализ корреляций транзакций и цен акций

Возможно ли обоснованно предположить, что определенный набор инсайдеров осуществляет сделки с использованием недоступной другим участникам торгов информации? Чтобы это сделать, нужно изучить все совершенные инсайдером сделки с акциями определенной компании C и сравнить их с ценами акции этой компании на момент закрытия торгов в день сделки.

Если инсайдер совершил сделку по цене TP, а цена закрытия CP была явно больше, или если инсайдер продал акции по цене TP, а цена закрытия CP оказалась строго меньше, то такие сделки могут быть «информированными» — трейдер покупает, когда цена низкая, и продает, когда высокая.

Отдельный вопрос заключается в том, как определить уровень информированности конкретного человека. То есть, как убедиться в том, что положительный результат сделки — это не просто удача. Сделать это можно с помощью алгоритма 1.

Алгоритм 1

Сначала создается пустой набор T, в который позднее вставятся отдельные наборы, состоящие из значений транзакций инсайдеров (строка 1). Затем процедура начинает изучать каждую сделку одну за одной (строки 2-19). Также сначала создается набор s_i для каждого инсайдера I (строка 3) и для каждой компании, акциями которой он торговал (строки 4-18). Набор транзакций называется «разбитым» (split) в том случае, если они произошли в один день, были одного типа (продажа или покупка) и по одной цене. Если набор транзакций был признан разбитым, то все операции суммируются и рассматриваются в качестве одной транзакции (строка 5).

Затем определяется цена закрытия и долларовый объём (объём торгов умноженный на цену закрытия) — строки 6-7. Поскольку важно найти «сигналы», которые побудили инсайдера совершить сделку. Чтобы это сделать, необходимо нормализовать каждую транзакцию. Для этого нужно нормализованное значение — число купленных или проданных акций умножается на цену и делится на долларовый объём. Обычно это соотношение больше 0 и меньше 1. После его вычисления, цена транзакции сравнивается с ценой закрытия. Если инсайдер покупает или продает, когда цена мала или велика по сравнению с ценой закрытия, то величина соотношения добавляется в набор s_i (строки 9-18) — это значение будет называться «сигнальным». Когда в наборе данных много сигнальных транзакций, то это подозрительно. Далее для коррекции числа ошибочных сигнальных результатов используется коррекция Бонферрони.

После запуска алгоритма для имеющегося у исследователей наборов данных, он вернул 29 инсайдеров, для которых удалось добиться статистически значимых результатов.

Построение сети инсайдеров

Можно предположить, что инсайдеры из различных компаний могут формировать сети с другими людьми, имеющими доступ к важной корпоративной информации, с тем, чтобы делиться такими данными для совершения операций на бирже. Чтобы определить, кто входит в такие сети, нужно построить граф, в котором инсайдеры будут узлами — ребрами соединяются те из них, кто следует похожим паттернам в торговле. Таким образом можно сделать обоснованные предположения о том, что они обмениваются информацией.

Для того, чтобы понять, насколько похожим является поведение инсайдеров, необходимо создать функцию сходства, на вход которой подается информация о времени транзакций двух сравниваемых трейдеров, являющихся инсайдерами для одной и той же компании, и которая дает на выходе некое значение, обозначающее уровень сходства тайминга этих операций.

Транзакции трейдера T, который является инсайдером в компании C, представлены набором T_c = {t₁,…..,t_m}, где t_j — дата транзакции. Этот трейдер может быть инсайдером в более чем одной компании, но в Tc содержатся данные о транзакциях, относящихся к акциями именно этой организации. Процедура построения сети инсайдеров описана в алгоритме 2.

Алгоритм 2

Все начинается с формирования пустой сети G. Затем для акций каждой компании осуществляется сравнение всех дат транзакций со всеми возможными парами инсайдеров. То есть для каждой компании C, сравнивается набор транзакций с дата x_c и y_c для каждой возможной пары трейдеров X и Y, которые являются инсайдерами этой компании C. Чтобы исключить из анализа инсайдеров с малым количеством сделок, рассматриваются только инсайдеры с совершенным количеством транзакций не меньше h_z. Тогда функция сходства будет выглядеть следующим образом:

где I(x,y) — это функция, возвращающая 1 в случае, если x = y и 0 в противном случае. S (x_c, y_c) равняется 1, если инсайдеры X и Y всегда торгуют в ту же дату и 0, если у них нет общих дат сделок. Если сходство между x_c и y_c больше, чем порог hm, мы включает узел для каждого из инсайдеров X и Y в сеть G (если они еще там не представлены) и создаем между ними ребро.

Ниже в таблице представлены параметры для простых сетей продажи (Sale) и покупки (Purchase). Обе сети имеют одинаковое количество узлов (инсайдеров), но в сети Purchase больше ребер — у большего числа трейдеров обнаружены сходства в торговле. При этом в сети Sale больше связанных компонентов, чем в сети Purchase.

