«Компьютерное преступление — самое вероятное, что с вами произойдет». Илья Сачков — о том, как защитить себя и свой бизнес

Фото: Алена Кондюрина / форум «Открытые инновации» (октябрь, 2018 год)

В октябре наш видеопроект «Русские норм!» из YouTube вышел в офлайн — на форуме «Открытые инновации» Елизавета Осетинская провела серию интервью с молодыми предпринимателями из России, добившимися большого успеха. Первый разговор был с основателем и совладельцем Group-IB Ильей Сачковым — человеком, который создал одну из крупнейших в России компаний по раскрытию киберпреступлений.

— Зачем в 17 лет вы решили заниматься бизнесом? У людей же немного другие интересы в этом возрасте, что вас подтолкнуло?

— Меня подтолкнула Боткинская больница и желание попасть куда-нибудь компьютерным криминалистом. В Боткинской больнице после операции я отходил от наркоза, который вводится с таким препаратом, как морфин, а потом мне подсунули книгу «Расследование компьютерных преступлений», которую написал Кевин Мандиа, сейчас он глава крупнейшей компании FireEye, а тогда возглавлял Mandiant. И я подумал, что «кибербезопасник» — это лучшая вещь, которой я могу заниматься, в мире. Но оказалось, что в России не так-то просто найти такую профессию, нет ни одного бизнеса, который бы этим занимался. Поэтому, когда нет [того места], куда можно пойти работать, приходится делать свой бизнес.

— Это же не сразу, я думаю, произошло? Идея, конечно, очень романтическая, хотя, мне кажется, что в момент, когда не было Google, Facebook и Uber, непонятно было, от чего людей надо защищать. Сам факт создать свою компанию в 17 лет, как это? Что вы делали?

— Сначала я долго искал работу, компанию, которая бы этим занималась, — наверное, четыре месяца на это ушло. Но сама эта идея не выходила из головы. То есть я все больше и больше про это читал. А потом я предложил одногруппникам сделать это вместе. Но тогда слово «компания» вообще не звучало, оно появилось чуть позже. Вот само по себе это началось через четыре месяца после прочтенной книжки.

— А что «это»? Кто был вашим первым клиентом, что было вашим первым действием?

— Сначала мы начали очень много читать на тему компьютерной криминалистики. Мы сделали сайт. Потом наш университет  (МГТУ им. Баумана) дал нам помещение, что было очень любезно с его стороны. Это стоило ровно ноль. А потом мы все стали амбассадорами компании, у которой не было клиентов. И первый клиент был, так скажем, друг моего брата, у которого была проблема с анонимными письмами, которые приходят в компанию (шантаж, вымогательство). И вот это было расследование, которое мы без всякого знания завершили. Естественно, мы никому не говорили, что мы ничего не знаем, и делали вид, что мы вообще суперпрофессионалы. Поэтому это очень важно, иногда надо... ни в коем случае не обманывать клиентов, но не говорить, что у вас нет опыта.

— А вы нашли шантажиста и того, кто за этим стоял?

— Мы нашли шантажиста и того, кто за этим стоял, и получили от этого первый огромный инженерный оргазм в нашей жизни.

— А деньги вам заплатили?

— И деньги нам заплатили.

— Но, чтобы как-то дальше жить, нужны какие-то инвестиции, первые деньги…

— Ну, первые деньги, я пытаюсь сейчас вспомнить по курсу… Это были $5 тысяч, которые я занял у старшего брата. Мои родители уже давно были разведены, и эту идею вообще тогда никто не поддержал. Ну, то есть от слова «вообще-вообще-вообще».

— Я когда-то читала, что кто-то из родителей тогда сказал: «Надеюсь, у вас все провалится, и ты найдешь нормальную работу».

— Ну да, еще они надеялись, что трудовая книжка не испортится, потому что, когда она у меня появилась в 18 лет, там была всего одна запись о том, что я работал вожатым в детском лагере. И мои родители надеялись, что я не запорю ее собственным делом. Но это очень хорошая мотивация, когда в тебя не верят, это очень классная история.

— Кто-то говорил: «Кому-то нравится, когда верят, кому-то — когда не верят, но главное — результат». А как появились следующие клиенты?

