Илья Сачков, Group-IB: «Мы можем заранее сказать, у каких клиентов могут украсть деньги»

Генеральный директор «ВымпелКом» Михаил Слободин взял интервью у Ильи Сачкова, основателя и руководителя Group-IB - компании, которая занимается расследованием и предотвращением преступлений в ИТ-сфере. В 2016 году Сачков попал в рейтинг самый ярких предпринимателей младше 30 лет американской версии Forbes.

Редакция публикует материал с разрешения автора.

Илья, привет. Сегодня мы поговорим о довольно щекотливых вопросах безопасности: компьютерной безопасности, безопасности наших данных, ну и, безусловно, про тот бизнес, который ты возглавляешь, который ты развивал, я так понимаю, с самого начала.

Доброе утро.

Чем ты занимаешься? В чем твой бизнес?

Информационные технологии сейчас абсолютно везде, и в телефоне. И есть некоторые проблемы, которые чаще всего связаны с кражей либо денег, либо информации, иногда это шантаж.

Когда проблема происходит, важно для некоторых людей или компаний понять, почему она произошла, либо кто это сделал. Мы начинали именно с такого бизнеса, который называется американским словосочетанием digital investigation, на русском оно звучит страшно для любых правоохранительных органов? - «расследование».

Причем мы ни в коем случае не лезем именно в область работы правоохранительных органов. Наша задача, как криминалистов (компьютерная криминалистика), - понять, почему что-то произошло. Особенно это интересно для компаний, потому что чаще всего они тратят деньги на безопасность, и потом возникает разумный вопрос: «Почему мы потратили деньги, а то, на что мы потратили деньги, не сработало?»

Очень важно понимать, что технологически сейчас люди, которые совершают преступления,? - это действительно организованная преступность с хорошими бюджетами. Бесконечно с ними играть в технологический пинг-понг, то есть мы ставим новую систему безопасности? - они ее проходят, мы ставим новую систему безопасности? -? они и ее проходят, это уже не стратегия.

Мы должны заниматься и технологиями, и все-таки понимать, что важно, с точки зрения закона, этих людей поймать, найти и, желательно, наказать.

Конкуренцию со стороны правоохранительных органов не чувствуете? Потому что это такая важная часть их работы, и вы частично за них ее делаете.

Все зависит от глубины понимания нашей работы. Правоохранительные органы, которые о нас знают из прайса, чаще всего к нам относятся очень негативно? - « какие-то молодые выскочки, скорее всего, за этим ничего нет».

Те, кто с нами работает по сопровождению каких-то уголовных дел, обращаясь к нам, как к экспертам, и законодательство это подразумевает, они понимают, в чем преимущество. Это абсолютно нормальная практика государственного и частного партнерства. Мы сделали определенную экспертизу, которую государство по разным причинам не может сделать само, такое бывает. И это абсолютно нормально.

Так и, например, на Западе. Мы работаем с Европолом, подписали с ними соглашение, прошли дью-дилидженс, и они понимают, что вещи, связанные с русскоговорящей преступностью, если мы будем работать с частной компанией, мы достаточно быстро решим.

Но есть люди, которые с нами не работали, и которые, извините, ленятся к нам приехать в офис, посмотреть материалы уголовного дела, посмотреть, как работают эксперты, как у нас построена внутренняя система безопасности, что очень сложно попасть к нам в компанию, если у человека есть плохие намерения. Мы сейчас ввели биологический детектор лжи. То есть кроме обычного детектора лжи, человек сейчас будет анализы сдавать, чтобы специальные таблетки не употребить.

Такая же у нас проблема с некоторыми службами безопасности, они говорят: «А это вообще не нужно, это какой-то бред, не слушайте, у нас вообще самая безопасная компания, вообще ничего не надо». При этом самый простой пример? -? как можно внутри компании знать обо всех инцидентах, которые происходят в России. Это же невозможно. Американские, международные стандарты рекомендуют, чтобы был поставщик внешних данных. И если безопасность сидит внутри и говорит, что у них все хорошо, это, к сожалению, очень быстро превращается в какую-то проблему.

