«Должны выйти на пенсию руководители, которые не верят в компьютерные преступления»

Кибербезопасность — самая востребованная и противоречивая специальность последнего года: российских хакеров обвиняют во взломе американских выборов, менеджера «Лаборатории Касперского» арестовывают за госизмену, а сам Евгений Касперский вынужден давать показания в Конгрессе после того, как американским госорганам запретили закупать его антивирусы. The Bell поговорил с конкурентом Касперского в области раскрытия киберпреступлений, основателем Group-IB Ильей Сачковым, о том, как политика влияет на кибербезопасность, и как после всего этого изменилась работа российских компаний на западных рынках.

Созданная в 2003 году компания Group-IB специализируется на расследовании и предотвращении преступлений в компьютерной сфере. Еще в 2014 году Forbes называл ее крупнейшим в России частным кибердетективным агентством, – если не считать отделы расследований больших интернет-компаний вроде «Лаборатории Касперского». Компьютерных криминалистов у Group-IB уже тогда было больше, чем в соответствующем подразделении Экспертно-криминалистического центра МВД России.

Сачков – о роли политики в кибербезопасности:

Конечно, политика в целом влияет на IT-сектор, потому что некоторые люди в некоторых странах пытаются политизировать технологии. Но это странно — вне зависимости от отношений с Европой, наши политики ездят на немецких машинах, потому что они хорошие. А умные клиенты используют хорошие инженерные технологии, пускай даже по информационной безопасности. 2017-й год, XXI век – не то время, когда люди не должны пользоваться технологическими достижениями. Я абсолютно аполитичный человек, неплохо знающий историю и понимающий, что от многих процессов, которые сейчас происходят, стоит держаться подальше. Я решаю со своими коллегами инженерную задачу. Бить себя в грудь и кричать, что мы будем против американцев или против России – не мое. Моя задача – чтобы у меня были хорошие технологии, хорошие лекарства, которые помогают нормальным людям.

Илья Сачков родился в 1986 году, вырос в Измайлово, с отличием окончил МГТУ имени Баумана (кафедра информационной безопасности, факультет информатики и системы управления). Его отец был физик, мать – информационный аналитик в ЦБ. Вопросами кибербезопасности начал интересоваться еще в школе – его попросили разобраться, из-за чего постоянно падаем модем, выяснилось, что один из учеников крадет трафик. По-настоящему расследовать киберпреступления и сделать на этом бизнес Сачков решил в 2003 году. Он основал компанию с двумя однокурсниками Дмитрием Волковым и Игорем Катковым, оба работают в Group-IB до сих пор. Помещение под лабораторию им выделил МГТУ имени Баумана, а первые деньги на запуск проекта ($5 тысяч) Сачков занял у брата.

О проблемах «Лаборатории Касперского» в США:

Я не хочу строить теории, но если Евгений Валентинович [Касперский] в свое время использовал в качестве пиара то, что он сотрудник КГБ (Forbes писал: «На коробках с антивирусом поместили фото Касперского с подписью «Он работал в КГБ» — на Востоке, особенно в Японии, образ Касперского — выходца из КГБ — срабатывал как знак качества». — The Bell), то за это в 2017 году может прилететь, вот и прилетело. В какой-то год выручка благодаря информации о службе в КГБ возросла, потому что азиаты не очень понимают, что это такое. А американцы это, конечно же, запомнят. У нас среди основателей компании нет бывших сотрудников спецслужб и правоохранительных органов.

«Лаборатория Касперского» в хорошем смысле наш старший брат, на которого мы ориентируемся и которого нам иногда приятно в чем-то превзойти. Благодаря своим маркетинговым бюджетам «Лаборатория», создает имидж для всех российских IT-компаний. Надо еще понимать, что российских компаний такого рода в мире немного, поэтому психологически хочется их связывать между собой. Но так происходить не должно – если «Фольксваген» накосячил с дизельными двигателями, то «Мерседес» явно будет ни при чем. И в самый сложный политически прошлый год у нас валютная выручка увеличилась на 150%. Какая она теперь, мы не раскрываем. Она хорошая. У нас в Америке появилось достаточно большое количество клиентов – преступность, она же повсюду.

О своем бизнесе в США:

Клиенты — только частные. Почему мы не работаем с правительственными организациями? Потому что с бизнесом работать гораздо проще – у них проблема, у вас решение, начали работать. Правительственные любые истории очень долгие – даже в России. У нас выручка от государства равна нулю. Потому что бумажки, конкурсы, год подготовки к какой-то работе, а инженерные технологии настолько быстро меняются, что я не хочу два года своей жизни тратить, чтобы через два года продать то, что не будет работать. Мы любим работать с коммерческим сектором, с предпринимателями.

О том, можно ли на 100% определить источник хакерской атаки:

Нет. Я ужасно не люблю отчеты в стиле Crowdstrike: «Это сделало правительство России!». Атрибуция дает подсказку, не более того. Допустим, атака велась с серверов, зарегистрированных в России. Их что, из другой точки зарегистрировать не могли? Мы не можем объявить человека убийцей, пока суд не вынесет приговор, что это он. А в компьютерном мире почему-то стали модными такие отчеты.