— Выяснилось, что мы просто оказались в нужное время в нужном месте и таких проблем очень много у людей. Вроде как информационная безопасность существует, но, когда она не срабатывает, люди не знают, что делать. У кого-то могут украсть деньги, у кого-то — информацию, кому-то создают сайты-двойники, у кого-то серьезные кибератаки происходят. И два способа начали работать: хорошо сделанная поисковая индексация, потому что мы были первыми и у «Яндекса», и у Google по запросам о компьютерной криминалистике и киберрасследованиях, вторая вещь — сарафанное радио. Люди быстро стали говорить, что вот есть странные ребята в Бауманском университете, к ним можно обратиться по сложным вопросам. И так вот все начало расти. К 2006 году мы уже расследовали сложные уголовные дела для полиции и первые сложные уголовные дела для СК.

А как на вас вышла полиция?

— Тоже методом сарафанного радио, так как у нас появилась возможность делать компьютерно-криминалистические экспертизы. В ходе любого уголовного процесса, связанного с компьютерной преступностью, экспертиза — это неотъемлемая часть дела, а мы ее делали качественно и достаточно быстро и, что важно для правоохранительных органов, — бесплатно. Мы считали за честь помочь своими мозгами в настоящем уголовном деле, для настоящих российских полицейских. Для нас это было огромное счастье и по-прежнему счастье, просто некоторые стали с годами этим пользоваться и садиться на шею. А тогда нам очень нравилось, что взрослые полицейские обращаются к юным ребятам со сложными делами. Этот момент мотивации был очень приближен к бесконечности.

Я читала, что вы не работаете с государством, это принципиальная позиция. Полиция, Интерпол, это какое-то исключение из этого правила, так?

— Ну, не совсем. Представьте, что у вас взломали редакцию...

Сколько раз такое было...

— И вы говорите: «Илья, я очень расстроена, что это произошло, и я очень хотела бы, чтобы человек, который сделал это, сел». Вот мой заказчик — это вы. Но для того, чтобы этого человека посадить, я, к сожалению, не обладаю законными ресурсами. Хотя когда-то я хотел иметь свою частную военную организацию для того, чтобы иметь возможность людей в разных странах без правоохранительных органов сажать. Я как бы шучу и не шучу, потому что полицейские системы очень медленные...

Вы за справедливость сейчас или за силу?

— Я за справедливость через силу. Это очень хорошая справедливость такая. Полиция нам будет нужна, чтобы легально те материалы, которые мы готовим, превратить в оперативно-разыскные мероприятия, в доследственную проверку, следственную, и уже передать это дело в прокуратуру и суд. То есть мы работаем не на государство, а на вас как на бизнес, превращая это дело в легально законченное.

Вы сказали, что на ранней стадии вы работали бесплатно, а сейчас правоохранительные органы вам что-то платят...

— Если у правоохранительных органов есть легальный бюджет на проведение экспертизы, то мы попросим эту экспертизу оплатить, не вешая этот cost на вас как на бизнес.

Это очень разумное действие. А в какой момент и как о вас узнали люди за пределами России?

— Они узнали о нас с 2006–2007 года через локальные офисы международных компаний, которые работают в России. Например, одним из первых клиентов был Microsoft, потом British American Tabacco, вот все эти здания, которые стоят на Крылатских холмах, там было очень много наших клиентов. И от них наши отчеты уходили в штаб-квартиры, а потом уже начиналось прямое общение.

Можете рассказать про один из своих крупных западных заказов, и что вам в нем показалось отличным от того, что происходит в России?

— Я не буду раскрывать название, но это компания с головным офисом в Великобритании и у нее есть фабрики, которые находятся в Москве и в Казахстане. И в Казахстане у них что-то произошло с производством, были какие-то странного рода аномалии. Они вызвали нас из Москвы, чтобы мы сделали так называемый incident response. Что удивительного в этой истории, российские компании в то время никогда бы частную компанию в эту историю не привлекли, потому что для информационной безопасности признаться, что ты с чем-то не справился и зовешь молодых ребят разобраться в том, за что тебе платят деньги, — это огромная психологическая проблема. А для западных компаний это была абсолютная норма, потому что расследовать такие случаи не должна внутренняя служба безопасности по многим причинам, например, из-за конфликта интересов, потому что это может быть их недочет. И вот в западных компаниях меня поразило, что это психологическая норма и все к этому хорошо относятся. Я так могу сказать: большинство вещей, которые мы делали, особенно в сфере технологий, — первые заказчики были не в России. Технология, которая нас защищает от атак на ранней стадии, — первым государством, которое ее купило, был Сингапур. Не Россия, не кто-то в России, не какой-то западный клиент, а Сингапур.

