$2,3 млрд. — в такую сумму гендиректор компании Group-IB Илья Сачков оценивает объем киберпреступлений в России только за один календарный год. Жертвы хакеров пользуются его услугами, и пока компании удается идентифицировать абсолютно всех преступников, за которых она берется. В интервью «БИЗНЕС Online» самый известный в России борец с преступностью XXI века рассуждает о перспективах Иннополиса, о бессилии антивирусов и о том, почему нельзя обмениваться по сети интимными фото.
Илья Сачков |
«ВЕРСИЮ ЭНЕРГОБАНКА МЫ СКЛОННЫ ПОДТВЕРЖДАТЬ»
— Илья, насколько мы знаем, в конце мая по приглашению Нацбанка РТ вы участвовали в совещании с руководителями татарстанских банков и начальниками IT-отделов. Какая была тема разговора?
— Информационная безопасность. Так как мы в России сопровождаем 80 процентов всех расследований преступлений, связанных с высокими технологиями, то нас часто приглашают в разные места, чтобы мы поделились информацией о том, как именно происходят преступления. К сожалению, есть большие проблемы в понимании того, что такое компьютерная преступность и как с ней бороться. Начнем с того, что мало кто верит в существование хакеров, для многих это своего рода сказочный персонаж. Даже среди банкиров, в том числе и в Татарстане, есть те, кто не верит, что киберпреступления — это реальная для них угроза. Например, не верят, что причиной проблем Энергобанка стал вирус, считая, что это человеческий фактор.
Если мы на улице опросим 100 человек, то многие вообще такого слова не знают, а кто-то скажет, что это персонажи американских блокбастеров. И только, наверное, каждый сотый человек (как раз столько, сколько в России уже сталкивались с киберхищениями) даст его какой-то портрет. Хотя таких «сказочных персонажей» уже достаточно много и становится все больше.
— Что все-таки произошло с Энергобанком? Насколько я понимаю, непосредственно вы занимались расследованием происшествия, в результате которого татарстанский банк потерял сотни миллионов рублей.
— Результаты расследования мы сможем обнародовать не ранее середины июня, может быть, и позже. Сейчас это тайна следствия. Могу лишь сказать, что вряд ли там речь идет о человеческом факторе. Ту версию, которую в интервью «БИЗНЕС Online» рассказал топ-менеджер Энергобанка, мы склонны подтверждать. Но наша задача — не только понять, как это произошло, но и найти людей, которые это сделали.
— Каким образом можно найти киберпреступника, который в данном случае еще и хитро замаскировался под участника валютного рынка?
— Любые действия в интернете оставляют гораздо больше следов, чем думают многие люди.
— Как происходит преступление?
— Операционная система и браузер имеют различного рода уязвимости, через которые вирус попадает на компьютер и начинает его исследовать, передавая информацию злоумышленнику. Так он узнает, что из себя представляет зараженный компьютер, каковы его операционная система, используемый браузер, какие антивирусники стоят, используется ли платежная система и каков баланс расчетного счета в онлайн-банкинге.
«НА ЛИЦАХ МНОГИХ ХАКЕРОВ ВЫ НЕ ЗАМЕТИТЕ ПЕЧАТИ ИНТЕЛЛЕКТА»
— Человек без соответствующих знаний вряд ли сможет использовать киберотмычки...
— Теперь это уже не так. В начале 2000-х годов, когда мы только начинали свою деятельность, киберпреступники действительно были умными и интеллектуальными людьми. Было очень интересно с ними бороться, это напоминало голливудские фильмы о войне со злым гением. Однако сейчас я могу показать вам фотографии хакеров, и на лицах многих из них вы не заметите печати интеллекта. Некоторые из них с трудом могут писать по-русски и при этом совершают компьютерные преступления, используя программы для взлома удаленного компьютера. В этих программах довольно легко разобраться. Это не черный экран и падающие вниз непонятные циферки, как это было показано в фильме «Матрица».
— Кто разрабатывает зловредные программы?
