Вопросы защиты информации, личных данных и финансов в интернете с каждым днем становятся все актуальнее. Хакеры придумывают новые способы взлома компьютеров и сетей, а мошенники — способы похищения денег. И безопасность занимает сегодня одну из главных ролей в нашей жизни.
Современный Шерлок Холмс охотится за злоумышленниками не в темных городских переулках, а на просторах мировой сети интернет. Интервью с основателем и совладельцем Group-IB Ильей Сачковым, который создал одну из крупнейших компаний по раскрытию киберпреступлений.
Зачем в 17 лет вы решили заниматься бизнесом? У людей же немного другие интересы в этом возрасте, что вас подтолкнуло?
— Меня подтолкнула Боткинская больница и желание попасть куда-нибудь компьютерным криминалистом. Когда я находился в больнице, мне подсунули книгу «Расследование компьютерных преступлений», которую написал Кевин Мандиа, сейчас он глава крупнейшей компании FireEye, а тогда возглавлял Mandiant. И я подумал, что «кибербезопасник» — это лучшая вещь, которой я могу заниматься, в мире. Но оказалось, что не так-то просто найти такую профессию, нет ни одного бизнеса, который бы этим занимался. Поэтому, когда нет [того места], куда можно пойти работать, приходится делать свой бизнес.
— Это же не сразу произошло? Идея, конечно, очень романтическая, хотя, мне кажется, что в момент, когда не было Google, Facebook и Uber, непонятно было, от чего людей надо защищать. Сам факт создать свою компанию в 17 лет, как это? Что вы делали?
— Сначала я долго искал работу, компанию, которая бы этим занималась, — наверное, четыре месяца на это ушло. Но сама эта идея не выходила из головы. То есть, я все больше и больше про это читал. А потом я предложил одногруппникам сделать это вместе. Но тогда слово «компания» вообще не звучало, оно появилось чуть позже. Вот само по себе это началось через четыре месяца после прочтенной книжки.
— А что «это»? Кто был вашим первым клиентом, что было вашим первым действием?
— Сначала мы начали очень много читать на тему компьютерной криминалистики. Мы сделали сайт. Потом наш университет (МГТУ им. Баумана) дал нам помещение, что было очень любезно с его стороны. Это стоило ровно ноль. А потом мы все стали амбассадорами компании, у которой не было клиентов. И первый клиент был, так скажем, друг моего брата, у которого была проблема с анонимными письмами, которые приходят в компанию (шантаж, вымогательство). И вот это было расследование, которое мы без всякого знания завершили. Естественно, мы никому не говорили, что мы ничего не знаем, и делали вид, что мы вообще суперпрофессионалы. Поэтому это очень важно, иногда надо… ни в коем случае не обманывать клиентов, но не говорить, что у вас нет опыта.
— А вы нашли шантажиста и того, кто за этим стоял?
— Мы нашли шантажиста и того, кто за этим стоял, и получили от этого первый огромный инженерный оргазм в нашей жизни.
— Кто-то говорил: «Кому-то нравится, когда верят, кому-то — когда не верят, но главное — результат». А как появились следующие клиенты?
— Выяснилось, что мы просто оказались в нужное время в нужном месте и таких проблем очень много у людей. Вроде как информационная безопасность существует, но, когда она не срабатывает, люди не знают, что делать. У кого-то могут украсть деньги, у кого-то — информацию, кому-то создают сайты-двойники, у кого-то серьезные кибератаки происходят. И два способа начали работать: хорошо сделанная поисковая индексация, потому, что мы были первыми и у Google по запросам о компьютерной криминалистике и киберрасследованиях, вторая вещь — сарафанное радио. Люди быстро стали говорить, что вот есть странные ребята в Бауманском университете, к ним можно обратиться по сложным вопросам. И так вот все начало расти. К 2006 году мы уже расследовали сложные уголовные дела для полиции и первые сложные уголовные дела для СК.
— Вы за справедливость сейчас или за силу?
— Я за справедливость через силу. Это очень хорошая справедливость такая. Полиция нам будет нужна, чтобы легально те материалы, которые мы готовим, превратить в оперативно-разыскные мероприятия, в доследственную проверку, следственную, и уже передать это дело в прокуратуру и суд. То есть мы работаем не на государство, а на вас как на бизнес, превращая это дело в легально законченное.
