Регистрация
Зарегистрируйся на сайте и получи доступ к полному контенту сайта и подпискам бесплатно!

Илья Сачков: жестокие будни компьютерной криминалистики

133
0
9 338 0
Аудио Текст
31 января 2014

Основатель и генеральный директор компании Group-IB Илья Сачков знает киберпреступников в лицо. В буквальном смысле. Не пропустите леденящих душу подробностей компьютерной криминалистики, которые Илья поведал Александру Плющеву.

Из передачи вы узнаете:
— почему киберпреступник — это вор, а не романтический авантюрист-одиночка;
— насколько мировой оборот киберпреступности превышает оборот марихуаны;
— почему Илья Сачков никогда не станет профессором Мориарти;
— почему после проверки на детекторе лжи некоторые сотрудники покидают Group-IB;
— взлом подмосковных радаров: хулиганство или корыстный умысел;
— почему иностранные компании обращаются к российской Group-IB;
— почему Илья Сачков часто встречает хакеров на профильных конференциях по безопасности;
— как киберпреступники угрожают лично Илье Сачкову;
— как Эдвард Сноуден помогает международной экспансии российской компьютерной криминалистики;
— и многое другое.

Александр Плющев: Добрый день, уважаемые зрители! Это SeoPult.TV и я, Александр Плющев. Вы смотрите программу «Удельный вес». И сегодня у нас в гостях человек, знающий киберпреступность в лицо. Илья Сачков, основатель и генеральный директор компании Group-IB. Добрый день, Илья!
Илья Сачков: Здравствуйте, Александр!
А. П.: Какой он — киберпреступник? Ведь наверняка есть такое заблуждение романтическое, что это Робин Гуд виртуального пространства и, может быть, даже бескорыстный человек в некотором смысле, одиночка. Какой он на самом деле?
И. С.: Начну с конца: он точно не одиночка. Одиночки все умерли в 1990-х годах — в виртуальном смысле. Сейчас все работают группами. И не Робин Гуд. Робин Гуд, если литературно описывать, — человек, который у кого-то отбирает и кому-то отдает. Киберпреступник сейчас отбирает деньги (чаще всего ворует) и оставляет их себе либо делится со своими партнерами. Если говорить о возрасте, то сейчас это люди в основном, на 80%, до тридцати лет, это молодежь. Не могу сказать, что они хорошо образованы, имеют высшее образование, — некоторые не закончили школу. То есть они коренным образом отличаются от тех русских хакеров, которые были в начале 1990-х, которые имели хорошее математическое образование, это были грамотные математики. Я такую работу веду после расследований, составляю психологический портрет, иногда с родителями общаюсь. Я хочу понять какую-то социальную статистику этих людей. Это не очень благополучные люди: большое количество мата в языке, проблемы в семье, плохое воспитание, недостаточное внимание родителей, отсутствие каких-то моральных устоев. То есть, по большому счету, это преступность, но в виртуальном пространстве, потому что в виртуальном пространстве совершать преступления сейчас просто модно. И если человек называет себя хакером, то это с точки зрения окружения гораздо круче, чем, например, воровать в магазине.
А. П.: Повышает его социальный статус?
И. С.: Абсолютно точно. Плюс повышает его социальный статус то, что он покупает в 20-21 год квартиру, машину, дом в другой стране, хотя этого не могут позволить его родители и никто из его окружения. Поэтому у него, с одной стороны, и профессия модная — хакер, айтишник в области кибербезопасности. Они же не всегда говорят, что они воруют деньги. Обычно это как-то…
А. П.: Все-таки некоторый романтический налет есть у этого описания.
И. С.: Абсолютно точно. И, к сожалению, еще пресса очень сильно его нагнетает.
А. П.: Романтизирует.
И. С.: Романтизирует. Я уже от этого примера устал, но есть такой господин Аникин из Новосибирска, который украл 10$ млн. Но в прессе, когда его осудили и дали условный срок за эту кражу, его назвали героем, который воровал у иностранного банка. Поэтому для молодежи это не совсем хороший пример, потому что, по большому счету, он преступник.
А. П.: А каков оборот киберпреступности в мире и какую долю в нем занимает Россия? Вообще, как вы считаете эти суммы?