Поэтому, отвечая на твой вопрос,? -? да, есть ревность, но она заканчивается, когда люди знакомятся с нами поближе.

А как ты вообще дошел до этого? Этому не учат.

Мне, грубо говоря, нужны были деньги? -? я был студентом, очень распространенная ситуация. Я, соответственно, очень быстро начал работать. И когда я начал работать по специальности в корпоративном секторе, я понял, при всем уважении к моим коллегам, это не так интересно, как я себе это представлял. Мне хотелось движухи. А тут корпоративные стандарты, политика, с девяти до шести. Вот это, кстати, очень распространенный для предпринимателя миф... Потом оказалось, что никаких «с 9 до 6» не будет, это просто 24. То есть все время просыпаешься? -? о работе думаешь, засыпаешь? -? о работе.

Так получилось, что у меня было время отдохнуть, в больнице я лежал с фронтитом. Мне друг принес книжку американскую, она называется «Расследование компьютерных преступлений». Я ее прочитал и подумал: «Вау, вот это тема!» Там описывается компания Mandiant, которая очень богата, описывается в американском рынке, то, что этим занимается куча компаний.

И я подумал, что очень хочу работать именно в этой компании в России. Я рассказал одногруппникам об этой идее, они поделились на два лагеря. Одни сказали: «Ты сумасшедший!» В этот лагерь пришли и мои родители, сказав: «Надеемся, ты сможешь устроиться на нормальную работу, когда у тебя это не получится».

А часть одногруппников сказали: «Да, это тема! Давай пробовать!» Надо сказать спасибо нашей кафедре: нам выделили помещение бесплатно? -?«вот, пожалуйста, занимайтесь, чем хотите». Мы начали читать книжки, сделали сайт, начали ждать каких-то заказов.

Оказалось, что много людей имеют проблемы. Все деньги мы тратили на закупку новых предметов, технологий. Мы практически не тратили на себя. Первые несколько лет мы были в очень плохом экономическом состоянии, и ребята меня обвиняли, потому что мы все деньги тратили на развитие.

Поэтому году в 2010-11 мы начали думать, каким образом это можно масштабировать. А масштабировать бизнес можно, если только ты делаешь какой-то продукт. Искусственно делать продукт? -? достаточно глупая затея, на мой взгляд. И мы начали думать? -? раз мы приходим на расследование в компании достаточно хорошие в плане безопасности, которые тратят много денег, но, тем не менее, мы приходим на расследование, значит чего-то не хватает, каких-то вещей.

И мы начали на эту тему мозговать. Начали думать, что мы можем те знания, которые получаем в процессе расследования, конвертировать в некий продукт, который будет предугадывать преступления по следам, которые предшествуют этапу подготовки.

В принципе, в каком-то очень близком будущем мы столкнемся с новыми типами детекторов лжи, которые позволят не только отвечать на вопрос, делал что-то человек или не делал, а склонен он к преступлению или не склонен. Это очень недалекое будущее, потому что есть последние исследования, когда врачу показывали просто функциональные снимки американских заключенных, их мозга, и он по снимку говорил: «Вот это? - насильник, это? - убийца, это? - мошенник». Не видя фамилию, не видя приговор.

Возвращаясь к сервисам, продуктам, которые мы начали делать. Мы начали делать... опять же страшное слово по-русски? -?«киберразведка», по-английски звучит очень мило - threat intelligence, либо cyber intelligence. Это технологии, которые собирают большое количество индикаторов, указывающих, что готовится то или иное преступление.

Например, по самому популярному компьютерному преступлению сейчас в России? - хищению денег в онлайн-банкинге, мы можем заранее говорить, у каких клиентов могут украсть деньги. Если совсем упрощенно. И банк в автоматическом режиме блокирует аккаунт пользователя, объясняет, почему он заражен, и, соответственно, не позволяет злоумышленнику украсть деньги.

Хакеры, воры и мошенники, что они делают? Какая типичная ситуация?