— Существует черный рынок IT-услуг. Хакерские программы разрабатывают структуры, похожие на настоящие IT-компании. Сами программы выполнены на высоком коммерческом уровне, у них даже есть своя лицензионная политика — лицензия на три месяца стоит столько-то долларов, на год — столько-то. Есть и круглосуточная техническая поддержка покупателям программ, во многих случаях работающая даже лучше, чем у обычных IT-компаний.
Еще одна причина широкого распространения хакерства — это то, что киберпреступники не вызывают антагонизма в обществе в отличие от совершающих кражи в магазине или торгующих наркотиками. Вокруг хакеров есть некий налет романтизма. Характерный пример, который показывает отношение общества к различным преступникам, — это дело новосибирского хакера Евгения Аникина, который украл 9,5 миллионов долларов у RBS. В итоге он получил пять лет условного срока. Для сравнения: в тот же год человек, который взломал рекламную видеостену на Садовом кольце и стал транслировать на ней порнографические ролики, получил шесть лет колонии, а человек, который украл кусты роз, получил два года строгого режима. То есть человек, который украл больше всех, но с помощью компьютера, получил самое слабое наказание.
Кстати, в тот день, когда был вынесен приговор Аникину, на Первом канале телевидения вышла новость «Талантам молодого программиста удивился обворованный банк». И вот все молодые ребята в разных регионах России, которые не могут найти работу, смотрят такие новости и думают: «М-м-м... молодой талантливый программист... 9,5 миллионов долларов... Условный срок... В принципе, это хорошая комбинация — и бандитом не назвали, и условный срок получил, и сумма такая, которая позволяет не работать всю оставшуюся жизнь».
В свое время я пытался создать обобщенный портрет компьютерных преступников, но потом отказался от этой мысли — люди совершенно разные. Вот, например, знаменитая группа Carberp. Они два года назад смогли похитить в Сбербанке порядка 25 миллионов долларов. Сейчас все члены Carberp — 1983, 1986, 1988 года рождения — уже арестованы и получили 5 - 6 лет реального срока. Это было первое дело, когда следователи доказывали не компьютерное преступление, а хищение (158 статья УК РФ). Как оказалось, это был очень правильный подход. Если бы они обвиняли хакеров в неправомерном доступе к компьютерной информации, в заражении зловредными вирусами, то судья бы вынес мягкое наказание, как во многих других случаях.
К сожалению, подобных инцидентов в ближайшие годы будет происходить гораздо больше. Этому способствует сложная геополитическая обстановка: уезжая в другую страну, злоумышленник становится труднодоступным для правосудия. Многие российские хакеры уехали на Украину, многие с Украины приехали в Россию. Многие уезжают в Азию, в арабские страны. Компьютерное преступление — это единственное преступление из всего Уголовного кодекса, которое можно совершить, сидя в одной стране, за одну секунду одновременно хоть в ста странах.
С БУМАЖНЫМИ ТЕХНОЛОГИЯМИ ЗА ХАКЕРОМ НЕ УГНАТЬСЯ
— И что делать с этим?
— Пора отказываться от бумажных технологий и использовать информационные технологии для расследования таких преступлений. У нас правоохранительные и судебные органы привыкли, да и обязаны работать с бумагой, а компьютерные преступления происходят за одну секунду. Пока полиция подготовит документы, пока отправит запросы в другую страну, пока их там рассмотрят... Пройдет месяц как минимум. А к этому времени уже будет совершенно другая техническая инфраструктура, злоумышленники уже будут находиться в другом регионе...
В некоторых странах уже произошел переход на безбумажные технологии. Идеальный пример — Сингапур. Несильно отстают и США. Там любое событие в информационных системах можно мгновенно отследить. Если человек столкнулся с компьютерным преступлением, ему достаточно отправить заявление на специальный веб-сайт, и уже через пару секунд оно будет проверено на взаимосвязь с сотнями другими заявлений и материалами расследования, если его уже кто-то ведет. Если найдены какие-то совпадающие детали, то следователь тут же получает сигнал о новом случае преступления.
— В России пока такого нет?
— Пока нет. Но к этому надо стремиться, возможно, Татарстан запустит такую систему первым.
— Это пожелание или есть уже какие-то конкретные наработки?