Первая причина: это плохо, поскольку ненаучно. Даже если мы доходим до конечного компьютера, находим сохраненную на FTP-сервере переписку, которая что-то подтверждает, то компьютер может быть заражен без ведома владельца, на нем может стоять VPN — в общем, масса вариантов. Нужно исследовать компьютеры по науке, а потом, желательно, допросить владельца. Но случаи, когда можно найти компьютер, достаточно редки. К тому же, у компьютера может быть несколько пользователей, один знал, другой — не знал. Человек, который сидел за этим компьютером, мог работать на иностранное государство, и намеренно подставить страну, в которой находился.

Вторая причина: если мы делаем выводы, подобные тем, что были сделаны в отчете [основателя Crowdstrike Дмитрия] Альперовича до того, как злоумышленники были арестованы, то мы мешаем расследованию. Нельзя преступникам заранее давать подсказки, что их следы обнаружены. Для журналистов тема компьютерных преступлений актуальна, и отчет под названием «Мы нашли аргентинских хакеров, работающих на правительство!» можно скормить любому СМИ.

Любая компания должна рассматривать компьютерные преступления вне политики. Если мы находим вирус, наша задача – понять, как он попал, объяснить, как он работает, и понять ключевые мотивы. Если мы нашли вирус, цифровой след, то мы по этому следу идем и находим разные вещи – они могут иметь русскоязычные, израильские, северокорейские, или любые другие корни. «Лаборатория Касперского» почти всегда воздерживается от атрибуции проправительственных группировок. Если я не ошибаюсь, единственным исключением был кейс с группировкой Lazarus, которую связали с правительством Северной Кореи. Однако эти выводы были сделаны на основе анализа вредоносного кода, который, как известно, можно подделать, чтобы сбить исследователей со следа. Именно поэтому их нельзя воспринимать как истину в последней инстанции.

Мы тоже исследовали деятельность Lazarus и пришли к такому же заключению. При этом наши выводы основываются на глубоком исследовании инфраструктуры управления злоумышленников, что является гораздо более надежным доказательством принадлежности к той или группировке.

В августе 2016 года инвесторами Group-IB стали Люксембургская Altera Investment Fund SICAV-SIF Кирилла Андросова и фонд Run Capital, пайщиками которого являются основатели платежной системы Qiwi Николай и Андрей Романенко и Андрей Муравьев. Инвесторы приобрели по 10 % Group-IB, сумма сделки и текущая структура собственности не разглашаются. Выручку компания не раскрывает, прогноз по ней в 2013 году был $36 млн, писал Forbes.

Почему в России до суда доходит только 7% дел о киберпреступлениях

Этот процент везде низкий – по многим причинам. Практически везде плохо с законодательством, например. У нас, например, дисбаланс бюджета. Сейчас мы, как ни странно, живем в самое безопасное время. Мои шансы умереть, скажем, от уличной преступности или теракта, минимальны. При этом весь бюджет посвящен защите от внешних угроз. А где находятся преступники? Конечно, в интернете — мошенничество, терроризм. А низкая раскрываемость потому, что вся система правопорядка в мире построена на защиту людей от физических проблем.

У нас не было интернета еще двадцать лет назад. И должно смениться поколение. Должны выйти на пенсию руководители, которые не верят в возможность компьютерного преступления — а такие есть. Не верят они потому, что им сложно в этом разбираться. Убийство – просто. А банкоматы вдруг раздали наличность – это сложно, какие-то таргетированные атаки, геморрой. И в этом плане очень хорошо, что в руководители стали приходить довольно молодые люди, которые большую часть жизни сидели за компьютерами, у них ломали аккаунты, воровали танки в Word of Tanks – им уже ничего не надо объяснять, и они в хорошем смысле влияют и на законотворчество и на правопорядок.

О новом рынке в кибербезопасности:

Вы объявили ICO. Как для вас это выглядит? У вас появился интернет-сайт, на котором размещен Whitepaper (аналог меморандума для инвесторов — The Bell) и описывается, каким образом размещаются токены. Есть кошельки, куда нужно перечислить деньги, офис, который обслуживает смарт-контракты. Что произойдет? Вас попытаются взломать, изменив номера кошельков, появятся десятки сайтов, полностью идентичных вашему, попытаются заразить ваш компьютер, будут появляться идентичные вашим социальные группы, в которых будет объявляться о смене реквизитов. Нигилизм со стороны преступников потрясающий – банки так не атакуют, как эти компании. Потому что денег много, со всего мира собираются, очень понятно, как воровать: много разнообразных атак со всего мира прилетает, очень интересно. Банки стоят и курят в сторонке.  Мы сейчас защитили проект по Blackmoon Financial Group, основанной Олегом Сейдаком из Flint Capital и бывшим вице-президентом «Вконтакте» Ильей Перекопским, и это была круглосуточная работа. В итоге они собрали больше $30 млн долларов на продаже токенов нового проекта Blackmoon Crypto.

Светлана Рейтер, The Bell