Но, как я понимаю, система защиты — это какое-то коробочное, стандартизированное решение. А изначально вы продавали расследования?

— Изначально мы продавали только расследования. Это была такая работа патологоанатома, состоящая из нескольких частей: расследования, то есть аналитическая работа, чтобы найти пути к поимке злоумышленника, компьютерная экспертиза — работа с носителями информации, где есть следы какого-то преступления. Причем компьютерная криминалистика не всегда связана с компьютерными преступлениями, потому что проинспектировать можно телефон убийцы, компьютер наркоторговца или педофила. То есть при помощи компьютерной криминалистики раскрываются разного рода преступления. А технологии мы начали делать в 2010 году и начали их делать не потому, что это было модно — заниматься кибербезопасностью в плане софта, а из-за того, что мы столкнулись с парадоксом. Мы столкнулись с тем, что мы делаем все больше и больше расследований, связанных с хищением денег у юридических лиц через интернет-банкинг. Это случается с крупными компаниями, которые очень хорошо защищены, но тем не менее это происходит. Мы знали, как это происходит, и поняли, что можем автоматизировать процесс нахождения других компьютеров внутри сети клиентов, которые содержат тот же вирус, который не видят антивирусы. Сначала мы использовали эти средства как инструмент криминалиста, чтобы не вручную искать те же вирусы. А потом заказчики стали спрашивать: «А можно эту вашу штучку купить, потому что она видит интересные вещи?» И таким естественным образом появился один из первых наших продуктов.

Но штучка — это ведь не антивирус?

— Нет, это сетевой анализатор трафика, который без установки чего-либо на компьютере находит вирусы, которые спокойно работают на компьютере с антивирусом.

Я еще слышала, вы говорите, что антивирус — это гомеопатия. Почему антивирус, с вашей точки зрения, не работает?

— Если бы он работал, то большинство хищений денег, вирусов-шифрователей, вирусов, которые похищают информацию, вирусов, которые связаны с политически мотивированными хакерами, не запускались бы на компьютере, на котором установлен антивирус. А это происходит в 86% случаев. Все заражения происходят на компьютерах, на которых стоит антивирусная защита.

То есть нас хакают, но мы защищаем себя совсем не от того, что нам угрожает?

— Так точно. Антивирусные компании не хотят вам об этом говорить. Но в целом вся проблема информационной безопасности в том, что люди не совсем понимают, что такое опасность, как она реализуется, кто эти люди. Ну и, в частности, почему люди до сих пор продолжают платить за антивирус, хотя это абсолютно бесполезно. Я читаю, что антивирус — это нужная вещь, но бесплатные антивирусы ничем не хуже платных. И этого явно недостаточно, чтобы по-настоящему защититься.

А за этим есть какая-то организованная структура или это дело одиночек в основном?

— Были фазы, наверное, в 1998–1999 году, когда одиночки стали организованной преступностью, потому что в большинстве стран мира очень быстро начал развиваться интернет-банкинг, у большинства стали появляться карточки и смартфоны, и это предоставило злоумышленникам огромное количество способов монетизации. Преступность ведь не просто так существует, в основном ей нужны деньги. И вот до этого времени по-настоящему много денег заработать было сложно. А когда все люди начали проводить деньги через интернет-банкинг, у преступников появилась большая мотивация. И в эти годы было видно, что классическая организованная преступность, которая в каком-нибудь Челябинске занималась рейдерством по заводам, отмыванием денежных средств, интегрировалась с кибергруппировками (группа Carberp, группа Lurk и другие).

Рассмотрим типичное преступление — хищение денег в интернет-банкинге. Важно заразить компьютер бухгалтера вирусом и отправить куда-то платежное поручение. Вот вторую часть преступления — как эти деньги будут бегать по России — делает организованная преступность, которая занимается обналичкой. Потом туда вошли сотрудники правоохранительных органов, хорошие юристы, инвестиционщики, чтобы правильно вкладывать деньги, и так далее.