Например, у тебя есть интернет-банкинг. Неважно, какого банка. Как можно украсть деньги оттуда? Как обычно происходит. Берется какой-нибудь портал популярный в интернете, куда может попасть целевой трафик. Например, какой-то финансовый сайт, а-ля, я сейчас буду выдумывать название, «ялюблюбанки. ру», такой вот сайт, например.

Туда кто заходит? Бухгалтера, люди, которые пользуются интернет-банкингом, которые любят читать финансовые новости. С большой вероятностью эти люди пользуются онлайн-банкингом. Этот сайт подламывается, там ищется уязвимость, куда ставится программа, которая называется эксплойт-кит, это такая штучка, которая ищет уязвимость в твоем браузере, либо на компьютере, либо в прикладных системах, которые есть на компьютере, либо в смартфоне.

Эта программка делает очень простое действие: закидывает на компьютер, на устройство маленький поисковичок. Этот поисковичок отвечает злоумышленнику на вопрос, есть ли онлайн-банкинг на компьютере или нет.

Если есть, он подгружает более массивную программку, которая делает примерно следующее: она либо от твоего имени совершает платеж, либо в момент, когда ты подписываешь платежное поручение, вводишь одноразовый кодик, который приходит на телефон или на специальное устройство, она подменяет реквизиты, и ты думаешь, что платишь мне, а платишь совершенно другому человеку.

Потом злоумышленники эти деньги быстро выводят. В чем, как говорится, фишка. Первое? - это практически все автоматизировано. Нет такой ситуации, как в фильмах, где человек сидит за компьютером.

Полностью digital, все автоматически.

Абсолютно. Самое удивительное, что там у всех хороший дизайн, круглосуточная поддержка, фактически?? это маленькая компания, которая делает свой продукт. Так как рынок конкурентен, то есть злоумышленники выбирают, чем пользоваться, дизайн, простота, безопасность этого всего? - это конкурентное преимущество.

При этом важно отметить, что с точки зрения российского законодательства, это чистая уголовка. 273 статья УК? - создание и распространение вредоносных программ. Поэтому первое, что нужно знать - что не нужно делать, чтобы попасться на удочку злоумышленников. Многие говорят: «Android не защищен, опасен!» Но он опасен, потому что человек сам берет и на этот телефон ставит непроверенные приложения, с какого-то непонятного сайта, очень сомнительного содержания, обновляет свой Flash Player на телефоне. Это то действие, которое делает сам человек.

Ну, на самом деле, вы активно диверсифицируетесь, как я понимаю. Как вы двигаетесь, с точки зрения клиентов, которые находятся на Западе? Как относятся к российской компании, которая занимается киберпреступлениями, в одном, по представлению народа, из самых основных центров киберпреступлений?

Абсолютно точно, что есть предвзятость к российским компаниям. Например, то, что происходит сейчас с «Касперским» в Америке. Видно, что их стараются вытеснить с рынка.

Что делаем мы. Мы работаем с аналитиками, именно американскими, которые смотрят технологию. Для технологической компании важно попадать в такие некоммерческие аналитические отчеты, типа Gartner, IDC, Forrester. Мы там присутствуем.

Вторая вещь. Вот этот мир говорит: «Вы, наверное, связаны с организованной преступностью, вы же находитесь там!» Мы говорим: «У нас есть технологии, при этом мы всегда делаем расследование. Если вы хотите какую-то преступную группу идентифицировать, мы соберем всю необходимую доказательную базу, поможем правоохранительным органам довести это дело до суда».

В отличие от продавцов, извините, антивирусов, мы всегда гарантируем, что можем кроме технологий делать сервисы, связанные с идентификацией людей. Такая вот отличительная способность. Только наш «большой брат», компания американская FireEye, имеет точно такую же способность. Они купили как раз ту компанию Mandiant, о которой я читал в далекое время в книжке, они делают и технологию по предотвращению, и расследование. Такая комбинация.

Сейчас мы ввели такую традицию: клиентам показываем наш офис в Periscope, прям экскурсию, мы готовы приглашать их, мы открываем точки-локации, где работают местные люди, часто нанимаем китайцев, людей с Ближнего Востока, у нас есть канадцы, американцы в штате.