— Это пожелание. У вас в Татарстане подходы пока очень правильные, инновационные, как многие вещи, которые здесь происходят. Что меня одновременно радует и удивляет. Инициатива Нацбанка РТ собрать банкиров и руководителей IT-отделов и рассказать о проблеме, а не скрывать, как это часто бывает в других регионах России, — это правильно. Нужно рассказывать о том, как это происходит. Потому что, зная, как происходит преступление, можно от него уберечься. У вас сейчас строится Иннополис, где будет большое внимание уделяться информационной безопасности. Кстати, в рамках недавней IT-конференции «Информационные технологии на службе оборонно-промышленного комплекса» мы подписали с «Ростехом» договор о сотрудничестве в области кибербезопасности. Мы будем оказывать определенный сервис всем предприятиям, входящим в госхолдинг.
«ИННОПОЛИС — ЭТО ХОРОШАЯ ИДЕЯ»
— А с Иннополисом планируете сотрудничать?
— Да, мы хотим открыть там свою лабораторию компьютерной криминалистики. Кроме этого мы хотим договориться с Университетом Иннополис о создании кафедры компьютерной безопасности, где можно будет изучать средства киберразведки и компьютерной криминалистики. Это очень редкие специальности для России.
— Какие инвестиции предполагаются?
— В ближайшую пару лет мы намерены инвестировать в свою лабораторию в Иннополисе несколько миллионов долларов.
— Кадры откуда возьмете? Вахтовым методом из Москвы возить будете?
— Вначале это будут командировки, возможно даже постоянное жительство наших сотрудников в Иннополисе. До тех пор, пока не появится местный костяк команды, который будет продолжать работать и учить студентов.
— Насколько успешным, по вашему мнению, будет проект «Иннополис»?
— Это хорошая идея — в одном компактном месте разместить удобное жилье, университет и технологические площадки, где можно открывать офисы компаний. К тому же здесь отличная экология, рядом горнолыжный курорт. Проблема больших городов, таких как Москва, в том, что человеку приходится ежедневно терять несколько часов в пути от дома до работы. Я думаю, что многие жители Москвы, работающие в IT-сфере, в том числе и сотрудники Group-IB, захотят жить и работать в Иннополисе. По крайней мере, те ипотечные программы, которые предлагаются в Иннополисе, — это очень хороший вариант для многих.
Я уверен, что Иннополис уже вскоре будет полностью заселен и еще будет разрастаться. И чем больше таких IT-городов будет в России, тем лучше. Проблема России в суперцентрализации ресурсов в Москве. Если взять США, то там отличные условия для работы есть в каждом штате. Там нет такого, что есть Вашингтон и Нью-Йорк, а вся остальная страна считается провинцией. Нам тоже в каждом субъекте Федерации нужно создавать такие технологические центры. Тогда и экономика будет развиваться совсем другими темпами.
«СПЕЦСЛУЖБЫ — НАШИ ЗАКАЗЧИКИ»
— Каковы ваши взаимоотношения со спецслужбами?
— Для нас спецслужбы — это заказчик криминалистических исследований и каких-то экспертных выводов. Спецслужбы привлекают сотрудников нашей лаборатории для проведения оперативно-разыскных мероприятий, назначают экспертизы по уголовным делам.
— А у них нет своих подобных структур?
— Разумеется, и у МВД, и у ФСБ есть свои компьютерные криминалисты, но именно по высоким технологиям мы считаем, что собрали лучшие кадры страны. Мы можем платить больше профессионалам, давать им более интересную работу.
— Переманиваете специалистов из спецслужб?
— Раньше так и было, но сейчас мы поняли, что лучше, чтобы и в спецслужбах работали хорошие специалисты, иначе расследования будут идти медленнее, а это не в наших интересах. Кроме нас, тема компьютерной криминалистики в России мало кому нужна. Мы, можно сказать, единственные, кто ее развивает. Да и в мире по нашей специфике работают всего 7 крупных компаний.