Рис. 9: Примеры соединенных компонентов из сети Sale, инсайдеры формируют кластеры различных форм

Далее изучаются размеры соединенных компонентов, то есть число инсайдеров в них. На рисунке ниже представлено распределение соединенных компонентов определенного размера. Видно, что большая их часть имеют размер 2, что указывает на то, что большинство трейдеров в сети обычно не совершают операции в одни и те же даты. Однако все же есть и крупные связанные компоненты в сети Purchase:

Крупнейший обнаруженный исследователями компонент связанных трейдеров — они торговали акциями электрокомпании

Инсайдер может быть таковым для нескольких компаний и иметь какие-то сходные черты в действиях на бирже с инсайдерами каждой из этих компаний. В таком случае несколько компаний рассматриваются, в качестве объединенного компонента — как в треугольнике на рисунке 9.

Также важно понять, объединены ли внутри такого компонента инсайдеры, занимающие одинаковые должности. На рисунке 10 ниже представлены все компбинации ролевых пар (например, ребра между генеральным и финансовым директором, CEO-CFO). К примеру, в обеих сетях, наблюдаем, что в том случае, если инсайдер является CEO, то выше вероятность, что он соединен с другим OO в другой компании. Это интересный момент — CEO является вершиной корпоративной иерархии, но получается, что такие топ-менеджеры склонны взаимодействовать с не столь высокопоставленными инсайдерами. В то же время инсайдеры среднего уровня чаще связаны с людьми аналогичной позиции. Все это указывает на существование как вертикального, так и горизонтального потока обмена инсайдерской информацией.

Также анализируется постоянность похожего поведения в торговле инсайдеров — вычисляется разница в днях между последней и первой похожей транзакцией. Ранее h_z был установлен на уровне 5, так что у инсайдеров должно быть минимум пять похожих транзакций. Результат такого анализа представлен ниже:

Наконец, изучается коллективное поведение инсайдеров и их соседей по сети. Помимо информации о том, что инсайдеры и их соседи по сети совершали одинаковые операции в конкретные дни, анализируются данные о том, в какое время этих дней проходили транзакции.

Выявление аномалий на основе сетевой информации

Для дальнейшего анализа сетей Sale и Purchase кажется логичным оценить то, как каждый из их узлов связан с другими етями. Однако, поскольку в каждой из сетей более 1000 узлов, провести такой анализ затруднительно. Логичнее отметить какое-то количество потенциально «интересных» узлов на основе неких критериев, которые выделяют их из всех остальных элементов.

Анализ проводится на уровне эгосетей (egonets), где ego — конкретный узел сети, а его соответствующая эгосеть является подграфом, выделенным из эго и его прямых соседей. Этот подход позволяет находить аномалии в обычных взвешенных графах и получать легко интерпретируемые результаты. Для этого для каждой эгосети выделяется две метрики: число соседей (степень) эго V и число ребер в эгосети Eu, где u — это эго.

Для многих реальных сетей должна существовать степенная зависимость между V_u и E_u. В сетях Sale и Purchase есть степенная зависимость для отношений между V_u и E_u. На рисунке ниже красная линия степенной зависимости — это высленные по методу наименьших квадратов медианные значения каждого набора данных.

Эта красная линия является нормой с которой и будут сравниваться узлы для выявления аномалий. Если y_u — это число ребер в эгосети u и f(X_u) — это ожидаемое число таких ребер согласно степенной связи, то если в эгосети u есть x_u узлов, то расстояние узла u от нормы вычисляется так:

Важные замечания

Такой сетевой анализ действий инсайдеров позволяет выявить неочевидные интересные факты, которые сложно обнаружить каким-то другим способом. К примеру, если взглянуть на длинную цепочку инсайдеров из сети Sale, то на первый взгляд кажется, что это инсайдеры из никак не связанных друг с другом компаний. Однако, если взглянуть поближе, выясняется, что все они работают в одной инвестиционной компании, которая может действовать в интересах уже тех фирм, с которыми первоначально кажется, что связаны инсайдеры. Таким образом можно находить скрытые связи.

Также исследование показало, что инсайдеры, принадлежащие к одной семье, чаще торгуют похожим образом. Около 7% соединенных напрямую инсайдеров в сетях обладают одинаковыми фамилиями. Ручная валидация подмножества этих инсайдеров позволяет утверждать, что они и впрямь являются родственниками.

Также исследователям удалось обнаружить интересную аномальную структуру. Описанные метод отмечает узлы (или эго), чьи соседи или эгосети отличаются от общих паттернов для всех узлов. На рисунке ниже представлен один такой узел из сети Purchase и его соседи. Красное эго в середине соединено со всеми другими узлами. Толщина ребер пропорционально величине функции сходства. То есть, чем толще линия, тем более похоже поведение на бирже для двух соответствующих инсайдеров.

В этом конкретном случае инсайдер, отмеченный красным, соединен сразу с тремя группами — можно предположить, что этот человек в реальности выполняет какие-то посреднические функции для осуществления инсайдерских сделок групп людей из определенной компании.

