THE BELL

Есть те, кто прочитали эту новость раньше вас.
Подпишитесь, чтобы получать статьи свежими.
Email
Имя
Фамилия
Как вы хотите читать The Bell
Без спама

Информация по делу

Самые полезные новости
за 5 минут в ежедневной рассылке

У нас есть утренняя и вечерняя рассылки.
Что вы хотите получать?

Кибербезопасность — самая востребованная и противоречивая специальность последнего года: российских хакеров обвиняют во взломе американских выборов, менеджера «Лаборатории Касперского» арестовывают за госизмену, а сам Евгений Касперский вынужден давать показания в Конгрессе после того, как американским госорганам запретили закупать его антивирусы. The Bell поговорил с конкурентом Касперского в области раскрытия киберпреступлений, основателем Group-IB Ильей Сачковым, о том, как политика влияет на кибербезопасность, и как после всего этого изменилась работа российских компаний на западных рынках.

Фото: Group-IB
Илья Сачков, основатель и гендиректор Group-IB. Фото: Group-IB
Созданная в 2003 году компания Group-IB специализируется на расследовании и предотвращении преступлений в компьютерной сфере. Еще в 2014 году Forbes называл ее крупнейшим в России частным кибердетективным агентством, – если не считать отделы расследований больших интернет-компаний вроде «Лаборатории Касперского». Компьютерных криминалистов у Group-IB уже тогда было больше, чем в соответствующем подразделении Экспертно-криминалистического центра МВД России.

Сачков – о роли политики в кибербезопасности:

Конечно, политика в целом влияет на IT-сектор, потому что некоторые люди в некоторых странах пытаются политизировать технологии. Но это странно — вне зависимости от отношений с Европой, наши политики ездят на немецких машинах, потому что они хорошие. А умные клиенты используют хорошие инженерные технологии, пускай даже по информационной безопасности. 2017-й год, XXI век – не то время, когда люди не должны пользоваться технологическими достижениями. Я абсолютно аполитичный человек, неплохо знающий историю и понимающий, что от многих процессов, которые сейчас происходят, стоит держаться подальше. Я решаю со своими коллегами инженерную задачу. Бить себя в грудь и кричать, что мы будем против американцев или против России – не мое. Моя задача – чтобы у меня были хорошие технологии, хорошие лекарства, которые помогают нормальным людям.

Илья Сачков родился в 1986 году, вырос в Измайлово, с отличием окончил МГТУ имени Баумана (кафедра информационной безопасности, факультет информатики и системы управления). Его отец был физик, мать – информационный аналитик в ЦБ. Вопросами кибербезопасности начал интересоваться еще в школе – его попросили разобраться, из-за чего постоянно падаем модем, выяснилось, что один из учеников крадет трафик. По-настоящему расследовать киберпреступления и сделать на этом бизнес Сачков решил в 2003 году. Он основал компанию с двумя однокурсниками Дмитрием Волковым и Игорем Катковым, оба работают в Group-IB до сих пор. Помещение под лабораторию им выделил МГТУ имени Баумана, а первые деньги на запуск проекта ($5 тысяч) Сачков занял у брата.

О проблемах «Лаборатории Касперского» в США:

Я не хочу строить теории, но если Евгений Валентинович [Касперский] в свое время использовал в качестве пиара то, что он сотрудник КГБ (Forbes писал: «На коробках с антивирусом поместили фото Касперского с подписью «Он работал в КГБ» — на Востоке, особенно в Японии, образ Касперского — выходца из КГБ — срабатывал как знак качества». — The Bell), то за это в 2017 году может прилететь, вот и прилетело. В какой-то год выручка благодаря информации о службе в КГБ возросла, потому что азиаты не очень понимают, что это такое. А американцы это, конечно же, запомнят. У нас среди основателей компании нет бывших сотрудников спецслужб и правоохранительных органов.

«Лаборатория Касперского» в хорошем смысле наш старший брат, на которого мы ориентируемся и которого нам иногда приятно в чем-то превзойти. Благодаря своим маркетинговым бюджетам «Лаборатория», создает имидж для всех российских IT-компаний. Надо еще понимать, что российских компаний такого рода в мире немного, поэтому психологически хочется их связывать между собой. Но так происходить не должно – если «Фольксваген» накосячил с дизельными двигателями, то «Мерседес» явно будет ни при чем. И в самый сложный политически прошлый год у нас валютная выручка увеличилась на 150%. Какая она теперь, мы не раскрываем. Она хорошая. У нас в Америке появилось достаточно большое количество клиентов – преступность, она же повсюду.

О своем бизнесе в США:

Клиенты — только частные. Почему мы не работаем с правительственными организациями? Потому что с бизнесом работать гораздо проще – у них проблема, у вас решение, начали работать. Правительственные любые истории очень долгие – даже в России. У нас выручка от государства равна нулю. Потому что бумажки, конкурсы, год подготовки к какой-то работе, а инженерные технологии настолько быстро меняются, что я не хочу два года своей жизни тратить, чтобы через два года продать то, что не будет работать. Мы любим работать с коммерческим сектором, с предпринимателями.

Первым крупным проектом Group-IB стала работа со словацкой антивирусной компанией ESET в 2010 году:  хакеры взломали один из сайтов Leta Group, представлявшую в России ESET. В 2010 году  Александр Чачава (управляющий партнер Leta Capital) и его однокурсник Сергей Пильцов стали владельцами половины Group-IB, 20% осталось у Ильи Сачкова, по 10 % — еще у трех сотрудников-основателей. Деньги Leta Group позволили увеличить штат Group-IB впятеро, до 70 человек, открыть офисы в Нью-Йорке и Сингапуре и закупить оборудование.

