Интернет и всеобщая взаимосвязанность приносит не только хорошее, но и создаёт новые угрозы. При этом настоящих специалистов в предотвращении и ликвидации таких угроз мало, а тех, кто делает на этом бизнес, ещё меньше. Илья Сачков. Он борется с киберпреступностью по-настоящему и зарабатывает на этом настоящие деньги. Илья за свои 29 лет создал свою компанию с нуля, попал в список Forbes как один из самых динамичных молодых предпринимателей мира, смотрит вперёд и делает наш мир безопаснее и лучше.
В качестве бонуса - простые советы от Ильи как обезопасить себя от потери денег в интернете. В общем смотрите Слободин+1, гордитесь нашими людьми, мотайте на ус и не совершайте глупых ошибок в интернете.
Click to view
- Илья, привет! Добро пожаловать в нашу студию. Сегодня мы поговорим о довольно щекотливых вопросах безопасности: компьютерной безопасности, безопасности наших данных, ну и, безусловно, про тот бизнес, который ты возглавляешь, который ты развивал, я так понимаю, с самого начала.
- Доброе утро!
- Чем ты занимаешься? В чём твой бизнес?
- Информационные технологии сейчас абсолютно везде, и в телефоне, везде. И есть некоторые проблемы, которые чаще всего связаны с кражей либо денег, либо информации, иногда это шантаж. Когда проблема происходит, важно для некоторых людей или компаний понять, почему она произошла, либо кто это сделал. Мы начинали именно с такого бизнеса, который называется американским словосочетанием digital investigation, на русском оно звучит страшно для любых правоохранительных органов - «расследование». Причём мы ни в коем случае не лезем именно в область работы правоохранительных органов. Наша задача, как криминалистов (компьютерная криминалистика), понять, почему что-то произошло. Особенно это интересно для компаний, потому что чаще всего они тратят деньги на безопасность, и потом возникает разумный вопрос: «Почему мы потратили деньги, а то, на что мы потратили деньги, не сработало?»
Очень важно понимать, что технологически сейчас люди, которые совершают преступления, - это действительно организованная преступность с хорошими бюджетами. Бесконечно с ними играть в технологический пинг-понг, то есть мы ставим новую систему безопасности - они её проходят, мы ставим новую систему безопасности - они и её проходят, - это уже не стратегия. Мы должны заниматься и технологиями, и всё-таки понимать, что важно, с точки зрения закона, этих людей поймать, найти и, желательно, наказать.
- Конкуренцию со стороны правоохранительных органов не чувствуете? Потому что это такая важная часть работы, по идее - часть их работы, и вы частично за них делаете работу.
- Всё зависит от глубины понимания нашей работы. Правоохранительные органы, которые о нас знают из прайса, чаще всего к нам относятся очень негативно - «какие-то молодые выскочки, скорее всего, за этим ничего нет». Те, кто с нами работает по сопровождению каких-то уголовных дел, обращаясь к нам, как к экспертам, и законодательство это подразумевает, они понимают, в чём преимущество. Это абсолютно нормальная практика государственного и частного партнёрства. Мы сделали определённую экспертизу, которую государство по разным причинам не может сделать само, такое бывает. И это абсолютно нормально. Так и, например, на Западе. Мы работаем с Европолом, подписали с ними соглашение, прошли дью-дилидженс, и они понимают, что вещи, связанные с русскоговорящей преступностью, если мы будем работать с частной компанией, мы достаточно быстро решим.
Но есть люди, которые с нами не работали, и которые, извините, ленятся к нам приехать в офис, посмотреть материалы уголовного дела, посмотреть, как работают эксперты, как у нас построена внутренняя система безопасности, что очень сложно попасть к нам в компанию, если у человека есть плохие намерения. Мы сейчас ввели биологический детектор лжи. То есть кроме обычного детектора лжи, человек сейчас будет анализы сдавать, чтобы специальные таблетки не употребить.
Так вот, если правоохранительные органы приезжают (это могут быть правоохранительные органы, могут быть клиенты), такая же у нас проблема с некоторыми службами безопасности, они говорят: «А это вообще не нужно, это какой-то бред, не слушайте, у нас вообще самая безопасная компания, вообще ничего не надо». При этом самый простой пример - как можно внутри компании знать обо всех инцидентах, которые происходят в России. Это же невозможно. Американские, международные стандарты рекомендуют, чтобы был поставщик внешних данных. И если безопасность сидит внутри и говорит, что у них всё хорошо, это, к сожалению, очень быстро превращается в какую-то проблему.