Вообще, проблема подготовки кадров в этой области очень-очень серьезная. Например, мы в свою организацию отбираем персонал довольно хитрым способом. Сначала кандидат должен решить задачи организуемой нами олимпиады по компьютерной криминалистике, а затем пройти через полиграф. В последней олимпиаде, в которой принимали участие 50 тысяч человек, все задания решили только двое. И оба отказались пройти тестирование на полиграфе и переехать в Москву.
«ХАКЕРОВ НУЖНО ЛЕЧИТЬ ХИМИЧЕСКИМИ ПРЕПАРАТАМИ»
— Бытует такое мнение, что за хакерами, особенно наиболее успешными, стоят спецслужбы. Американские спецслужбы с их помощью тестируют, что можно будет вывести из строя у потенциального противника в час икс, например АТС или электростанции, а наши спецслужбы, соответственно, натаскивают российских хакеров на взлом иностранных компьютеров. Так ли это?
— Это миф. В свое время мы изучали психологию киберпреступников. Попытки использовать арестованных хакеров на благо государства окончатся очень плачевно. Потому что у таких людей в момент совершения первого большого преступления, когда они срывают куш, меняется химия процессов головного мозга. У них появляется мощный шаблон поведения, которого нет у обычного человека. Представим себе, что родители молодого киберпреступника учились в школе, потом они пошли в университет, потом долго сложно работали, получая зарплату и что-то откладывая на учебу ребенка.
И вот он в 16 лет похищает с помощью компьютера столько денег, сколько его родители вместе взятые не зарабатывали за всю свою жизнь. У него в этот момент меняется сознание. Он понимает, что мир устроен не так, как говорили ему родители и школьные учителя. И он этот момент будет помнить всегда. Даже если его посадить в кабинет, дать компьютер и сказать: работай, рабочий день с 8 до 16 часов, твоя зарплата такая-то, он всем своим нутром будет понимать, что это неправильно. Потому что он в один день заработал столько, сколько честным трудом не заработает никогда. Какое-то время его можно держать под контролем, но потом он опять сорвется, совершит новое киберпреступление, даже если до этого уже получил реальный срок и отбыл его в тюрьме. На самом деле хакеров не только надо изолировать от общества в тюрьме, но им требуется профессиональное лечение, с ними должен работать психиатр, скорее всего, потребуется курс химических препаратов, чтобы мозг вернулся в первозданное состояние.
— Перепрограммировать мозг?
— Можно и так сказать. Это очень интересная область исследований. Хотя я больше эксперт по информационной безопасности, но внимательно слежу за исследованиями в области психологии преступлений. Потому что первый вопрос, когда мы начинаем расследовать преступление: кому это было выгодно? Ответив на этот вопрос, можно построить логику расследования.
— Я думаю, что это справедливо для любого преступления. Рецидивист не станет работать за зарплату, если знает, что может легко стянуть кошелек в общественном транспорте.
— Более того, очень многие из тех, кто пользуется бизнес-классом в самолетах, имеют похожий поведенческий типаж. У них те же качества, что и у профессиональных преступников. Единственное отличие — более высокий IQ и отсутствие в детстве опыта насилия.
— И тем и другим тесно внутри системы, они играют по своим правилам?
— Да, но при этом у киберпреступника, в отличие от карманника, постепенно притупляется чувство страха, что, в принципе, очень хорошо для людей, которые занимаются расследованием. Когда нет страха наказания, преступник начинает делать ошибки, которые позволяют выходить на его след.
ЗА ГОД БЫЛО ПОХИЩЕНО $2,3 МИЛЛИАРДА
— Можно ли оценить весь рынок киберпреступности в России?
— По нашей статистике, в период за второе полугодие 2013 года и первое полугодие 2014 года было похищено 2,3 миллиарда долларов по курсу 35 рублей за доллар. Официальная статистика ЦБ РФ по целевым атакам на банки намного скромнее — всего 114 миллионов рублей. Это объясняется тем, что большинство банков предпочитают не раскрывать свои потери от киберпреступности. Например, преступная группа Anunak в декабре 2014 года заразила примерно 200 организаций в России и похитила 1 миллиард рублей. Всего пострадало около 35 российских банков. Причем большинство из них было защищено антивирусниками. Отсутствие знаний о подобных преступлениях среди специалистов IT-отделов банков и компаний позволяет злоумышленникам повторять их снова и снова.