О том, можно ли на 100% определить источник хакерской атаки:

Нет. Я ужасно не люблю отчеты в стиле Crowdstrike: «Это сделало правительство России!». Атрибуция дает подсказку, не более того. Допустим, атака велась с серверов, зарегистрированных в России. Их что, из другой точки зарегистрировать не могли? Мы не можем объявить человека убийцей, пока суд не вынесет приговор, что это он. А в компьютерном мире почему-то стали модными такие отчеты.

Первая причина: это плохо, поскольку ненаучно. Даже если мы доходим до конечного компьютера, находим сохраненную на FTP-сервере переписку, которая что-то подтверждает, то компьютер может быть заражен без ведома владельца, на нем может стоять VPN — в общем, масса вариантов. Нужно исследовать компьютеры по науке, а потом, желательно, допросить владельца. Но случаи, когда можно найти компьютер, достаточно редки. К тому же, у компьютера может быть несколько пользователей, один знал, другой — не знал. Человек, который сидел за этим компьютером, мог работать на иностранное государство, и намеренно подставить страну, в которой находился.

Вторая причина: если мы делаем выводы, подобные тем, что были сделаны в отчете [основателя Crowdstrike Дмитрия] Альперовича до того, как злоумышленники были арестованы, то мы мешаем расследованию. Нельзя преступникам заранее давать подсказки, что их следы обнаружены. Для журналистов тема компьютерных преступлений актуальна, и отчет под названием «Мы нашли аргентинских хакеров, работающих на правительство!» можно скормить любому СМИ.

Любая компания должна рассматривать компьютерные преступления вне политики. Если мы находим вирус, наша задача – понять, как он попал, объяснить, как он работает, и понять ключевые мотивы. Если мы нашли вирус, цифровой след, то мы по этому следу идем и находим разные вещи – они могут иметь русскоязычные, израильские, северокорейские, или любые другие корни. «Лаборатория Касперского» почти всегда воздерживается от атрибуции проправительственных группировок. Если я не ошибаюсь, единственным исключением был кейс с группировкой Lazarus, которую связали с правительством Северной Кореи. Однако эти выводы были сделаны на основе анализа вредоносного кода, который, как известно, можно подделать, чтобы сбить исследователей со следа. Именно поэтому их нельзя воспринимать как истину в последней инстанции.

Мы тоже исследовали деятельность Lazarus и пришли к такому же заключению. При этом наши выводы основываются на глубоком исследовании инфраструктуры управления злоумышленников, что является гораздо более надежным доказательством принадлежности к той или группировке.

В августе 2016 года инвесторами Group-IB стали Люксембургская Altera Investment Fund SICAV-SIF Кирилла Андросова и фонд Run Capital, пайщиками которого являются основатели платежной системы Qiwi Николай и Андрей Романенко и Андрей Муравьев. Инвесторы приобрели по 10 % Group-IB, сумма сделки и текущая структура собственности не разглашаются. Выручку компания не раскрывает, прогноз по ней в 2013 году был $36 млн, писал Forbes.

Почему в России до суда доходит только 7% дел о киберпреступлениях

Этот процент везде низкий – по многим причинам. Практически везде плохо с законодательством, например. У нас, например, дисбаланс бюджета. Сейчас мы, как ни странно, живем в самое безопасное время. Мои шансы умереть, скажем, от уличной преступности или теракта, минимальны. При этом весь бюджет посвящен защите от внешних угроз. А где находятся преступники? Конечно, в интернете — мошенничество, терроризм. А низкая раскрываемость потому, что вся система правопорядка в мире построена на защиту людей от физических проблем.

У нас не было интернета еще двадцать лет назад. И должно смениться поколение. Должны выйти на пенсию руководители, которые не верят в возможность компьютерного преступления — а такие есть. Не верят они потому, что им сложно в этом разбираться. Убийство – просто. А банкоматы вдруг раздали наличность – это сложно, какие-то таргетированные атаки, геморрой. И в этом плане очень хорошо, что в руководители стали приходить довольно молодые люди, которые большую часть жизни сидели за компьютерами, у них ломали аккаунты, воровали танки в Word of Tanks – им уже ничего не надо объяснять, и они в хорошем смысле влияют и на законотворчество и на правопорядок.

О новом рынке в кибербезопасности:

Вы объявили ICO. Как для вас это выглядит? У вас появился интернет-сайт, на котором размещен Whitepaper (аналог меморандума для инвесторов — The Bell) и описывается, каким образом размещаются токены. Есть кошельки, куда нужно перечислить деньги, офис, который обслуживает смарт-контракты. Что произойдет? Вас попытаются взломать, изменив номера кошельков, появятся десятки сайтов, полностью идентичных вашему, попытаются заразить ваш компьютер, будут появляться идентичные вашим социальные группы, в которых будет объявляться о смене реквизитов. Нигилизм со стороны преступников потрясающий – банки так не атакуют, как эти компании. Потому что денег много, со всего мира собираются, очень понятно, как воровать: много разнообразных атак со всего мира прилетает, очень интересно. Банки стоят и курят в сторонке.  Мы сейчас защитили проект по Blackmoon Financial Group, основанной Олегом Сейдаком из Flint Capital и бывшим вице-президентом «Вконтакте» Ильей Перекопским, и это была круглосуточная работа. В итоге они собрали больше $30 млн долларов на продаже токенов нового проекта Blackmoon Crypto.

Светлана Рейтер, The Bell

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*
*

THE BELL

Есть те, кто прочитали эту новость раньше вас.
Подпишитесь, чтобы получать статьи свежими.
Email
Имя
Фамилия
Как вы хотите читать The Bell
Без спама