Поэтому, отвечая на твой вопрос, - да, есть ревность, но она заканчивается, когда люди знакомятся с нами поближе.
- А как ты вообще дошёл до этого? Этому не учат!
- Мне, грубо говоря, нужны были деньги - будучи студентом, очень распространённая ситуация. Я, соответственно, очень быстро начал работать. И когда я начал работать по специальности в корпоративном секторе, я понял, при всём уважении к моим коллегам, это не так интересно, как я себе это представлял. Мне хотелось движухи. А тут корпоративные стандарты, политика, с 9 до 6. Вот это, кстати, очень распространённый для предпринимателя миф… Потом оказалось, что никаких «с 9 до 6» не будет, это просто 24. То есть всё время просыпаешься - о работе думаешь, засыпаешь - о работе.
Так получилось, что у меня было время отдохнуть, в больнице я лежал с фронтитом. Мне друг принёс книжку американскую, она называется «Расследование компьютерных преступлений». Я её прочитал и подумал: «Уау!!! Вот это тема!» Там описывается компания Mandiant, которая очень богата, описывается в американском рынке, то, что этим занимается куча компаний. И я подумал, что очень хочу работать именно в этой компании в России. Я рассказал одногруппникам об этой идее, они поделились на два лагеря. Одни сказали: «Ты сумасшедший!» В этот лагерь пришли и мои родители, сказав: «Надеемся, ты сможешь устроиться на нормальную работу, когда у тебя это не получится». Это было отличным мотиватором - потом прийти к родителям и сказать: «Вы были неправы». Если бы они меня поддерживали во всём, было бы не так интересно всё это делать. А часть одногруппников сказали: «Да, это тема! Давай пробовать!» Надо сказать спасибо нашей кафедре: нам выделили помещение бесплатно - «вот, пожалуйста, занимайтесь, чем хотите». Мы начали читать книжки, сделали сайт, начали ждать каких-то заказов. Оказалось, что много людей имеют проблемы. Все деньги мы тратили на закупку новых предметов, технологий. Мы практически не тратили на себя. Первые несколько лет мы были в очень плохом экономическом состоянии, и ребята меня обвиняли, потому что мы все деньги тратили на развитие. Поэтому году в 2010-11 мы начали думать, каким образом это можно масштабировать. А масштабировать бизнес можно, если только ты делаешь какой-то продукт. Искусственно делать продукт - достаточно глупая затея, на мой взгляд. И мы начали думать - раз мы приходим на расследование в компании достаточно хорошие в плане безопасности, которые тратят много денег, но, тем не менее, мы приходим на расследование, значит чего-то не хватает, каких-то вещей. И мы начали на эту тему мозговать. Начали думать, что мы можем те знания, которые получаем в процессе расследования, конвертировать в некий продукт, который будет предугадывать преступления по следам, которые предшествуют этапу подготовки. В принципе, в каком-то очень близком будущем мы столкнёмся с новыми типами детекторов лжи, которые позволят не только отвечать на вопрос, делал что-то человек или не делал, а склонен он к преступлению или не склонен. Это очень недалёкое будущее, потому что последние исследования, когда врачу показывали просто функциональные снимки американских заключённых, их мозга, и он по снимку говорил: «Вот это - насильник, это - убийца, это - мошенник». Не видя фамилию, не видя приговор.
Возвращаясь к сервисам, продуктам, которые мы начали делать. Мы начали делать… опять же страшное слово по-русски - «киберразведка», по-английски звучит очень мило -threat intelligence, либо cyber intelligence. Это технологии, которые собирают большое количество индикаторов, указывающих, что готовится то или иное преступление. Например, по самому популярному компьютерному преступлению сейчас в России - хищению денег в онлайн-банкинге, мы можем заранее говорить, у каких клиентов могут украсть деньги. Если совсем упрощённо. И банк в автоматическом режиме блокирует аккаунт пользователя, объясняет, почему он заражён, и, соответственно, не позволяет злоумышленнику украсть деньги.
- Хакеры, воры и мошенники, что они делают? Какая типичная ситуация?