Не секрет, что наибольшую опасность для ценной коммерческой информации представляют не злобные хакеры, или любая другая внешняя угроза, а угроза внутренняя – работники компании. Сотрудников, разглашающих данные, использующих закрытую информацию в личных корыстных целях, принято называть емким определением «инсайдеры».

Обычно, когда речь заходит о внутреннем враге, на ум приходит «крот», который проник в организацию, руководствуясь коварным планом. Например, менеджер, целенаправленно крадущий клиентов, или программист, продающий разработки конкурентам.

В реальности все не так однозначно. Инсайдером может стать любой сотрудник, вовлеченный в цепочку трагических случайностей. Секретарь по ошибке отправила письмо не тому адресату, дизайнер, не подумав, выложил графику в общий доступ, работник отдела продаж сказал лишнее. Лень, невнимательность и отсутствие личной ответственности, по принципу домино, формируют последовательность событий, благодаря которым лояльный работник превращается в инсайдера.

Хотите выявить инсайдера? Специалисты по информационной безопасности разработали 4 базовых принципа, которые помогут укрепить линию защиты.

Не закрывать глаза

Большинство руководителей отмахивается от проблемы, полагая, что в их фирме утечки информации быть не может. Проблема спускается вниз по цепочке, от владельца компании к руководителям всех уровней пока не доберется до рядовых работников, которые перестают думать о безопасности данных вообще. А дальше в действие вступает теория хаоса, которая гласит: сложные системы чрезвычайно зависимы от первоначальных условий, и небольшие изменения в окружающей среде могут привести к непредсказуемым последствиям.
Например, персонал, не думающий о сохранности конфиденциальных данных, начнет обсуждать коммерческую информацию с друзьями и знакомыми, работающими в конкурирующих организациях, будет бездумно рассылать документы, или оставлять на видном месте бумажки с паролями от компьютеров или CRM. И так до тех пор, пока предприимчивый злоумышленник не воспользуется всеобщей безалаберностью в своих, корыстных целях.

Отрицание проблемы не защищает от последствий, которые могут оказаться смертельными для бизнеса.

Контролировать процесс рекрутинга

Выявить потенциального инсайдера можно на этапе испытательного срока. Для этого достаточно ознакомить кандидата с правилами работы с конфиденциальной информацией, которые действуют в компании, а затем, проследить, насколько тщательно новичок их придерживается.

Системы мониторинга действий персонала позволяют отслеживать все операции за компьютером, а также на основании собранных данных, предвидеть возможные рисковые ситуации. Инсайдера, который целенаправленно пришел в компанию с целью чем-нибудь поживиться, такой комплекс обнаружит при первых подозрительных действиях.
Если же проблема заключается в несознательном отношении к защите информации, система выявит уязвимость – работника, и руководитель получит возможность предотвратить возможное ЧП, проведя беседу и дополнительное обучение.

Контролировать общение

Запретить доступ к социальным сетям, блогам и форумам, теоретически можно, а практически – бесполезно. Сотрудники просто мигрируют на личные мобильные устройства, и руководитель потеряет всякий шанс отследить время, которое уходит на развлечения, тональность диалогов о компании и данные уходящие вовне.

Чтобы сотрудникам не пришлось искать лазейку, которую они обязательно найдут, лучше взять под контроль каналы коммуникаций, предварительно объяснив персоналу, чем отличается «личное время» от «рабочего», и какие действия могут привести к нарушению периметра информационной безопасности.

Таким образом, босс убьет сразу двух зайцев. Во-первых, сможет контролировать время, потраченное на личные нужды, а, во-вторых – предотвратит возможные утечки информации. При чем, мониторинг и анализ не увеличит нагрузку, свалившуюся на руководителя. Система контроля персонала большую часть задач возьмет на себя, привлекая внимание только в случае возникновения потенциальной опасности.

Анализировать данные

Когда речь заходит о контроле перемещения данных внутри периметра организации, выясняется, что более 80% компаний слепы. Они не отслеживают копирование файлов с диска на диск, в облачные хранилища или на портативные носители информации. Кто знает, в скольких экземплярах, и на каких флешках уже есть копии базы клиентов?

А ведь контроль трафика данных и мониторинг действий персонала – ключевые аспекты защиты от всех типов угроз, как внутренних, так и внешних. Без пристального внимания к перемещениям каждого бита информации, без анализа действий работников, компания оказывается слепа, глуха и безоружна. И, если завтра важные коммерческие документы попадут к конкурентам, или злоумышленник получит доступ к внутренней сети организации, никто об этом даже не узнает. Пока не станет слишком поздно и финансовый урон не поставит бизнес на колени.

В мире, прочно завязанном на информационные технологии, опасности могут подстерегать повсюду. И единственный путь, позволяющий противостоять им – современные высокотехнологичные средства защиты, подкрепленные обучением персонала и развитием корпоративной культуры.