А с этим вообще кто-то борется?

— Ловят. В последнее время в России происходят крупные задержания таких хакеров, как Sober. Это очень круто, потому что задержание в квартире нужно производить очень быстро, чтобы преступник не успел ничего сделать со своим компьютером. Обычно задержание происходит через окно, желательно еще туда светошумовую гранату бросить. У нас в YouTube-канале есть пара видео, где показано, как это происходит. Только что мы расследовали наше тысячное дело, которое окончилось приговором и реальным сроком. Самое крупное — 8 лет лишения свободы. В прошлом году за инсайдерскую деятельность человек получил 8 лет строгого режима. Но некоторые наши дела в ЕС заканчивались сроком до 15 лет лишения свободы...

Назовите три лайфхака для обычного пользователя, которые помогут защититься и чувствовать себя защищенным с точки зрения личной цифровой информации.

— Я вам не скажу три, скажу один: просто читайте на эту тему. Darkreading, Security Lab, наши отчеты... Если вы будете знать, как действуют хакеры, вы сможете защищаться. А просто дать вам один совет... Ну, поменяйте роутер домашний. Мало кто обновляет домашние роутеры. Сейчас огромное количество преступлений связано с домашними роутерами...

Фото: Алена Кондюрина / форум «Открытые инновации» (октябрь, 2018 год)

Вы имеете в виду сам девайс?

— Сам девайс нужно обновлять. Но не покупать новый, а заходить в административную панель и ставить галочку, чтобы он обновлялся. И меняйте пароль хотя бы раз в квартал, чтобы уберечь себя от чего-то безобидного вроде того, что у вас будет кто-то майнить биткоины, и поэтому у вас будет тормозить интернет, или обидного, когда методом изменения маршрутизации у вас могут увести вашу почту, ваши деньги из интернет-банкинга и заканчивая страшными преступлениями... Вот сейчас мы, например, помогаем полиции найти группу хакеров, которые через роутер ищут в доме радионяню и пугают детей. И это как раз делается через необновленный роутер. И третий совет: везде, где только можете, в почте, в Instagram, используйте двухфакторную аутентификацию. И желательно, чтобы пароль приходил не в виде SMS, а на какое-нибудь приложение типа Google Authenticator.

И это действительно помогает?

— Я могу сказать так: если у вас есть интернет-сервис, где только логин и пароль, вопрос очень короткого времени, что вас поломают. Даже если у вас лично очень сильный пароль, но ломают же периодически всю социальную сеть LinkedIn, а потом выгружают базы данных и продают. А вот если у вас есть двухфакторная аутентификация, то даже если хакеры украли ваши логин и пароль, то в ваш аккаунт они не попадут.

Я интервьюировала Дэвида Городянского, который создал крупнейший в мире VPN. И он пропагандирует это как решение проблемы злоумышленников. Работают ли они?

— Если у вас конечное устройство заражено, то VPN вас не защитит. Он защищает только от перехвата информации между вами и конечным сайтом либо сервисом. Он не защитит вас от взлома. Для чего он вообще нужен? Ну, если вы часто путешествуете и подключаетесь к публичному Wi-Fi, то очень странно делать это без VPN. Если человек говорит, что VPN — это средство информационной безопасности, которое от всего защитит, — это точно неправда. В принципе если человек говорит, что это средство на 100% вас защитит, то этот человек просто врун, такого не бывает.

Давайте представим, что я человек, но у меня еще и есть компания, вот три лайфхака корпорациям, как защитить информацию о себе и о своих клиентах.

— Для умных корпораций я бы купил страховку от компьютерных преступлений. Компьютерное преступление — самое вероятное из всего, что есть в Уголовном кодексе, что может произойти с вами и вашей компанией. Вероятность очень велика.

Насколько?

— Зависит от типа бизнеса, в какой стране вы живете...

Сейчас, Россия, средняя компания, чей бизнес работает с онлайн-банком, платит зарплату и имеет CRM и корпоративную почту. Какова вероятность этой компании, что она столкнется с киберпреступлением?