— Можете рассказать про один из своих крупных западных заказов, и что вам в нем показалось отличным от того, что происходит в России?
— Я не буду раскрывать название, но это компания с головным офисом в Великобритании и у нее есть фабрики, которые находятся в Москве и в Казахстане. И в Казахстане у них что-то произошло с производством, были какие-то странного рода аномалии. Они вызвали нас из Москвы, чтобы мы сделали так называемый incident response. Что удивительного в этой истории, российские компании в то время никогда бы частную компанию в эту историю не привлекли, потому что для информационной безопасности признаться, что ты с чем-то не справился и зовешь молодых ребят разобраться в том, за что тебе платят деньги, — это огромная психологическая проблема. А для западных компаний это была абсолютная норма, потому что расследовать такие случаи не должна внутренняя служба безопасности по многим причинам, например, из-за конфликта интересов, потому что это может быть их недочет. И вот в западных компаниях меня поразило, что это психологическая норма и все к этому хорошо относятся. Я так могу сказать: большинство вещей, которые мы делали, особенно в сфере технологий, — первые заказчики были не в России. Технология, которая нас защищает от атак на ранней стадии, — первым государством, которое ее купило, был Сингапур.
— Но, как я понимаю, система защиты — это какое-то коробочное, стандартизированное решение. А изначально вы продавали расследования?
— Изначально мы продавали только расследования. Это была такая работа патологоанатома, состоящая из нескольких частей: расследования, то есть аналитическая работа, чтобы найти пути к поимке злоумышленника, компьютерная экспертиза — работа с носителями информации, где есть следы какого-то преступления. Причем компьютерная криминалистика не всегда связана с компьютерными преступлениями, потому что проинспектировать можно телефон убийцы, компьютер наркоторговца или педофила. То есть, при помощи компьютерной криминалистики раскрываются разного рода преступления. А технологии мы начали делать в 2010 году и начали их делать не потому, что это было модно — заниматься кибербезопасностью в плане софта, а из-за того, что мы столкнулись с парадоксом. Мы столкнулись с тем, что мы делаем все больше и больше расследований, связанных с хищением денег у юридических лиц через интернет-банкинг. Это случается с крупными компаниями, которые очень хорошо защищены, но тем не менее это происходит. Мы знали, как это происходит, и поняли, что можем автоматизировать процесс нахождения других компьютеров внутри сети клиентов, которые содержат тот же вирус, который не видят антивирусы. Сначала мы использовали эти средства как инструмент криминалиста, чтобы не вручную искать те же вирусы. А потом заказчики стали спрашивать: «А можно эту вашу штучку купить, потому что она видит интересные вещи?» И таким естественным образом появился один из первых наших продуктов.
— Но штучка — это ведь не антивирус?
— Нет, это сетевой анализатор трафика, который без установки чего-либо на компьютере находит вирусы, которые спокойно работают на компьютере с антивирусом.
— Я еще слышала, вы говорите, что антивирус — это гомеопатия. Почему антивирус, с вашей точки зрения, не работает?
— Если бы он работал, то большинство хищений денег, вирусов-шифрователей, вирусов, которые похищают информацию, вирусов, которые связаны с политически мотивированными хакерами, не запускались бы на компьютере, на котором установлен антивирус. А это происходит в 86% случаев. Все заражения происходят на компьютерах, на которых стоит антивирусная защита.
— То есть нас хакают, но мы защищаем себя совсем не от того, что нам угрожает?
— Так точно. Антивирусные компании не хотят вам об этом говорить. Но в целом вся проблема информационной безопасности в том, что люди не совсем понимают, что такое опасность, как она реализуется, кто эти люди. Ну и, в частности, почему люди до сих пор продолжают платить за антивирус, хотя это абсолютно бесполезно. Я читаю, что антивирус — это нужная вещь, но бесплатные антивирусы ничем не хуже платных. И этого явно недостаточно, чтобы по-настоящему защититься.
— А за этим есть какая-то организованная структура или это дело одиночек в основном?