И. С.: Мы считаем очень просто. Мы отталкиваемся от России и СНГ. Тут мы видим большую часть инцидентов, потому что во многих мы принимаем участие с точки зрения расследований. Тех, по которым возбуждаются уголовные дела, около 80%. Соответственно, мы видим ущербы, конкретно сколько денег украли злоумышленники. Плюс многие компьютеры приходят к нам на экспертизы и на исследования. Там видна переписка злоумышленников, иногда из базы данных, биллинги их платежных систем. Видны обороты, которые дает та или иная система: партнерская программа, что касается спама, например, или сайт, на котором можно заказать DDoS-атаки, если к нам сервер приходит на экспертизу. Таким образом мы получаем некоторую часть статистики. Потом мы проводим по определенной математической модели расчеты. Она, в принципе, есть в нашем отчете, она описана. И получаем определенное число. Дальше мы получаем статистику из ЦБ РФ, потому что с прошлого года банки обязались сообщать об инцидентах в платежных системах. Получаем статистику из МВД относительно количества заявлений по компьютерным преступлениям и проводим расчет. Соответственно, оборот киберпреступности достаточно большой, он превысил уже оборот наркотических средств, таких как марихуана и гашиш, в России. И, соответственно, он в районе, если я не ошибаюсь, 4$ млрд.
А. П.: В вашем отчете — 4,5$ млрд, да.
И. С.: Да.
А. П.: А можем мы оценить место России в мире в этом смысле?
И. С.: Это, получается, четверть или пятая часть, где-то так, от мирового рынка киберпреступности.
А. П.: А на каком мы месте?
И. С.: Мы входим уверенно в десятку стран, скажем так. Я не могу сказать, что Россия на первом месте, потому что вообще странно сейчас ставить страну на место, и злоумышленники на самом деле сейчас уже не имеют национальности. То есть они имеют национальность, но они путешествуют по всему миру, могут совершать преступления в разных странах. Но я бы Россию поставил на четвертое-пятое место.
А. П.: То есть это люди из России, которые находятся физически в России?
И. С.: Да, но мы две вещи оцениваем.

Есть русскоговорящий сегмент киберпреступности: это страны постсоветского пространства, это эмигранты разных волн из Советского Союза, — и есть российский. Российский оборот — это 4,5$ млрд. Русскоговорящий сегмент, естественно, больше. Он может составить треть или половину от всего рынка.

И могу сказать точно одно: все схемы компьютерных преступлений, именно первое, что-то новое происходит от русскоговорящих людей. Все всемирно известные вирусы, которые распространялись по всему миру, за исключением таких шпионских вещей, как Stuxnet, — это не россияне, но русскоговорящие люди, по разным причинам. И причиной можно назвать то, что у нас волна 1990-х была очень образованная — волна людей, которые не могли найти работу. Особенно в регионах России, в академгородках, в университетах по всей стране были талантливые люди, которые не могли найти работу, хотя могли программировать, вычислять математические модели. И в чем реально сильны русскоговорящие люди, так это в написании вредоносного ПО.
А. П.: Организованный ли это бизнес скорее или это территория одиночек?
И. С.: Сейчас это организованный бизнес. И прослеживаются организованные преступные группы настоящие. В конце 1990-х — начале 2000-х продавали оружие, похищали людей, сейчас — киберпреступность. Почему? Потому что огромный оборот денег, общество не понимает, что это такое — киберпреступность. Или мы сейчас проведем эксперимент: выйдем на улицу, возьмем 20 людей, спросим у них, кто такой хакер. Вряд ли кто-то сможет ответить. Если кто-то ответит, это будет какой-то романтизированный образ. Оружие, наркотики можно потрогать, на них можно посмотреть, можно провести экспертизу, и общество понимает: наркотики — плохо, оружие — плохо. Что такое хакер, компания либо человек понимает только тогда, когда у него что-то плохое произошло, они поняли, из-за чего это произошло, и тогда уже другое отношение к этому. Но по-прежнему в целом никто этого не понимает.
А. П.: Поскольку мало кто сталкивался сам лично.
И. С.: Сейчас уже много кто сталкивался. Если в корпорации или в компании происходит инцидент, в компании работает 6 тыс. человек, обычно об инциденте в итоге знают акционеры, топ-менеджмент, директор по безопасности, IT-директор. Все равно не вся компания об этом знает, потому что это влияет на цену акции, например. Так вот, поэтому организованная преступность за это очень плотно взялась. Если процент по обналичиванию денежных средств, просто незаконному, когда компании требуются наличные деньги, — это преступление, процент может составлять 4, 6, 10%, то процент обналичивания денег, похищенных хакерами, составляет 50%. И эти экономические мероприятия по обналичиванию денег — организованная преступность, и они берут 50%. Это очень хороший для них бизнес.