— Если компьютер, с которого вы захотите в интернет-банкинг, еще использовать для того, чтобы сидеть в интернете, ваша вероятность будет 25%. Наличие компьютера, который платит зарплату в юридическом лице и имеет доступ к интернет-сёрфингу, — вероятность очень высокая. Если у вас более правильная система разделения компьютеров, то вероятность будет меньше. Но есть еще вирусы-вымогатели, вирусы-шифровальщики, DDoS-атаки...

То есть вероятность спуститься с этой сцены и сломать ногу и то, что наш бизнес будет атакован, гигантская разница.

— Есть официальная статистика Европола: за полторы минуты в Европе происходит одно ограбление квартиры и 3000 атак, которые приводят к потере денег. Это зарегистрированных в полиции.

А что будет в перспективе 10 лет?

— Если наши страны не договорятся, то ничего хорошего. Бахнет какая-нибудь критическая инфраструктура, и случится нехороший катаклизм. Потому что политики, которые сейчас занимаются информационной безопасностью, — не инженеры. Я считаю, что если ты политик и занимаешься информационной безопасностью, то ты должен сдать экзамен, чтобы понимать о чем ты говоришь. То же самое с интернетом. Если ты регулируешь интернет и не знаешь, как он устроен, то ты должен сдать депутатский мандат и уйти...

Знаете, тогда во всех странах все чиновники должны будут уйти, потому что никто в этом не разбирается.

— Тогда не нужно его регулировать, и все будет нормально.

Как же не регулировать интернет, когда там столько преступлений?

— Они совершаются, потому что политики не могут между собой договориться. У стран, между которыми есть хоть какие-то разногласия, нет взаимодействия по компьютерным преступлениям. Россия—Украина, Россия—США, Россия—Англия, Индия—Пакистан. Естественно, этим пользуются злоумышленники. Как у нас говорят: «Если хакер ворует деньги в США, он — патриот». То есть их вообще никто в России не будет трогать, пока они воруют в США. У русских хакеров сейчас вообще есть такая тема, что они не воруют в России. Это не вопрос патриотизма, это вопрос их физической безопасности. И это политическая проблема. Я видел много политиков и могу сказать, что родина, страна, мир в опасности из-за этих людей. Для большинства людей хорошо, что все преступления хакеров финансово мотивированы, поэтому они не трогают объекты критической инфраструктуры, потому что это никаким образом не монетизируется. И это стремно, потому что это будет классифицировано как терроризм. Ноль денег и терроризм. Поэтому это бессмысленно.

Возвращаясь к компаниям, я бы сначала застраховался, большинство крупных страховых компаний начали это делать. Это стоит разумных денег, они покроют множество расходов, если, не дай бог, с вами что-то случится. Во-вторых, правильно оцените риски, которые с вами могут произойти. В зависимости от вашего бизнеса с вами может произойти та или иная вещь. И защищаться нужно от того, что с вами может произойти. Например, если вы ведете бизнес в России, то у вас точно могут украсть деньги через систему интернет-банкинга. Защитить интернет-банкинг стоит ноль, нужно просто знать, как злоумышленник доставляет вирус на этот компьютер. Стоимость — это прочесть несколько статей по настройке рабочего места бухгалтера. В чем парадокс? Вот приходим мы в 2018 году в компанию, которая торгуется на бирже NASDAQ, и смотрим карту риска, которую составила какая-то компания из «большой четверки». И это абсолютно лженаучный документ. Те риски, которые там отражены, извлечены из памяти тех людей, которые принимали участие в опросе. Я часто ссылаюсь на этот труд Даниэля Канемана, лауреата Нобелевской премии по экономике, про то, как люди принимают неправильные решения, основываясь на прошлом опыте. Вот часто привожу в пример: от чего люди от 19 до 40 могут умереть в Москве? Первое место — отравление суррогатным алкоголем в пятницу вечером, второе — травма, третье — ДТП. Нет рака, убийств и сердечных заболеваний. Нужно правильно оценивать свои риски.

Второй совет компаниям — смотрите статистику уголовных дел, что происходит с другими компаниями, обменивайтесь опытом. Совет номер три — спросите у того, кто занимается у вас информационной безопасностью, название преступных кибергруппировок, которые действуют в вашей стране на данный момент. Если он их не знает, увольте его, потому что человек подвергает вашу компанию опасности.