— Были фазы, наверное, в 1998–1999 году, когда одиночки стали организованной преступностью, потому что в большинстве стран мира очень быстро начал развиваться интернет-банкинг, у большинства стали появляться карточки и смартфоны, и это предоставило злоумышленникам огромное количество способов монетизации. Преступность ведь не просто так существует, в основном ей нужны деньги. И вот до этого времени по-настоящему много денег заработать было сложно. А когда все люди начали проводить деньги через интернет-банкинг, у преступников появилась большая мотивация. И в эти годы было видно, что классическая организованная преступность, которая в каком-нибудь Челябинске занималась рейдерством по заводам, отмыванием денежных средств, интегрировалась с кибергруппировками (группа Carberp, группа Lurk и другие).
Рассмотрим типичное преступление — хищение денег в интернет-банкинге. Важно заразить компьютер бухгалтера вирусом и отправить куда-то платежное поручение. Вот вторую часть преступления — как эти деньги будут бегать по России — делает организованная преступность, которая занимается обналичкой. Потом туда вошли сотрудники правоохранительных органов, хорошие юристы, инвестиционщики, чтобы правильно вкладывать деньги, и так далее.
— Назовите три лайфхака для обычного пользователя, которые помогут защититься и чувствовать себя защищенным с точки зрения личной цифровой информации.
— Я вам не скажу три, скажу один: просто читайте на эту тему. Darkreading, Security Lab. Если вы будете знать, как действуют хакеры, вы сможете защищаться. А просто дать вам один совет… Ну, поменяйте роутер домашний. Мало кто обновляет домашние роутеры. Сейчас огромное количество преступлений связано с домашними роутерами.
— Вы имеете в виду сам девайс?
— Сам девайс нужно обновлять. Но не покупать новый, а заходить в административную панель и ставить галочку, чтобы он обновлялся. И меняйте пароль хотя бы раз в квартал, чтобы уберечь себя от чего-то безобидного вроде того, что у вас будет кто-то майнить биткоины, и поэтому у вас будет тормозить интернет, или обидного, когда методом изменения маршрутизации у вас могут увести вашу почту, ваши деньги из интернет-банкинга и заканчивая страшными преступлениями. И третий совет: везде, где только можете, в почте, в Instagram, используйте двухфакторную аутентификацию. И желательно, чтобы пароль приходил не в виде SMS, а на какое-нибудь приложение типа Google Authenticator.
— И это действительно помогает?
— Я могу сказать так: если у вас есть интернет-сервис, где только логин и пароль, вопрос очень короткого времени, что вас поломают. Даже если у вас лично очень сильный пароль, но ломают же периодически всю социальную сеть LinkedIn, а потом выгружают базы данных и продают. А вот если у вас есть двухфакторная аутентификация, то даже если хакеры украли ваши логин и пароль, то в ваш аккаунт они не попадут.
—Дэвид Городянский создал крупнейший в мире VPN. И он пропагандирует это как решение проблемы злоумышленников. Работают ли они?
— Если у вас конечное устройство заражено, то VPN вас не защитит. Он защищает только от перехвата информации между вами и конечным сайтом либо сервисом. Он не защитит вас от взлома. Для чего он вообще нужен? Ну, если вы часто путешествуете и подключаетесь к публичному Wi-Fi, то очень странно делать это без VPN. Если человек говорит, что VPN — это средство информационной безопасности, которое от всего защитит, — это точно неправда. В принципе, если человек говорит, что это средство на 100% вас защитит, то этот человек просто врун, такого не бывает.
— Давайте представим, что я человек, но у меня еще и есть компания, вот три лайфхака корпорациям, как защитить информацию о себе и о своих клиентах.
— Для умных корпораций я бы купил страховку от компьютерных преступлений. Компьютерное преступление — самое вероятное из всего, что есть в Уголовном кодексе, что может произойти с вами и вашей компанией. Вероятность очень велика.
— Сейчас бизнес работает с онлайн-банком, платит зарплату и имеет CRM и корпоративную почту. Какова вероятность этой компании, что она столкнется с киберпреступлением?