Когда специалисты компании думают, что они поставили антивирус и на этом все, проблема снята, они сильно заблуждаются. С учетом того, что злоумышленники достаточно много денег успевают похитить, они эти деньги инвестируют в развитие новых технологий киберпреступлений.
— Антивирусами киберпреступность не победить?
— Совершенно верно. Какой классический подход сформировался в России, в Татарстане за последние 20 лет? Если вы видите вирус в своей системе, вы его просто стараетесь удалить с помощью антивирусника. При этом мало кто задумывается, что за вирусом где-то в доме или в офисе сидит группа людей, которая старается с его помощью совершить преступление. Удаляя этот вирус с компьютера, вы удаляете следы, и у злоумышленников не появляется желание остановить преступление. При этом в корпоративной инфраструктуре остается дыра, через которую этот вирус попал.
Еще одна проблема в том, что в России существует понятие «обнал» для юридических лиц. Злоумышленник легко может обналичить денежные средства, сворованные со счетов юрлиц. Этого нет в большинстве развитых стран мира. Если мы рядом поставим два одинаковых компьютера — российский и, например, итальянский, то, заразив эти компьютеры, в России злоумышленник может достаточно быстро найти контрагента, который примет платеж и принесет ему наличные деньги. А вот в Италии он так не сможет сделать. Не сделает в США, Германии, Великобритании и во многих других странах.
Кстати, именно поэтому уже неправильно считать, что русские хакеры воруют средства за рубежом. Сейчас они практически уже все свои преступления совершают в России — здесь много юрлиц с большими оборотами. Только в июле 2014 года хакеры попытались похитить у разных российских компаний, в том числе и из Татарстана, более чем 12 миллиардов рублей. Большинство атак удалось отбить с помощью системы, которую мы сейчас создаем. Но интересно, что в этом списке есть совершенно разные организации, в том числе и те, которые в принципе не должны были иметь выхода в интернет, судя по названию. Например, отделения федерального казначейства. Это означает, что в компьютер, который находится внутри закрытой организации, внутри защищенного периметра, каким-то образом проник вирус, который позволяет злоумышленникам похитить деньги. Кроме этого, они могут получить удаленный доступ к этому компьютеру, сделать снимки с экрана, то есть использовать компьютер для шпионажа.
«ФИЗИЧЕСКИМ ЛИЦАМ ПЕРЕЖИВАТЬ НЕЗАЧЕМ»
— Сейчас практически все онлайн-банки защищены трехмерными системами защиты (3D-Security), когда клиент должен ввести еще один пароль, приходящий на его телефон по СМС. Насколько они надежны?
— Есть несколько мифов, касающихся систем защиты транзакций. Например, многие уверены, что электронно-цифровая подпись и использование токена (USB-ключа) гарантируют надежность интернет-банкинга. Это далеко не так. Проблема в том, что, когда вирус уже находится в компьютере, он может перехватить логин и пароль и получить точно такие же права, как настоящий владелец. Фактически злоумышленник может с этого компьютера подписать платежное поручение и отправить его в банк либо в момент подписания бухгалтером платежного поручения подменить платежные реквизиты, и деньги уйдут не туда, куда надо.
Теперь об одноразовых кодах, которые приходят по СМС, либо генерируются на отдельном устройстве, либо размещаются на скреч-картах, на которых надо стирать защитный слой. Опять же, если вирус уже находится на компьютере, когда вы вводите этот одноразовый код, подтверждая платежное поручение, то на экране вы его видите одним, а в банк уйдет совершенно другое. Предположим, вы на экране видите, что переводите 100 рублей на расчетный счет Ильи Сачкова, и подтверждаете эту операцию кодом, пришедшим по СМС. Вы видите, что отправили эти деньги по назначению. Но на самом деле вы введением кода подтвердили перевод всех имеющихся в наличии денег на расчетный счет злоумышленника. Это очень распространенная технология краж, в хакерской терминологии она называется «автозалив» — залив реквизитов в заранее подготовленную форму.