А. П.: В свои 18 лет у тебя тоже была, наверное, возможность выбрать этот романтизированный образ, романтизированный путь киберпреступности. Но ты выбрал совсем другой — борьбы с киберпреступностью. Как это произошло?
И. С.: Во-первых, почему я выбрал? Потому что мне нравилось расследовать. Как-то воспитание и образование — изначально на стороне добра стараться быть. При этом, естественно, технически и с точки зрения организации я знаю, как это все происходит. Я надеюсь, со мной такого никогда не будет, но, зная уловки в законодательстве и технические вещи, я могу стать таким Мориарти, очень правильно все делать. Но, к сожалению для преступников, к счастью для себя и моих друзей и знакомых, я никогда этим не буду заниматься.?Почему я стал этим заниматься? Я работал в области информационной безопасности и в школе интересовался именно безопасностью, но очень быстро понял, что работа в корпорации именно по обеспечению безопасности будет достаточно скучна. Российский рынок безопасности отстает от западного, и чаще всего безопасность в бизнесе сейчас — это такой придаток, который либо по моде внедряют в компанию, либо просто… В больших компаниях уже понимают, что это сохраняет деньги, но все равно это постоянное сидение в офисе с 9:00 до 18:00 и защита компании. И иногда компания даже не понимает, что она защищает. И чисто случайно я попал в больницу, мне друзья привезли книжек почитать. Одна из книжек была американской, про расследование компьютерных преступлений. Автор этой книжки четыре дня назад продал свою компанию за 1$ млрд другой американской компании. Они делали в США расследования, то есть работу по мониторингу и по расследованию компьютерных преступлений. И мне стало интересно, кто этим занимается в России. Я захотел из корпоративного сектора перейти в такую компанию. Оказалось, что этим никто не занимается, кроме правоохранительных органов, то есть Управления К, на тот момент. Я на конференции увидел сотрудника Управления К, спросил, можно ли устроиться на работу, он сказал, что нет, что нужна школа милиции либо рекомендации какие-то. На тот момент я учился в Бауманке на кафедре информационной безопасности и подумал, что можно с кафедрой поговорить о том, чтобы помогли открыть лабораторию. Не могу сказать, что они помогли, но дали помещение. И, собственно говоря, я у брата занял 5$ тыс., и мы начали с одногруппниками изучать компьютерную криминалистику и достаточно быстро уже получили первые заказы на расследование.
А. П.: Изучать компьютерную криминалистику — как и где? Не было же такой науки как таковой здесь?
И. С.: Здесь не было, но она была на Западе, и на Западе она была 10-15 лет уже. То есть было очень много литературы, и до сих пор ее много, труды научные, программы, рынок ПО, истории успеха разных расследований. Это 2003-2004 год — начали уже очень сильно развиваться платежные системы в России. Первые инциденты произошли публично, и этот рынок постепенно начал раскачиваться. А так как происходили инциденты, еще в УК 1996 года были прописаны эти статьи по компьютерным преступлениям, так или иначе, компаниям нужна была сначала компьютерная криминалистика. Параллельно некоторые компании хотели просто узнать, кто это сделал. Постепенно-постепенно, откровенно говоря, мы на первых заказах учились это делать, но мы их выполняли. И потом наработали практику и попали в нужное время, в нужное место, очень быстро рынок начал развиваться. Вначале я был один, потом нас было четверо, сейчас в компании сто человек и офисы в трех странах.
А. П.: А кто был первым заказчиком и в чем состоял заказ? И вообще, как вы вышли на рынок, потому что здесь есть проблема доверия наверняка. Компания же не всех пустит к себе со стороны, если у тебя нет какого-то наработанного опыта, авторитета.
И. С.: Помогло то, что, с одной стороны, все практически работали уже в компаниях в департаментах по информационной безопасности, то есть на это можно было сослаться. Во-вторых, так или иначе, бренд Бауманки…
А. П.: …которую ты окончил в свое время?