— Если компьютер, с которого вы захотите в интернет-банкинг, еще использовать для того, чтобы сидеть в интернете, ваша вероятность будет 25%. Наличие компьютера, который платит зарплату в юридическом лице и имеет доступ к интернет-сёрфингу, — вероятность очень высокая. Если у вас более правильная система разделения компьютеров, то вероятность будет меньше. Но есть еще вирусы-вымогатели, вирусы-шифровальщики, DDoS-атаки…
— То есть, вероятность спуститься с этой сцены и сломать ногу и то, что наш бизнес будет атакован, — гигантская разница.
— Есть официальная статистика Европола: за полторы минуты в Европе происходит одно ограбление квартиры и 3000 атак, которые приводят к потере денег. Это зарегистрированных в полиции.
— А что будет в перспективе 10 лет?
— Если наши страны не договорятся, то ничего хорошего. Бахнет какая-нибудь критическая инфраструктура, и случится нехороший катаклизм. Потому, что политики, которые сейчас занимаются информационной безопасностью, — не инженеры. Я считаю, что если ты политик и занимаешься информационной безопасностью, то ты должен сдать экзамен, чтобы понимать о чем ты говоришь. То же самое с интернетом. Если ты регулируешь интернет и не знаешь, как он устроен, то ты должен сдать депутатский мандат и уйти…
— Как регулировать интернет, когда там столько преступлений?
— Они совершаются, потому что политики не могут между собой договориться. У стран, между которыми есть хоть какие-то разногласия, нет взаимодействия по компьютерным преступлениям. Естественно, этим пользуются злоумышленники. Как у нас говорят: «Если хакер ворует деньги в США, он — патриот». То есть их вообще никто в России не будет трогать, пока они воруют в США… Я видел много политиков и могу сказать, что родина, страна, мир в опасности из-за этих людей. Для большинства людей хорошо, что все преступления хакеров финансово мотивированы, поэтому они не трогают объекты критической инфраструктуры, потому что это никаким образом не монетизируется. И это стремно, потому что это будет классифицировано как терроризм. Ноль денег и терроризм. Поэтому это бессмысленно.
Возвращаясь к компаниям, я бы сначала застраховался, большинство крупных страховых компаний начали это делать. Это стоит разумных денег, они покроют множество расходов, если, не дай бог, с вами что-то случится. Во-вторых, правильно оцените риски, которые с вами могут произойти. В зависимости от вашего бизнеса с вами может произойти та или иная вещь. И защищаться нужно от того, что с вами может произойти. Например, если вы ведете бизнес, то у вас могут украсть деньги через систему интернет-банкинга. Защитить интернет-банкинг стоит ноль, нужно просто знать, как злоумышленник доставляет вирус на этот компьютер. Стоимость — это прочесть несколько статей по настройке рабочего места бухгалтера. В чем парадокс? Вот приходим мы в компанию, которая торгуется на бирже NASDAQ, и смотрим карту риска, которую составила какая-то компания из «большой четверки». И это абсолютно лженаучный документ. Те риски, которые там отражены, извлечены из памяти тех людей, которые принимали участие в опросе. Я часто ссылаюсь на этот труд Даниэля Канемана, лауреата Нобелевской премии по экономике, про то, как люди принимают неправильные решения, основываясь на прошлом опыте.
Второй совет компаниям — смотрите статистику уголовных дел, что происходит с другими компаниями, обменивайтесь опытом. Совет номер три — спросите у того, кто занимается у вас информационной безопасностью, название преступных кибергруппировок, которые действуют в вашей стране на данный момент. Если он их не знает, увольте его, потому что человек подвергает вашу компанию опасности.
— Вернувшись к корпоративному сектору, мне кажется, что самый уязвимый сектор для кибератак — финансовый. Если компания Х должна тратить Y% на компьютерную безопасность, то финансовая компания должна удвоить эту сумму. Так ли это?
— Для преступников интересна любая компания, у которой есть деньги. Group-IB — не финансовая компания, но атаки на наш банкинг периодически бывают. Вирусы-шифровальщики работают для любой компании, даже если она не финансовая. Если у вас есть смартфон, то у вас может украсть деньги кто угодно. Конечно, есть группы, они называются специальными, специализирующиеся на атаках финансовых компаний, потому что это дольше и денег с этого можно получить больше. Есть две специализации: одна — это очень сложно единоразово взломать, а вторая — массовым образом по чуть-чуть.
— Сколько компания должна тратить на информационную безопасность? Это же должно как-то закладываться, если количество таких преступлений увеличивается?