То же самое происходит и с мобильными телефонами. Одна преступная группа взламывала телефоны, на которых был установлен интернет-банкинг, и перехватывала все поступающие СМС-сообщения. Таким образом, злоумышленники получали одноразовые коды и совершали платежи, которые им были нужны.
— Так что, онлайн-банкингом сейчас нельзя пользоваться?
— Можно, только нужно понимать, что если вы, например, юридическое лицо, то с того компьютера, с которого вы платите, не надо бездумно серфить по интернету, нужно соблюдать определенную компьютерную гигиену. Надо помнить, что компьютер, на котором установлена система дистанционного банковского обслуживания, для злоумышленника — цель №1. Корпоративная информация всегда будет лишь целью №2 по той простой причине, что в России ее сложнее монетизировать, то есть найти покупателя.
— А что делать простому человеку, у которого на счету есть несколько десятков тысяч рублей?
— На самом деле им переживать незачем. Физическое лицо защищено законом о национальной платежной системе. Согласно статье 9, если платеж осуществлен без вашего ведома и банк вас об этом не уведомил, то он должен в течение трех дней вернуть деньги на ваш расчетный счет. Если не вернул, то вы имеете полное право подать на банк в суд и выиграть дело. И такие примеры в России уже есть.
— И как можно доказать, что, введя код, пришедший на твой телефон, ты одобрял совсем другой платеж, что ты стал жертвой хакера?
— Ваша задача как физического лица лишь заявить, что этот платеж делали не вы. Банк обязан вернуть деньги и уже потом начать разбирательства. Если вы юридическое лицо, то вам нужно будет заказать экспертизу компьютера, с которого совершался платеж. Компьютерный криминалист всегда сможет доказать, вы этот платеж провели или не вы. Однако, как правильно было отмечено на совещании в Нацбанке РТ, платежные карточки все больше распространяются среди социально незащищенных слоев населения, которые в принципе слабо понимают, что такое информационные технологии. Они становятся легкой добычей для мошенников. И поэтому для этих людей должен быть создан простой и понятный алгоритм возврата денежных средств.
«ПОСЛЕ ОБМЕНА ИНТИМНЫМИ ФОТОГРАФИЯМИ НАЧИНАЕТСЯ ЖЕСТКОЕ ВЫМОГАТЕЛЬСТВО»
— Сколько компьютерных преступлений доходит до суда?
— Очень немного. Оценить эту цифру сложно, так как многие пострадавшие вообще не заявляют о преступлениях. На самом деле это все очень плохо. Люди перестали верить в то, что это вообще можно сделать. Этим пользуются преступники, которые активизировали свою деятельность в социальных сетях и в мобильных приложениях. Самая популярная заявка, которая к нам приходит, но которой, к сожалению, мы не занимаемся: женщина знакомится с мужчиной, или мужчина знакомится с женщиной в социальной сети, они начинают переписываться, общаться. На второй-третий день у них доходит до обмена интимными фотографиями или видео, после этого начинается очень жестокое вымогательство. Когда злоумышленник находится в друзьях на страничке своей жертвы, он видит всех ее других друзей и коллег и поэтому может угрожать показать им компромат. Вымогаемые суммы начинаются от 15 тысяч рублей и доходят до 500 - 700 тысяч рублей.
Я, конечно, понимаю, что жертвы сами виноваты, но они никуда не могут обратиться за защитой. Даже если жертва обратится в полицию, там, скорее всего, этим никто не будет заниматься. Поэтому, хотя общее число киберпреступлений растет, по официальной статистике оно падает. Падает, потому что люди перестают верить в то, что их можно расследовать.
— А почему вы этими расследованиями не занимаетесь?
— Мы не можем заниматься расследованием преступлений против физических лиц. К сожалению, это экономически нецелесообразно — расследовать кражу 300 рублей с мобильного телефона. Для нас заказчиком может быть банк, у которого это физическое лицо было клиентом. В основном мы занимаемся крупными хищениями, имеющими большую отраслевую важность.
Среди тех дел, которые расследовали, мы не нашли лишь одного злоумышленника, и то он сейчас находится в международном розыске. Он уже идентифицирован, только непонятно, где находится. Скорее всего, у него сейчас нет компьютера под рукой и он живет в какой-то небольшой деревне в азиатской стране. Только поэтому мы его еще не нашли.