Давайте посмотрим на эту ситуацию не только с точки зрения ужаса, но и с точки зрения возможностей. Раз вы описываете эту проблему как большую, наверное, это большой рынок. Раз это большой рынок, значит, это возможность для  компьютерных компаний оказывать услуги в сфере безопасности. Каков объем этого рынка и есть ли там возможность начать бизнес с нуля?

— Объем огромный. Есть огромное количество пластов безопасности — новые автомобили, новые поколения каких-то персональных устройств, которые делают вашу жизнь безопаснее. Этим точно нужно заниматься, и Москва дает огромное количество талантливых молодых людей, готовых заниматься этим за очень разумные деньги. Найти в США такого инженера, как в Москве, — долго и дорого. И вы его потеряете, как только он получит больший offer. А так вы можете создать какую-то систему и культуру. Чем наша компания отличается от других? Наши сотрудники непримиримы с компьютерной преступностью, для них информационная безопасность — это не бизнес и даже не игра. При правильном мотивировании и создании экосистемы вы их не потеряете.

То есть здесь их можно нанимать?

— Здесь их можно нанимать и учить. Мы поняли, что надо работать с вузами. Надо выбирать правильные вузы и туда отправить хороших преподавателей, которые направят людей в нужное русло, дадут нужный контент.

Вернувшись к корпоративному сектору, мне кажется, что самый уязвимый сектор для кибератак — финансовый. Если компания Х должна тратить Y% на компьютерную безопасность, то финансовая компания должна удвоить эту сумму. Так ли это?

— Для преступников интересна любая компания, у которой есть деньги. Group-IB — не финансовая компания, но атаки на наш банкинг периодически бывают. Вирусы-шифровальщики работают для любой компании, даже если она не финансовая. Если у вас есть смартфон, то у вас может украсть деньги кто угодно. Конечно, есть группы, они называются специальными, специализирующиеся на атаках финансовых компаний, потому что это дольше и денег с этого можно получить больше. Есть две специализации: одна — это очень сложно единоразово взломать, а вторая — массовым образом по чуть-чуть.

Сколько компания должна тратить на информационную безопасность? Это же должно как-то закладываться, если количество таких преступлений увеличивается?

— Такой цифры нет. Нет никакой корреляции. Мы делаем эти патологоанатомические вскрытия и видим, что компании тратят очень много денег, но защищаются не от того. Вот представьте, вы — Белоруссия и покупаете для защиты подводные лодки. Они вам помогут?

Они мне не нужны.

— Вот и у меня люди часто покупают то, что им не нужно. Могу сказать, что если вы правильно оцениваете свои риски – это примерно равняется стоимости атаки. В целом, если вы большая компания, знания + хорошая команда позволят вам тратить на безопасность адекватные деньги. Если человек говорит, что он на 100% обезопасил ваш бизнес, то он профнепригоден и должен вместе с депутатами, которые занимаются информационной безопасностью, мести улицы.

Посмотрим на государственные структуры. У нас государство делает благую вещь — создает  цифровой профиль граждан и цифровизирует максимальное количество услуг. То есть любую услугу, связанную с МФЦ, можно получить сегодня онлайн. Такая же ситуация с налоговой, которая дает представление о том, сколько человек заработал и как рассчитался с государством. Насколько эта система уязвима и каким рискам подвержена?

— Государство у нас не монолитно. Разные государственные сервисы по-разному защищены. То, что касается тех услуг, которыми я пользуюсь в Москве, они достаточно хорошо защищены, а в некоторых регионах, не буду называть каких, ими лучше не пользоваться вообще. Если кто-то взломает ваш аккаунт на госуслугах, где у вас все, и сменит пароль, это будет забавно. Найдите того, кто столкнулся с такой проблемой, и запишите его диалог с полицией. По идее государство должно вам предоставить сервис, но этого не будет. Вас попросят прийти в полицию, написать заявление с маленькой вероятностью, что что-то с этим произойдет. Когда вы попадаете в ДТП, государство приезжает в отделение полиции, составляет протокол и уезжает. Если у вас взломали Instagram, то никто не приедет, хотя бюджет нашего государства на оборону и безопасность — это четверть от всего бюджета. Чтобы цифровая экономика действительно была цифровой, наше государство должно пересмотреть траты на содержание аппарата по защите от классических преступлений, которые маловероятны, и предоставление сервисов бизнесу и людям, которые пострадали от киберпреступников. Я считаю, что не люди и не бизнес должны платить за кибербезопасность, на это должна быть выделена часть бюджета, в который мы и так платим налоги.