- Например, у тебя есть интернет-банкинг. Неважно, какого банка. Как можно украсть деньги оттуда? Как обычно происходит. Берётся какой-нибудь портал популярный в интернете, куда может попасть целевой трафик. Например, какой-то финансовый сайт, а-ля, я сейчас буду выдумывать название, «ялюблюбанки.ру», такой вот сайт, например. Туда кто заходит? Бухгалтера, люди, которые пользуются интернет-банкингом, которые любят читать финансовые новости, с большой вероятностью, эти люди пользуются онлайн-банкингом. Этот сайт подламывается, там ищется уязвимость, куда ставится программа, которая называется эксплойт-кит, это такая штучка, которая ищет уязвимость в твоём браузере, либо на компьютере, либо в прикладных системах, которые есть на компьютере, либо в смартфоне. Эта программка делает очень простое действие: закидывает на компьютер, на устройство маленький поисковичок. Этот поисковичок отвечает злоумышленнику на вопрос, есть ли онлайн-банкинг на компьютере или нет. Если есть, он подгружает более массивную программку, которая делает примерно следующее: она либо от твоего имени совершает платёж, либо в момент, когда ты подписываешь платёжное поручение, вводишь одноразовый кодик, который приходит на телефон или на специальное устройство, она подменяет реквизиты, и ты думаешь, что платишь мне, а платишь совершенно другому человеку. Потом злоумышленники эти деньги быстро выводят. В чём, как говорится, фишка. Первое - это практически всё автоматизировано. Нет такой ситуации, как в фильмах, где человек сидит за компьютером.
- Полностью digital, всё автоматически!
- Абсолютно! Самое удивительное, что там у всех хороший дизайн, круглосуточная поддержка, фактически - это маленькая компания, которая делает свой продукт. Так как рынок конкурентен, то есть злоумышленники выбирают, чем пользоваться, дизайн, простота, безопасность этого всего - это конкурентное преимущество. При этом важно отметить, что с точки зрения российского законодательства, это чистая уголовка! 273 статья УК - создание и распространение вредоносных программ. Поэтому первое, что нужно знать - что не нужно делать, чтобы попасться на удочку злоумышленников. Многие говорят: «Андроид не защищён, опасен!» Но он опасен, потому что человек сам берёт и на этот телефон сам ставит непроверенные приложения, с какого-то непонятного сайта, очень сомнительного содержания, обновляет свой Flash Player на телефоне. Это то действие, которое делает сам человек.
- Ну, на самом деле, вы активно диверсифицируетесь, как я понимаю. Как вы двигаетесь, с точки зрения клиентов, которые находятся на Западе? Как относятся к российской компании, которая занимается киберпреступлениями, в одном, по представлению народа, из самых цетров киберпреступлений.
- Абсолютно точно, что есть предвзятость к российским компаниям. Например, то, что происходит сейчас с «Касперским» в Америке. Видно, что их стараются вытеснить с рынка. Что делаем мы. Мы работаем с аналитиками, именно американскими, которые смотрят технологию. Для технологической компании важно попадать в такие некоммерческие аналитические отчёты, типа Gartner, IDC, Forrester. Мы там присутствуем. Вторая вещь. Вот этот мир говорит: «Вы, наверное, связаны с организованной преступностью, вы же находитесь там!» Мы говорим: «У нас есть технологии, при этом мы всегда делаем расследование. Если вы хотите какую-то преступную группу идентифицировать, мы соберём всю необходимую доказательную базу, поможем правоохранительным органам довести это дело до суда». В отличие от продавцов, извините, антивирусов, мы всегда гарантируем, что можем кроме технологий делать сервисы, связанные с идентификацией людей. Такая вот отличительная способность. Только наш «большой брат», компания американская FireEye, имеет точно такую же способность. Они купили как раз ту компанию Mandiant, о которой я читал в далёкое время в книжке, они делают и технологию по предотвращению, и расследование. Такая комбинация.
Сейчас мы ввели такую традицию: мы клиентам показываем офис наш из Periscope, прям экскурсию, мы готовы приглашать их, мы открываем точки-локации, где работают местные люди, часто нанимаем китайцев, людей с Ближнего Востока, у нас есть канадцы, американцы в штате. Несмотря на то, что часть нашей работы реально закрыта, потому что носит вопрос сопровождения уголовных дел, мы стараемся быть максимально открытыми перед клиентами. Хотите в офис - пожалуйста, хотите посмотреть команду - с удовольствием, хотите посмотреть технологию - пожалуйста, открыть исходные коды для какой-то аттестации - вообще без проблем. Нужно быть открытыми.
- Да, но о результатах, как правило, достаточно сложно рассказывать в паблике. Потому что клиенты не хотят быть публичными с точки зрения тех проблем, которые как бы испытали их клиенты. Многие вещи за закрытыми дверями. Как вы вот эту часть решаете?
