Опасный рынок кибербезопасности, тучи над YouTube и пресс-конференция Павла Дурова

Тема выпуска — чем опасен российский рынок кибербезопасности

На этой неделе российский IT-рынок без преувеличения потрясло новое уголовное дело: основатель Group-IB Илья Сачков оказался под арестом из-за подозрений в госизмене. Эта статья оставляет мало шансов на то, что мы когда-нибудь узнаем, в чем именно обвиняют предпринимателя, создавшего одну из самых успешных IT-компаний в стране. В этом выпуске рассылки мы решили рассказать, что вообще известно об устройстве бизнеса в сфере кибербезопасности в России.

Что случилось 

В ночь на 29 сентября в московском офисе Group-IB прошли обыски, а спустя несколько часов Лефортовский суд столицы на два месяца арестовал основателя компании Илью Сачкова. Статья обвинения — 275 УК РФ, госизмена, со сроком лишения свободы до 20 лет.

Материалы уголовного дела маркированы грифом «секретно», так что детали обвинения в адрес предпринимателя не могут раскрыть ни сторона обвинения, ни сторона защиты, сообщал источник ТАСС. Единственная деталь — Сачков, по данным следствия, якобы передавал спецслужбам других государств данные, «которые составляют гостайну в области кибербезопасности». Речь может идти о разведках сразу нескольких стран, а к делу подключилась «военная контрразведка ФСБ», добавил собеседник ТАСС.

Что могло стать причиной

  • Дело Михайлова: Самая популярная версия связывает арест с громким уголовным делом бывшего начальника отдела оперативного управления Центра информационной безопасности ФСБ (ЦИБ) Сергея Михайлова. Михайлов был арестован в конце 2016 года, а в 2019-м — приговорен к 22 годам тюрьмы. Как рассказывали источники The Bell, суть дела заключалась в том, что экс-полковник ФСБ и другие фигуранты — его бывший заместитель Дмитрий Докучаев, топ-менеджер «Лаборатории Касперского» Руслан Стоянов и предприниматель Георгий Фомченков — могли раскрыть американским спецслужбам российских хакеров, в том числе причастных ко взлому серверов Демократической партии перед выборами президента США в 2016 году. По словам адвоката Михайлова, Сачков проходил в этом деле как свидетель обвинения и, по его мнению, «дал ложные показания, которые позволили следствию сделать вывод о причастности Михайлова к госизмене».
  • Дело Кислицина: Основатель Group-IB был косвенным участником и другого скандала, связанного с хакерскими атаками в США — но косвенно имевшего отношение и к делу Михайлова. Речь о деле руководителя департамента сетевой безопасности Group-IB Никиты Кислицина. Как писала «Медуза» (признана в России иноагентом), против Кислицына в США в 2014 году было возбуждено уголовное дело по обвинению в продаже украденных данных пользователей соцсети Formspring. Group-IB участие сотрудника во взломе отрицала. В 2020 году минюст США опубликовал данные Кислициным в 2014-м показания по делу. Из них следовало, что Кислицин, чтобы избежать тюремного заключения, пошел на сделку с властями США и дал показания на нескольких знакомых хакеров (в том числе на фигуранта дела Михайлова Дмитрия Докучаева). При этом топ-менеджер Group-IB подчеркивал, что раскрытие этой информации ФБР согласовал с Сачковым.
  • Версия о работе Group-IB: источник Forbes на рынке информационной безопасности, знакомый с Сачковым, выдвинул другую версию — под статью о госизмене предприниматель мог попасть из-за участия Group-IB в расследованиях Интерпола. Якобы Сачков мог в процессе передать секретные сведения и не знать об этом. Другой собеседник издания допустил, что таким расследованием могло быть дело владельца компании «М13» и предполагаемого экс-владельца телеграм-канала «Незыгарь» Владислава Клюшина, которого в марте 2021 года задержали в Швейцарии за подозрения в торговле данными Tesla и IBM.
  • Версия о криптоотмывателях: Источники РБК высказали версию, что арест Сачкова может быть связан с недавними санкциями США против платформы по обмену криптовалюты SUEX, которую власти страны подозревают в причастности к обеспечению финансовых операций хакеров. Сачков, по словам одного из собеседников издания, давно «следил» за киберпреступниками, которым, согласно американской версии, SUEX предоставляет инфраструктуру. Как из этого интереса выросло обвинение в госизмене, источник РБК не уточнил.
  • Версия о резких высказываниях: Поводом для дела могло стать выступление основателя Group-IB на встрече премьера Михаила Мишустина с IT-предпринимателями в Казани летом 2020 года. Тогда Сачков раскритиковал борьбу российских властей с киберпреступниками. В пример он привел разыскиваемого ФБР лидера группировки Evil Corp. Максима Якубца, «который в Москве разъезжает на Lamborghini с номерами ВОР». Также Сачков назвал «странным» факт назначения на пост главы Ассоциации экспорта технологического суверенитета Андрея Безрукова — «бывшего резидента СВР, выгнанного из США». Смелое выступление предпринимателя двое собеседников The Bell, бывших на той встрече, объяснили тем, что Сачков мог не знать об открытом характере мероприятия.