Несмотря на то, что часть нашей работы реально закрыта, потому что носит вопрос сопровождения уголовных дел, мы стараемся быть максимально открытыми перед клиентами. Хотите в офис? -? пожалуйста, хотите посмотреть команду? - с удовольствием, хотите посмотреть технологию? - пожалуйста, открыть исходные коды для какой-то аттестации? -? вообще без проблем. Нужно быть открытыми.

Да, но о результатах, как правило, достаточно сложно рассказывать в паблике. Потому что клиенты не хотят быть публичными с точки зрения тех проблем, которые они испытали. Многие вещи за закрытыми дверями. Как вы эту часть решаете?

Есть по некоторым расследованиям договоренность с заказчиком, что когда дело доходит до суда, можно об этом говорить, и это будет совместная пиар-акция. Заказчику тоже важно показать? -?«мы боремся, защищаем наших клиентов, защищаем наши интересы». Например, «Сбербанк». Мы с ними работаем. И они любят, когда преступная группа задержана, сказать: «"Сбербанк", с помощью Group-IB и правоохранительных органов, помог задержать такую-то преступную группу».

Вторая вещь? -? это может быть референс-визит. Когда в паблике ничего нет, но клиент готов в узком кругу, при подписании определенных документов, допустить к себе и рассказать об этой истории. Плюс сарафанное радио. Люди как-то друг другу на эту тему рассказывают. И я считаю, что на эту тему надо говорить. Если говорить, что все хорошо, все в безопасности, компьютерных преступлений не существует, это обычно заканчивается...

Ну это так же, как про коррупцию... Если считать, что у нас все нормально и хорошо, факты выявленных коррупционных вещей внутри, если не показываешь публично, как ты отреагировал, кто понес наказание, насколько оно серьезно, это, безусловно, формирует ощущение безнаказанности. И сильно не соответствует реальности. Здесь то же самое. Ну и в заключение, наверное. Что вы посоветуете обычным людям, чтобы максимально предотвратить такие вещи?

Первое. Придется всем поверить, что компьютерная преступность существует, и это проблема. Наверное, я бы порекомендовал всем относиться к ней более серьезно и все-таки окрашивать преступников в негативный окрас, потому что позитивное отношение к ним очень сильно помогает.

Вторая вещь. Так же, как и вождение машины. Человек, прежде чем водить машину, сдает обычно экзамены, учит правила, теорию, практику. Прежде чем начинать что-то использовать, почитать о рисках. И это займет пять минут времени в интернете. В любой поисковой системе вбивается «рекомендации по информационной безопасности или компьютерной гигиене». Две статьи? -? и человек на 80% становится защищеннее.

Третья вещь? -? выбирать (а благодаря интернету это сейчас легко) адекватного поставщика финансовых услуг, в том числе телеком-компанию. По негативным отзывам, случаям возврата-невозврата, по отношению к безопасности, по тому, как компания рассказывает о безопасности.

Есть банки, которые могут вернуть деньги в течение трех дней, если, не дай бог, они похищены. А есть банки, которые никогда не вернут. Только через суд. Благодаря отзывам и медиа, можно правильно выбрать банк. И бизнесу вроде телекома я рекомендую чуть больше читать об информационной безопасности и инвестировать в нее деньги.

Все у нас digital, если преступники инвестируют огромные деньги в свои технологии, соответственно, придется инвестировать в информационную безопасность. Но инвестировать нужно туда, где есть риск.

Сейчас есть очень большая проблема. Люди покупают системы безопасности, не понимая, от какого риска они хотят защищаться. Нужно чуть-чуть больше погружаться, понимать, против кого мы защищаемся. Как в армии. Есть разведка, которая говорит, кто наш враг, откуда он придет, какими технологиями он будет пользоваться.

Очень обидно, когда компания тратит безумные деньги на что-то: на оборудование, на софт. А это защищает совершенно не от того, что может случиться.

А дырка в другом месте.

Да, а дырка такая, через которую просто человек заходит? -? и все... Самая фундаментальная вещь? -? это знания. Знания? - это такая пирамида, которая защитит от компьютерных преступников гораздо эффективнее, чем многие технологии.

Forbes Intel