И. С.: Да, я ее окончил, даже получил красный диплом. Бренд Бауманки для многих руководителей компаний либо IT-директоров, директоров по безопасности на тот момент оставался брендом. Сейчас, к сожалению, не могу сказать, что российские вузы выпускают хороших студентов по нашему направлению. И помогло вот это. Собственно говоря, никто особо не надеялся, но понимали, что служба информационной безопасности в компании не всегда это может сделать. И плюс ко всему не всегда было доверие к службе информационной безопасности. Международный стандарт требует, чтобы независимый кто-то проводил расследование. Потому что если акционер компании не доверяет «безопаснику», то ему нужен тот со стороны, кто это делает. И все понимали, что да, это студенты, да, они очень молодые. И по-прежнему сейчас, несмотря на то что у нас гигантский опыт и то, что мы сейчас делаем, — особо сложные экспертизы, периодически лично мой возраст мне мешает. Типа, 27 лет — как вообще и почему? Непонятно. И у нас возраст в компании — на 80% люди до 30 лет сейчас. Хотя экспертизы мы делаем иногда государственной важности, скажем так.
Первый заказ был связан с тем, что именно по знакомству к нам обратились, знали, что мы уже начали этим заниматься, и это было связано с утечкой информации, точнее, с шантажом одного сотрудника в достаточно крупной корпорации. Нашей задачей было узнать, кто его шантажирует по электронной почте. И мы это достаточно быстро сделали. Это было, честно говоря, просто, в этом не было ничего сверхъестественного. Мы уже на первом заказе отбили некоторые затраты на открытие компании, на закупку оборудования.
А. П.: Ты говорил: «...если акционер не доверяет „безопасникам“». А это правда, что у вас в самой компании Group-IB все, включая тебя, раз в год проходят проверку на полиграфе?
И. С.: Так точно. И иногда больше.
А. П.: Чаще?
И. С.: Иногда чаще, иногда это может быть внеплановая проверка. Это мы делаем по одной простой причине: доверие к компании — самый главный наш актив. То есть, если хоть раз мы допустим утечку информации, факт покупки сотрудника, факт того, что мы сделали какую-то поддельную экспертизу, на том наш бизнес и закончится. Поэтому мы вынуждены тратить деньги не только на проверку на полиграфе, но и на много других мероприятий внутри. В том числе мы делаем провокации периодически для сотрудников.
А. П.: Сколько лет существует компания, получается? Больше десяти?
И. С.: Получается, десять.
А. П.: А проверки проводятся?
И. С.: Каждый год.
А. П.: И были случаи, когда кто-то не прошел?
И. С.: Не было случаев, чтобы кто-то не прошел, но были случаи, что после проверки на полиграфе человек покидал компанию, потому что мы понимали, что у него есть шанс уже уйти.
А. П.: Потенциальный?
И. С.: Потенциальный шанс изменения в психологии, что он может совершить действие, которое повлияет на будущее компании. И в 2013 году с двумя людьми, в которых мы могли быть уже не уверены, мы расстались.
А. П.: Ты занимаешься расследованием киберпреступлений, это невозможно без наших правоохранительных органов, у которых есть имидж неповоротливых, бюрократизированных и т. д. Как удается наладить с ними взаимодействие? Насколько оно плодотворно?

И. С.: Мы хоть и занимаемся расследованием («расследование» — просто слово понятное), по большому счету, мы делаем аналитику, которая позволяет правоохранительным органам в дальнейшем использовать ее, правильно оформить и человека или группу лиц наказать. Мы не конкуренты, мы вещь, которая правоохранительным органам необходима по законодательству.