- Есть по некоторым расследованиям договорённость с заказчиком, что когда дело доходит до суда, можно об этом говорить, и это будет совместная пиар-акция. Заказчику тоже важно показать - «мы боремся, защищаем наших клиентов, защищаем наши интересы». Например, Сбербанк. Мы с ними работаем. И они любят, когда преступная группа задержана, сказать: «Сбербанк, с помощью Group-IB и правоохранительных органов, помог задержать такую-то преступную группу».
Вторая вещь - это может быть референс-визит. Когда в паблике ничего нет, но клиент готов в узком кругу, при подписании определённых документов, допустить к себе и рассказать об этой истории. Плюс сарафанное радио. Люди как-то друг другу на эту тему рассказывают. И я считаю, что на эту тему надо говорить. Если говорить, что всё хорошо, всё в безопасности, компьютерных преступлений не существует, это обычно заканчивается…
- Ну это так же, как про коррупцию… Если считать, что у нас всё нормально и хорошо, факты выявленных коррупционных вещей внутри, если не показываешь публично, как ты отреагировал, кто понёс наказание, насколько оно серьёзно, это, безусловно, формирует ощущение безнаказанности. И сильно не соответствует реальности. Здесь то же самое. Ну и в заключение, наверное. Что вы посоветуете обычным людям, чтобы максимально предотвратить такие вещи?
- Первое. Придётся всем поверить, что компьютерная преступность существует, и это проблема. Наверное, я бы порекомендовал всем относиться к ней более серьёзно и всё-таки окрашивать преступников в негативный окрас, потому что позитивное настроение к ним очень сильно помогает. Вторая вещь. Так же, как и вождение машины. Человек, прежде чем водить машину, сдаёт обычно экзамены, учит правила, теорию, практику. Прежде чем начинать что-то использовать, почитать о рисках. И это займёт 5 минут времени в интернете. В любой поисковой системе вбивается «рекомендации по информационной безопасности или компьютерной гигиене». Две статьи - и человек на 80 % становится защищённее. Третья вещь - выбирать (а благодаря интернету это сейчас легко) адекватного поставщика финансовых услуг, в том числе телеком-компанию. По негативным отзывам, случаям возврата-невозврата, по отношению к безопасности, по тому, как компания рассказывает о безопасности. Есть банки, которые могут вернуть деньги в течение 3 дней, если, не дай бог, они похищены. А есть банки, которые никогда не вернут. Только через суд. Благодаря отзывам и медиа, можно правильно выбрать банк. И бизнесу, вроде телекома, в виде банков, я рекомендую чуть больше читать об информационной безопасности и инвестировать в нёе деньги. Всё у нас digital, если преступники инвестируют огромные деньги в свои технологии, соответственно, придётся инвестировать в информационную безопасность. Но инвестировать нужно туда, где есть риск. Сейчас есть очень большая проблема. Люди покупают системы безопасности, не понимая, от какого риска они хотят защищаться. Нужно чуть-чуть больше погружаться, понимать, против кого мы защищаемся. Как в армии. Есть разведка, которая говорит, кто наш враг, откуда он придёт, какими технологиями он будет пользоваться. Вот у бизнеса должна быть такая киберразведка, которая говорит: «Возможно, у нас будет вот такая проблема, поэтому нам нужно закупить вот эту технологию». Очень обидно, когда компания тратит безумные деньги на что-то: на оборудование, на софт. А это защищает совершенно не от того, что может случиться.
- А дырка в другом месте!
- Да, а дырка такая, через которую просто человек заходит - и всё… Самая фундаментальная вещь - это знания. Знания - это такая пирамида, которая защитит от компьютерных преступников гораздо эффективнее, чем многие технологии.
- Ребята, в принципе, всё довольно понятно. Почитайте инструкцию по рискам в интернете, следуйте советам, и на 80 % проблема решена. Ну а на 20 % вас Group-IB защитит! Спасибо большое за беседу! Было интересно!
Илья Сачков. Кто он?
Илья Сачков - основатель и CEO Group-IB (расследование и предотвращение преступлений в IT-сфере). В 2003 году создал первую в России компанию по расследованию киберпреступлений. Член экспертных комитетов Государственной Думы РФ, МИД России, Совета Европы и ОБСЕ в области киберпреступности.
В 2016 году вошел в список перспективных молодых предпринимателей Forbes 30 under 30 в категории «Enterprise Tech». Group-IB сегодня входит в ТОП-7 мировых компаний, влияющих на глобальную информационную безопасность, наравне с FireEye, Palo Alto и Лабораторией Касперского.
Предыдущий выпуск Слободин+1 с Алёной Владимирской.