Давайте поговорим об образовании. Откуда в прекрасной России будущего и настоящего возьмутся люди, которые будут оказывать эти услуги?

— Их надо учить, причем учить по-новому. У меня был спор с Министерством образования, они сказали, что по дипломам количество людей, которые занимаются информационной безопасностью, недостаточно для безопасности нашей страны. Я могу сказать, что система образования по информационной безопасности в России отстает на 20 лет и она требует введения огромного количества новых учебных специальностей.

Например?

— Например, специалист по анализу вредоносного кода. Знаете, сколько готовится хороших компьютерных криминалистов в год? 300 человек на всю страну. Зато у нас огромное количество специалистов по криптографии, по защите данных, если посмотреть на качество этих студентов, то... Я вывел для себя такую формулу: вот есть хорошее классическое образование в сфере информационной безопасности (в основном это математика, криптография, комбинаторика, система сети связи и т.д.), это нужно умножить на знание о современных преступных группировках, знания уголовной практики, умение наблюдать за преступником и умение предотвращать преступление на этапе подготовки. Вот этих знаний в России и в остальном мире нет вообще. И если эти профессии не появятся, то все будет очень плохо. Приведу пример. Мы проводили олимпиаду по компьютерной криминалистике среди технических вузов России, суммарно 50 000 студентов. Это сложная олимпиада, но это наша ежедневная работа. Задание из 50 000 решили 2 человека.

С вашей точки зрения, с какого возраста детей нужно обучать основам кибербезопасности?

— С 7 лет. У нас есть бесплатные стажировки для детей с 9 лет.

Что нужно объяснять ребенку в 7 лет о компьютерной безопасности?

— Как пользоваться гаджетами, как понять, что что-то нехорошее происходит.

Но они же умеют ими пользоваться, причем даже лучше нас.

— Да, но они вступают в переписку с педофилами, вступают в суицидальные группы, заходят на фишинговые сайты, ставят безумное количество приложений. Когда я был в 2010 году в США, там же до сих пор живо скаутское движение (оно и у нас было живо до 1917 года), то увидел, что там есть специальная нашивка, которая распространяется с 7 лет, это нашивка о знании кибербезопасности, которая вручается в месяц национальной кибербезопасности в октябре. Поэтому детей точно надо обучать с юного возраста, можно для этого использовать всякие интерактивные программы, они уже готовы. Мы в 2015 году писали запросы в Министерство образования с просьбой уменьшить в школах количество часов ОБЖ, потому что лично моя школа №444 по-прежнему с 9 по 11 класс учит 1 час в неделю взрывать танки, надевать противогазы, собирать автоматы Калашникова и метать гранату — потому что огромная вероятность, видимо, что танковые войска нападут на Москву и тогда школа №444 ляжет грудью. Но я думаю, что лучше бы мы учили детей кибербезопасности. На мой взгляд, Министерство образования совершило преступление, не ответив на письмо, хотя это был официальный запрос и оно было обязано на него ответить. И до сих пор ОБЖ существует. Я считаю, что это важный предмет, но большая часть его должна быть посвящена информационной безопасности.

Давайте будем реалистами, как вы считаете, когда лед тронется?

— В России он обычно трогается, когда что-то плохое происходит либо самоинициатива на местах. Мы для школ делали бесплатные модули, и учителя информатики могут брать их и встраивать в свою программу. В этом году была «ПроеКТОриЯ» про кибербезопасность. Это открытый урок, учителя затащили насильно учеников в кабинеты с телевизорами, и они прослушали лекцию про кибербезопасность и профессии, с ней связанные. Я считаю, что интерактивное образование может заполнить физический недостаток учителей.

Фото: Алена Кондюрина / форум «Открытые инновации» (октябрь, 2018 год)

Не могу не затронуть тему крипты. Есть мнение, что крипта и блокчейн это панацея от всего. А есть противоположное — что на самом деле это все завязано на одном человеке и можно к одному человеку подойти, стукнуть по голове и забрать информацию.