Вообще, я считаю, что будущее за созданием систем, которые за секунду позволяют сравнивать имеющуюся информацию, находить взаимосвязи и предсказывать еще не совершенные киберпреступления. Например, стоит посмотреть на американскую компанию Palantir Technologies, которая сейчас при корреляции большого объема данных предсказывает не только ураганы и номинантов премии «Оскар», но и совершение преступлений наркоторговцами в разных штатах. Кстати, при помощи этой системы нашли и Усаму бен Ладена, проанализировав большое количество информации о передвижениях его курьеров и помощников, а также о тех местах, где снималось видео с террористом №1. Правда, в эту компанию американцы вложили более 20 миллиардов долларов.
ГОРШОЧЕК МЕДА ДЛЯ ХАКЕРА И ПРЕДСКАЗАНИЕ БУДУЩЕГО
— Компьютерные технологии позволяют предсказывать будущее?
— Я не очень верю в предсказание будущего как какой-то магии. Просто есть статистика и есть предсказуемое поведение человека. На основе этого можно прогнозировать последствия событий, которые происходят сейчас или произошли в прошлом. Например, до ограбления банка у преступника уже есть какая-то история, предпосылки. Наверное, у него есть финансовые проблемы. Во-вторых, он, скорее всего, придет в банк, оценит систему охраны и видеонаблюдения. Потом он пойдет на черный рынок, купит себе оружие и маску. Если проанализировать 100 ограблений банка, то можно найти определенные маркеры, которые говорят о том, что преступление уже готовится. Еще больше действий человек совершает во время подготовки к интернет-преступлению. Злоумышленник пользуется системами анонимного доступа в интернет, посещает форумы, интересуется какой-то специфической информацией в интернете, ищет разработчиков вирусов, покупает у них инструменты взлома компьютерной сети, регистрирует домен, взламывает какой-то популярный сайт, чтобы распространять вирус... Все эти действия злоумышленников можно отследить.
— Во время войны для борьбы с подводными лодками немцев использовались корабли-ловушки, которые маскировались под торговые суда. Можно, наверное, создавать подставные компании, которые в интернете могли бы предлагать вредоносные программы для взламывания сайта. Чтобы злоумышленники летели туда как мухи на мед.
— Такие оперативные мероприятия проводятся под контролем правоохранительных органов. Вы абсолютно точно назвали официальный термин в области информационной безопасности: honeypot — «горшочек с медом». Мы тоже разрабатываем/используем разнообразные технические средства, которые приманивают вирусы — они ходят по сайтам, заражаются, мы вылавливаем вирусы из трафика и многое другое. Полученные новые виды вирусов мы изучаем и добавляем в свою систему, чтобы система могла распознавать их.
— Чем вы отличаетесь от той же лаборатории Касперского или других разработчиков антивирусов?
— Мы отличаемся структурой компании, мы отличаемся решениями, которые мы предлагаем и используем. Наши криминалисты приезжают расследовать инцидент в те компании, где, как правило, уже стоял какой-то антивирус. Наш опыт показал, что защищать только конечный зараженный компьютер и надеяться только на антивирусы и межсетевые экраны бесполезно. Поэтому мы защищаем другими, дополняющими текущие системы защиты способами. Мы делаем три конкретных продукта: «железку», которая обнаруживает целевые атаки внутри предприятия и является дополнением к антивирусной защите, к межсетевым экранам, мы также делаем систему киберразведки, которая дает компаниям большой набор индикаторов и аналитики, позволяющий предсказать подготовку совершения преступления и строить стратегию безопасности на несколько лет вперед. Третий наш продукт позволяет защитить онлайн-банкинг и наиболее актуален для банков, у которых разнообразный набор онлайн-клиентов, следить за безопасностью которых очень сложно. Наша система в момент подключения нового клиента позволяет понять, заражен он вирусом или нет. Если заражен, то система запрещает клиенту проводить платеж.