В случае расследования компьютерных преступлений правоохранительные органы обязаны привлечь специалиста на этапе до уголовного дела, после возбуждения уголовного дела — эксперта. Мы прямо вписываемся в необходимость привлечения нашей организации до и после возбуждения уголовного дела. Проблема с бюрократизацией в российских правоохранительных органах есть, но это не только в России происходит. Это происходит в большинстве развитых стран, которые понимают, что информационные технологии развиваются гораздо быстрее, чем законодательство. Наш уголовный кодекс был создан в 1996 году, именно 28-я глава по компьютерным преступлениям не претерпела больших изменений. И государство пока для себя на самом деле не очень почувствовало важность компьютерных преступлений. Именно поэтому штат подразделений, которые занимаются расследованиями, очень маленький. Есть определенная бюрократизация. Главная проблема правоохранительных органов, на мой взгляд, недостаток людей, которые работают на расследовании компьютерных преступлений. Потому что отдельного следствия по компьютерным преступлениям нет, есть отдельное подразделение в следственном комитете. А если говорить о преступлениях против обычных граждан, то расследованием именно как следователь вашего преступления будет заниматься следователь «с района» либо, может быть, «с города», в чьи обязанности входит, например, расследование машинных краж, квартирных краж, убийства. И тут попадается дело, которое требует двух лет работы, и, естественно, оно не всегда вызывает желание по нему двигаться. Честно могу сказать, что в России лично я знаю не больше пятнадцати следователей, которые могут достойно вести компьютерные преступления. При этом оперативных сотрудников, которые… Не все, наверное, зрители понимают разницу между следователем и «опером». «Опер» собирает информацию о преступлении и передает следователю, а следователь уже возбуждает уголовное дело и проводит более тщательное расследование. Это две разные стадии. То есть Управление «К» — это оперативное подразделение, и там как раз работают «опера». Они профессиональные, но их очень мало. Людей, которые расследуют DDoS-атаки — то, что беспокоит наши СМИ больше всего, когда сайты перестают быть доступны, — по России десять человек.
А. П.: Правильно ли я понимаю, что сейчас наши правоохранительные органы способны расследовать далеко не все, а может быть, даже меньшую часть компьютерных преступлений?
И. С.: Да, но это не связано с правоохранительными органами. Это связано с тем, что международное законодательство не позволяет это делать. Интернет глобальный, но в каждой стране свои законы. Если, скажем так, хакер находится на территории России и совершает преступление против российского гражданина, я думаю, наши правоохранительные органы на 99% его способны найти. Если человек совершает преступление против другого государства, находясь в России, или находится, например, в Таиланде и ворует деньги из России, его никогда в жизни не посадят на данный момент. Это идеальное преступление сейчас против граждан РФ заключается в отъезде в другую страну и в продолжении того, что ты делаешь.
А. П.: Года три назад ты упоминал, что 70% заказов из МВД вы делаете бесплатно. Получалось, что 30%, видимо, за деньги. Как сейчас изменилась эта структура коммерческих заказов и социальных обязательств?
И. С.: Мы сейчас увеличили, наверное, к 60-70% мы подвигаемся, но по-прежнему мы делаем массу некоммерческой работы. Потому что, скажем так, для того чтобы возбудить уголовное дело, оперативник должен провести исследование. Оперативный бюджет на исследование порой не превышает 30 тыс. руб. при стоимости экспертизы, например, в 300 тыс. руб. Поэтому, для того чтобы продвигать развитие законодательства и все-таки наказания преступников, периодически нужно делать исследования бесплатно. Экспертизу чаще всего мы сейчас уже делаем за деньги. Но на самом деле проблема в этом государстве есть. В регионах, например, за экспертизу иногда готовы платить 5-10 тыс. руб., а это невозможно ни из каких экономических моделей. Даже при зарплате криминалиста в 30 тыс. руб. он экспертизу может делать три месяца, и это просто невозможно. На данный момент просто государство привыкло, что экспертиза, например, по тем же компьютерным преступлениям, которыми мы, например, не занимаемся, стоит одинаково. Осмотр диск с контрафактным ПО и осмотр компьютера, с которого хакер, например, украл деньги у какого-то банка, — это две совершенно разные задачи с точки зрения времени и человека, который будет это делать. А экспертиза для государства стоит одинаково, в каком-нибудь городе Ростове — 5 тыс. руб. Поэтому такие вещи приходится делать бесплатно, иначе просто преступление не будет расследовано и раскрыто.
А. П.: Среди ваших клиентов немало иностранных компаний: Microsoft и многие другие. Почему они обратились именно к российской компании, а не стали пользоваться услугами своих?