Парадокс рынка кибербезопасности

На российском рынке кибербезопасности к 2021 году остались только три крупные компании, которые строили международный бизнес. Это Group-IB, «Лаборатория Касперского» и Positive Technologies. И проблем с властями разных стран до дела Сачкова не было только у первой. «Лаборатория Касперского» пострадала первой — еще в в 2017 году, когда администрация Дональда Трампа запретила использовать ее софт в США из-за того, что продукты компании якобы могут использовать российские спецслужбы. Positive Technologies попала под американские санкции в апреле 2021 года.

Чтобы понять, почему этот бизнес так уязвим перед государством, нужно помнить саму специфику рынка кибербезопасности, говорит один из давних его участников. С конца 90-х годов это было крайне открытое и международное пространство. «Сначала просто хорошие гики собирались и обсуждали, как ловить плохих гиков в интернете, и никаких спецслужб и полиции тогда не было даже близко, — рассказывает собеседник The Bell. — Потом в интернет пришла серьезная преступность, а вслед за ней — полиция, но все равно этот рынок оставался очень открытым».

Еще в начале 2010-х компании по кибербезопасности спокойно встречались с представителями спецслужб разных стран, обсуждали совместные расследования и делились отчетами — это была норма, продолжает он. Но потом политика изменилась, и о дружбе российской компании с американскими спецслужбами и совместных расследованиях уже речи идти не могло. С определенными международными структурами по важным делам сотрудничество еще продолжалось, но вскоре и эта территория стала опасной, говорит он. «С 2014 года отношение к российским компаниям за рубежом изменилось, с 2016-го — изменилось вдвойне. Их постепенно начали выдавливать со многих рынков, особенно это касается США», — добавляет другой источник.

«Как это работало: компания ведет расследование в России, получает данные, делает отчет, а потом продает его, например, полиции Сингапура. Если раньше это было нормально, то сейчас — уже нет. Но проблема в том, что рынок продолжает жить по тем же правилам», — рассказывает один из собеседников The Bell на рынке.

Другая проблема этого рынка заключается в том, что ни одна компания не может быть на 100% уверена, что в отчете, который она продала какой-нибудь полиции Сингапура несколько лет назад, не было информации, которую разглашать не следовало. Об этом же со ссылкой на свои источники писал Forbes: «Тебя просят предоставить данные по итогам расследования, ты их отдаешь — а потом оказывается, что внутри было что-то, чего не должны были видеть другие».

В целом в России есть четкое законодательство, объясняющее, что такое гостайна и что кибербезопасникам делать нельзя, говорит другой собеседник The Bell на рынке. Но всегда оставались негласные «серые» зоны — информация, которая не является гостайной, но все же может быть чувствительной. Никаких формулировок на этот счет не существовало.

Трудно не обратить внимание на еще один нюанс: сразу в двух версиях о деле Сачкова фигурируют сотрудники ФСБ и Group-IB, которые сами раньше были хакерами. Речь про майора ФСБ Дмитрия Докучаева и сотрудника Group-IB Никиту Кислицина. Первый до работы в органах взламывал банковские карты и, как писал The Bell, в ФСБ попал по сделке после того, как его поймали. Второй сам рассказал о своей карьере в показаниях, опубликованных в рамках дела в США. Обычно компании в сфере кибербезопасности бывших хакеров все же не нанимают, говорит один из участников рынка, но о сделках, когда бывший кибермошенник мог быть привлечен к работе в органах, он слышал.

Специфика бизнеса Group-IB

35-летний Илья Сачков решил заняться кибербезопасностью в начале 2000-х — после того как прочитал книгу экс-сотрудников ФБР Криса Просиса и Кевина Мандиа «Расследование компьютерных преступлений». На работу в соответствующее подразделение МВД студента Бауманки не взяли — и тогда он основал собственное кибердетективное агентство. Сначала компания расследовала мелкие преступления, вроде кражи личных фото и шантажа, потом нашла инвесторов и вырастила бизнес до одной из крупнейших российских компаний, работающих с банками и корпорациями (подробно историю создания компании мы рассказали здесь).