— Блокчейн как технология хранения транзакций — безопасная технология. Как технология защиты ваших денег она такая же опасная, как любой интернет-банкинг. Если вы храните данные на локальном компьютере или на бирже, ее также могут украсть. Ваш компьютер могут заразить и от вашего имени сделать транзакцию. Нужно понимать, что есть слои безопасности. Есть слой безопасного хранения транзакций, а есть бесчисленное количество возможностей потерять свои деньги. Сейчас с учетом того, что индустрия никак не регулируется, шансов потерять там огромное количество денег и не получить вообще никакой помощи от государства — значительно больше. Поэтому если кто-то отправляется в сторону крипты, то читать про информационную безопасность придется еще больше. Для российской банковской системы криптоиндустрия стала подарком, потому что огромное количество преступных групп перестало атаковать российские банки и переключилось на крипту, потому что ее точно так же можно конвертировать в настоящие деньги, но воровать ее проще и воровать можно удаленно. Система транзакционная одинакова во всех странах мира, но ни одно государство (кроме США) сейчас не старается эту индустрию защитить.

Но если я приду в полицию и скажу, что у меня украли биткоины.

— На вас тут же заведут уголовное дело.

За что?

— Ну, у нас были случаи, когда в Питере завели уголовное дело за покупку и продажу криптовалют. Поэтому полиции слово «биткоин» лучше пока не говорить.

Я знаю, что ваша компания выпустила отчет «Глобальные тренды развития киберпреступности. Прогноз киберугроз». Вы могли бы обозначить пять угроз, к которым стоит готовиться в ближайшее десятилетие?

— Если раньше преступники были мотивированы лишь финансово, то теперь появились две новые мотивации: политическая и террористическая. Их задача — разрушение критической инфраструктуры.

Сеять хаос и ужас?

— Ну, для политических кибергрупп больше характерно контролировать и управлять, а уже при войне — сеять хаос и ужас. А для террористов это сразу сеять хаос и ужас. Хорошо, что террористы пока не очень прокачанные и умные, хотя это просто вопрос времени. Плохо, что они могут пользоваться достижениями финансово мотивированных преступников. Потому что цифровое оружие для всех одинаково, и если произошла утечка исходного кода, то все могут сразу ей пользоваться. И второе: их задача — критическая инфраструктура, которая достаточно не защищена, потому что люди жили в парадигме, что не происходит инцидентов, потому что они делают все правильно. На самом деле их просто никто не атаковал. И это главное, о чем бы я рекомендовал почитать в отчете не техническим специалистам.

Но кроме того, чтобы поддаться ужасу, что обычный человек может с этим сделать?

— Вообще никакого ужаса. Просто читайте про компьютерную безопасность простым языком хотя бы по 20 минут в день, как в спорте, и вы будете защищены. От всего остального вас спасет страховка и продукты, которые мы делаем.

А что делать, если из Uber или Facebook утекло 50 млн данных? Я понимаю, что для них это капля в море, но не хотелось бы оказаться в этом числе.

— Ну, в первую очередь это личная гигиена, разные пароли и двухфакторная аутентификация. Если вы видите новость, что сколько-то данных утекло, — меняйте пароль.

У меня складывается впечатление, что утечка данных у компаний-гигантов станет обыденной, рутинной новостью в ближайшие 3–5 лет.

— Она уже стала, просто вы не видите такого потока данных, который видят компании в сфере кибербезопасности. Это происходит постоянно из-за незнания людей, почему это происходит. Знания — это ключ к изменению парадигмы информации.

Вы можете еще дать парочку советов, как отличить фишинговый e-mail от нефишингового?

— В фишинговых письмах часто есть ссылка, если вы на нее не перейдете, а посмотрите, куда она ведет, то увидите, что она сильно отличается от оригинала. Фишинговое письмо можно также отследить по эмоциям. Как правило, они стараются вызвать у вас три эмоции: страх (вас заблокировали, взломали, сменили пароль), любопытство (пользователь расшарил вам файл на DropBox) и жадность (вы выиграли что-то). В этот момент вам стоит остановиться и подумать. Вот была в России преступная группа «Шалтай-Болтай» или «Анонимный интернационал». Основной метод их взлома был — фишинговые письма и три вот эти эмоции. И было очень забавно, как многие знаменитые люди попадались на жадность. Но, видимо, $1 — это $1, и он никогда лишним не будет.

Егор Сонин