И. С.: По двум причинам. Во-первых, привезти иностранную компанию в Россию будет стоить крайне дорого. У некоторых компаний есть глобальные контракты на расследование, и они не могут выбрать российского поставщика. Потому что каждые два года компания, например, с головным офисом в США выбирает единственного поставщика услуг по этому направлению. Соответственно, они выбирают, например, американскую компанию, и в случае инцидента в России в Россию прилетает криминалист, они оплачивают стоимость его перелета, стоимость его работ. И стоимость экспертизы по сравнению с нашей увеличивается в 15-20 раз. Многие компании делают локальные тендеры на расследование, на криминалистику и выбирают локального поставщика услуг. Это экономическая причина. Есть и неэкономическая. Многие тренды [киберпреступности] идут из русскоговорящего сегмента, а мы в нем находимся. И так получилось, что многие компании, которые даже не работают в России — у них нет тут офиса, — заказывают услуги у нас, потому что мы знаем чуть-чуть больше. Простой пример: те вирусы, которые есть сейчас в России против российских граждан, например, в Европу придут только через два года, а мы уже знаем о том, что они есть сейчас. И в Америку они придут через два года, американские компании об этом узнают через два года.
А. П.: Вспомнился мне нашумевший случай в Московской области, когда отключили камеры. К тебе обращались по этому поводу, и тогда по горячим следам ты говорил, что это некие молодые хулиганы. Ты не изменил своего мнения сейчас?
И. С.: Я не изменил своего мнения. Посмотрим, как завершится расследование. Я думаю, что их найдут. Я не вижу тут никакой политической подоплеки.
А. П.: Корыстные мотивы могут быть.
И. С.: А какие? То есть люди на этом не заработали денег. Это такой робингудский поступок для автолюбителей. Несколько дней — и, по-моему, по-прежнему не работает вся система камер в Московской области.
А. П.: Я бы нашел корыстный мотив: конкурсы на поставки таких систем уже регулярно проводятся, вероятно, не только в Московской области, и поставщик скомпрометирован таким образом, нет?
И. С.: Это можно было бы сделать гораздо красивее. Если ребята уже попали в систему, то можно было их не просто отключить, а менять данные, выписывать штрафы не на тех людей, на государственных чиновников. Вот тогда бы поставщика…
А. П.: Это у нас делают и без хакеров, надо сказать!
И. С.: Мне кажется, что это такое красивое хулиганство без денег. Люди нашли случайно даже, может быть, уязвимость и провели показательное выступление. Второй вариант — это может быть даже бывший сотрудник какой-то из обслуживающего персонала, который знал, как устроена инфраструктура. Самое интересное, что было потом объявлено, что там не было никакой системы информационной безопасности вообще, хотя в техническом задании она должна была быть. Это говорит о том, что деньги были потрачены не совсем туда.
А. П.: Да, и мне кажется все-таки, скомпрометирован поставщик. Ну, не знаю. Когда мы говорим о киберпреступности, мы что подразумеваем? Интернет-банкинг, фишинг, DDoS-атаки. Но, наверное, этим не ограничивается мир криминального бизнеса в интернете. Что еще?
И. С.: Спам. Это вирусописательство, это создание абьюзоустойчивых серверов для нужд киберпреступников, это абьюзоустойчивые регистраторы доменных имен. Что такое абьюзоустойчивый? Неподвластный влиянию правоохранительных органов. Это люди, которые нагоняют людской трафик на зараженные ресурсы. Это продажа информации, продажа баз данных e-mail и паролей, продажа баз данных социальных сетей. Это все стоит денег. А, это рынок уязвимости в ПО. Просто информация о новой уязвимости может стоить несколько миллионов долларов на черном рынке. Киберпреступность в целом — это любые преступления против либо с помощью информационных систем, которые позволяют монетизировать эти вещи. Последнее дело еще интересное по Росатому, например. Впрямую так нельзя сказать, что это киберпреступность, но получается, что киберпреступность. Создано несколько сайтов, на которых желающим предлагают скачать программу для калькуляции каких-то атомных реакций для Росатома. Соответственно, пользователь скачивал эту программу, и на самом деле с его компьютера начинался майнинг биткойнов, то есть участие в распределенной системе. Пользователь на самом деле от этого не страдает, но просто его компьютер тратит ресурсы, а кто-то зарабатывает на этом деньги. Но в целом это тоже киберпреступность, потому что используется известный бренд Росатома, и люди на этом зарабатывают деньги. Красивая такая схема.
А. П.: Похоже на мошенничество.
И. С.: Похоже на мошенничество, да, но это относится в целом к сфере киберпреступности.
А. П.: Говорят, что вы нередко встречались на конференциях собственно с хакерами. То есть и вы их, и они вас, видимо, знают в лицо, получается, таким образом?
И. С.: Ну да.