Затем Group-IB начала активно растить международный бизнес. В 2019 году она открыла глобальный офис в Сингапуре. Компания постоянно отчитывается о росте международной выручки и планировала IPO на иностранной бирже. В отличие от «Лаборатории Касперского» и Positive Technologies, Group-IB — единственная, кто все еще на международном рынке активно занимается расследованиями преступлений, а не только продает антивирусы и софт, говорят собеседники The Bell на рынке. «ЛК» практически перестала оказывать такие услуги после 2017 года и дела Руслана Стоянова, который в компании как раз таки делал конкурирующий с Group-IB бизнес по киберраследованиям, а Positive с самого начала концентрировалась на продуктах.

Если смотреть на этот бизнес из 2021 года, это выглядит парадоксальным: компания, которая продает услуги российским властям, открывает офис в Сингапуре и ведет международные расследования вместе с Интерполом, говорит собеседник The Bell. Но еще несколько лет назад это было нормой, более того, услуги российских расследователей пользовались большой популярностью, потому что у них была экспертиза по русскоязычным хакерским группировкам, которые мало работали у себя на родине, но много атаковали зарубежные компании (о том, как устроен этот бизнес и почему хакеры не работают «по ру», мы рассказывали здесь).

У Ильи Сачкова на рынке репутация сложного человека. Forbes писал о его неуживчивом характере, из-за которого он ссорился с другими предпринимателями и «друзьями по МВД и ФСБ». Последнее связывают с его резкими публичными высказываниями о том, как неэффективно идет борьба с киберпреступностью в России. «Если ты работаешь в кибербезопасности и делишься данными о хакерах, то ты априори ходишь по очень тонкому льду. Если продаешь антивирусы, то никто трогать тебя не будет, но экспертная аналитика, которую ты кому-то передаешь, — это очень рискованная игра. Строить такой бизнес глобально сейчас просто невозможно», — резюмирует еще один собеседник The Bell.

РЕГУЛЯТОРЫ

Тучи над YouTube

YouTube на этой неделе заблокировал каналы немецкой редакции RT (Russia Today), обвинив ее в публикации фейков о коронавирусе. В России в ответ предсказуемо разразилась настоящая буря: МИД, Роскомнадзор, Дмитрий Песков — наперебой обещали видеоплощадке ответные меры, обвиняя ее в цензуре. У Роскомнадзора, прославившегося безуспешной блокировкой Telegram, с тех пор появилось гораздо больше возможностей. Эксперты, с которыми поговорил The Bell, уверены, что при наличии политической воли инструменты для прекращения работы YouTube в России найдутся. Но до блокировок власти еще могут задействовать много других мер, которые прописаны в законодательстве, — от штрафов до полного запрета рекламы российских компаний на площадке.

МЕССЕНДЖЕРЫ

Пресс-конференция Дурова про «Умное голосование»

Павел Дуров спустя две недели после выборов продолжает объяснять пользователям Telegram, почему мессенджер заблокировал бот сторонников Алексея Навального в первый день выборов в Госдуму. Сначала Дуров написал по этому поводу большой объясняющий пост, в котором заявил, что был вынужден заблокировать бот «Умного голосования» во время выборов в России, чтобы мессенджер мог продолжать свою работу на территории страны. Потом запустил в канале опрос, что лучше: заблокировать политический бот на два дня или получить блокировку Telegram навсегда. Но и этого Дурову показалось мало: в комментариях к опросу предприниматель всю ночь отвечал на вопросы пользователей. Там Дуров тоже настаивал, что рисковать блокировкой сервиса ради пары кандидатов от КПРФ в Думе было бессмысленно. Заодно он объяснял, в каких случаях Telegram будет готов идти навстречу требованиям властей, как Telegram оказался без поддержки Apple и Google и почему не блокирует «Мужское государство». В целом тон ответов был довольно оборонительный, а на вопросы не про политику предприниматель чаще всего отвечал односложно. Но учитывая, что это, можно сказать, первое интервью Павла Дурова за долгий срок, прочитать его можно здесь.

READ LATER

  • Не почитать, а посмотреть. В новом выпуске «Русских норм!» — основатель Brain Corp. Евгений Ижикевич, чьим именем назван нейрон и нейронная сеть, моделирующая работу мозга, и чья компания в США делает «мозги для роботов»
  • Как взлом Epik, от которого пострадали 15 млн пользователей, стал чуть ли не главным поставщиком данных для исследователей правого экстремизма и к чему это приведет
  • Помните такую соцсеть Clubhouse? Так вот, не в России ею еще пользуются и вокруг нее даже возникают конфликты, например, из-за системы поощрения для создателей контента