— Такой цифры нет. Нет никакой корреляции. Мы делаем эти патологоанатомические вскрытия и видим, что компании тратят очень много денег, но защищаются не от того. Вот представьте, вы покупаете для защиты подводные лодки. Они вам помогут?
— Они мне не нужны.
— Вот и у меня люди часто покупают то, что им не нужно. Могу сказать, что если вы правильно оцениваете свои риски – это примерно равняется стоимости атаки. В целом, если вы большая компания, знания + хорошая команда позволят вам тратить на безопасность адекватные деньги. Если человек говорит, что он на 100% обезопасил ваш бизнес, то он профнепригоден, он должен мести улицы.
— Я знаю, что ваша компания выпустила отчет «Глобальные тренды развития киберпреступности. Прогноз киберугроз». Вы могли бы обозначить пять угроз, к которым стоит готовиться в ближайшее десятилетие?
— Если раньше преступники были мотивированы лишь финансово, то теперь появились две новые мотивации: политическая и террористическая. Их задача — разрушение критической инфраструктуры.
— Сеять хаос и ужас?
— Ну, для политических кибергрупп больше характерно контролировать и управлять, а уже при войне — сеять хаос и ужас. А для террористов это сразу сеять хаос и ужас. Хорошо, что террористы пока не очень прокачанные и умные, хотя это просто вопрос времени. Плохо, что они могут пользоваться достижениями финансово мотивированных преступников. Потому что цифровое оружие для всех одинаково, и если произошла утечка исходного кода, то все могут сразу ей пользоваться. И второе: их задача — критическая инфраструктура, которая достаточно не защищена, потому что люди жили в парадигме, что не происходит инцидентов, потому что они делают все правильно. На самом деле их просто никто не атаковал. И это главное, о чем бы я рекомендовал почитать в отчете не техническим специалистам.
— Но кроме того, чтобы поддаться ужасу, что обычный человек может с этим сделать?
— Вообще никакого ужаса. Просто читайте про компьютерную безопасность простым языком хотя бы по 20 минут в день, как в спорте, и вы будете защищены.
— А что делать, если из Uber или Facebook утекло 50 млн данных? Я понимаю, что для них это капля в море, но не хотелось бы оказаться в этом числе.
— Ну, в первую очередь это личная гигиена, разные пароли и двухфакторная аутентификация. Если вы видите новость, что сколько-то данных утекло, — меняйте пароль.
— У меня складывается впечатление, что утечка данных у компаний-гигантов станет обыденной, рутинной новостью в ближайшие 3–5 лет.
— Она уже стала, просто вы не видите такого потока данных, который видят компании в сфере кибербезопасности. Это происходит постоянно из-за незнания людей, почему это происходит. Знания — это ключ к изменению парадигмы информации.
— Вы можете еще дать парочку советов, как отличить фишинговый e-mail от нефишингового?
— В фишинговых письмах часто есть ссылка, если вы на нее не перейдете, а посмотрите, куда она ведет, то увидите, что она сильно отличается от оригинала. Фишинговое письмо можно также отследить по эмоциям. Как правило, они стараются вызвать у вас три эмоции: страх (вас заблокировали, взломали, сменили пароль), любопытство (пользователь расшарил вам файл на DropBox) и жадность (вы выиграли что-то). В этот момент вам стоит остановиться и подумать. Вот была преступная группа «Шалтай-Болтай» или «Анонимный интернационал». Основной метод их взлома был — фишинговые письма и три вот эти эмоции. И было очень забавно, как многие знаменитые люди попадались на жадность. Но, видимо, $1 — это $1, и он никогда лишним не будет.
Сейчас для достижения необходимого уровня безопасности недостаточно традиционных методов защиты — антивирусов, шифрования данных и т. д. Для того чтобы бороться с киберпреступностью, необходимо сосредоточиться на изучении того, как работают хакерские группы, которые постоянно совершенствуют свой арсенал. Средства защиты должны отвечать новым угрозам. Необходимо использовать современные продукты и технологии, которые способны проактивно предотвращать кибератаки на ранних стадиях. Либо охотишься ты, либо будут охотиться на тебя.
Источник интервью: thebell.io