«БЕЗОПАСНОСТЬ РОССИЯН БОЛЬШЕ ЗАВИСИТ ОТ КОМПЬЮТЕРА,
ЧЕМ ОТ УМЕНИЯ МЕТАТЬ ГРАНАТЫ»
— Что бы вы посоветовали предпринять для повышения надежности компьютерной сети компании?
— Если вы подписываете платежный документ своей цифровой подписью, тогда вам необходимо подумать о дополнительных мерах защиты, которую могут подсказать специалисты в этой области. Кроме того, настоятельно советую читать аналитику, например наши годовые отчеты, из которых можно узнать, как происходили основные инциденты в прошлом году. Уже одно знание этой информации увеличивает ваши шансы на 80 процентов.
Но на самом деле я считаю, что начинать учить компьютерной безопасности людей необходимо со школьной скамьи. Я как сопредседатель комиссии по борьбе с компьютерной преступностью российской ассоциации электронных коммуникаций (РАЭК) вместе с коллегами недавно обратился с предложением к министру образования РФ, чтобы в школах за счет уменьшения часов, выделяемых на изучение предмета «Основы безопасности жизнедеятельности» (ОБЖ), ввести предмет «Основы информационной безопасности». ОБЖ был одним из моих любимых предметов в школе, потому что там особо ничего не нужно было делать, зато там были противогазы, окопы и метание гранат. Но, к счастью, в реальном мире в большинстве регионов России человек чаще сталкивается с компьютером, нежели с окопами. И его безопасность больше зависит от компьютера, чем от умения метать гранаты.
— Да и привить чистоплотность в отношении к социальным сетям детям не мешало бы. А то выкладывают фотографии или делятся со всем миром информацией, которая их потом будет преследовать всю жизнь.
— Совершенно верно. Любой пользователь интернета должен запомнить одно простое правило: то, что он опубликовал в интернете, остается там навсегда. Даже если он думает, что информация удалена. Это правило убережет людей от очень многих глупых поступков.
Справка
Илья Сачков родился 13 июня 1986 года в Москве. В 2009 году с отличием окончил МГТУ им. Баумана (кафедра информационной безопасности факультета информатики и систем управления). В 2003 году основал компанию Group-IB. Является членом ассоциации компьютерной криминалистики информационных систем (IISFA), ассоциации сертифицированных специалистов по борьбе с мошенничеством (ACFE), международного проекта Honeynet Project.
Сопреседатель комиссии по киберпреступности РАЭК. Член экспертных комитетов Государственной Думы РФ, Совета Европы и ОБСЕ в области киберпреступности. В 2010 году стал первым российским лауреатом премии международной конференции Digital Сrimes Consortium за вклад в международный обмен опытом в области компьютерной криминалистики. Член рабочей группы при ЭКС Пир-Центра по международной информационной безопасности и глобальному управлению интернетом с 2012 года.
На постоянной основе вовлечен в преподавательскую и научную деятельность по вопросам информационной безопасности. Выступает с лекциями перед слушателями Академии ФСБ России, МВД России, ЦБ РФ, Академии народного хозяйства при президенте РФ и т. д. Отмечен благодарностями министра МВД, ФСБ, МИД, БСТМ и многими другими.
Компания Group-IB за 12 лет превратилась в одну из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий (компания входит в отчет Gartner в области Cyber Intelligence). Эксперты компании принимают участие в расследовании более чем 80% особо резонансных высокотехнологичных преступлений и взаимодействуют с МВД, ФСБ, СК и МИД.
Продуктами Group-IB (или оказываемыми на их основе услугами) активно пользуются более 60 банков и финансово-кредитных организаций, представители легкой и тяжелой промышленности, предприятия энергетической и нефтеперерабатывающей отрасли, производители программного обеспечения, телекоммуникационные операторы связи РФ и др.
На базе компании создано первое в Восточной Европе круглосуточное подразделение реагирования на инциденты информационной безопасности — CERT-GIB. Подразделение обладает статусом компетентной организации по борьбе с фишингом, вредоносным программным обеспечением и бот-сетями в доменных зонах .RU, .РФ, .SU, .ТАТАР, .ДЕТИ.
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 29
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.