А. П.: Что они там делают? Зачем они приезжают?
И. С.: Очень просто. В России есть конференции, которые определяют для определенных отраслей тренды безопасности на год. И в отличие от Запада, где допуск на эти конференции — целая операция, то есть нужно пройти верификацию документов в компании, на входе стоит охрана и сверяет паспортную информацию с лицом, человек предварительно проверяется в базе данных.

В России для организаторов конференций главное, чтобы оплачивали членские взносы. И на ежегодную банковскую конференцию, которая диктует тренды года для банков: что будет делаться в безопасности, какие системы будут внедряться, какие новые законы мы будем применять, — естественно, приходят люди, которые должны это обходить. И иногда они делают это под своей фамилией.

А мы же видим материалы даже по не дошедшим до возбуждения уголовным делам и видим, что люди приходят. На некоторых конференциях мы стали уделять этому внимание и сказали, что либо мы не будем участвовать, потому что иногда нас просят участвовать, либо… Просто люди компрометируют нахождение на конференции. Соответственно, отвечая на твой вопрос, что они там делают: они слушают, что будет проходить в безопасности, и делают абсолютно верную вещь — слушают планы тех, против кого они будут совершать преступление. Но это не закрытое совещание, это коммерческая конференция. 9-15 тыс. руб. — и ты знаешь тренды на весь год.
А. П.: А пытаются ли киберпреступники каким-либо образом работать непосредственно с тобой? Я не знаю, угрожают или подкупают?
И. С.: Подкупать не пробовали, угрожают постоянно. То есть, если посмотреть в интернете, по-всякому меня называют, скажем так. Приходили угрозы. И, к сожалению, приходили угрозы в адрес родителей, что для меня лично неприятно. Но, скажем так, в этом плане работа по уголовным делам и работа с правоохранительными органами нас определенным образом защищает. Поэтому я чувствую себя достаточно в этом плане безопасно. Что интересно, это такой хакерский юмор, и мне он реально нравится. Сейчас мы получили определенную партию компьютеров на экспертизу. У многих злоумышленников уже псевдонимы Сачков, Джампер-Сачков, в одной группе несколько было Сачковых. Идет определенный стеб, но, с одной стороны, это даже приятно, потому что стали узнавать в лицо. С другой стороны… Ну, на самом деле это говорит о том, что мы их серьезно раздражаем, мы реально мешаем.
А. П.: Вот она, слава! Но иногда бывает и так, что это, как бы это сказать, смешение имен мешает. Я имею в виду ту историю с Роскомнадзором, когда блокировали ваш сайт, который сидел на одном домене с сайтом по наркотикам.
И. С.: Да, по наркотикам.
А. П.: Да? Была какая-то такая история. И ты тогда обещал подать в суд. Был ли этот иск?
И. С.: Мы подали в суд.
А. П.: И на кого?
И. С.: На Ростелеком.
А. П.: На Ростелеком?
И. С.: Да.
А. П.: И на какой стадии процесс?
И. С.: Насколько я знаю, мы получили первый отказ. И мы сейчас будем его обжаловать. Если честно, мы собираемся дойти до Европейского суда.
А. П.: У вас сколько сайт был блокирован в результате по времени?
И. С.: По-моему, больше недели точно. Но мы это заметили чисто случайно, и факт блокировки мы оспариваем один день. А главное, мы оспариваем не сам факт блокировки, а то, что при заходе на наш сайт было написано, что сайт заблокирован за нарушение российского законодательства. То есть мы пошли не по опыту предыдущих исков, когда люди оспаривали именно факт блокировки ресурса, мы оспариваем защиту чести и достоинства. У нас был заблокирован американский сайт. Соответственно, когда люди на него заходили, они видели, что сайт заблокирован за нарушение законодательства. После этого началась волна в прессе, и можно было прочитать, что сайт Group-IB был закрыт за распространение наркотических средств, что не является в действительности правдой. Тем не менее не посвященный в ситуацию человек, видя это, это, собственно говоря, и чувствует. Интересный для нас кейс: мы в интернете как раз закрываем многие ресурсы, которые распространяют вредоносные программы, и тут закрылся наш сайт. И, скажем так, мы тратим сейчас деньги на юристов, и ради интереса мы их потратим до того момента, пока дело не окажется в высшей инстанции. И потом мы, естественно, обществу расскажем, как это происходило от начала и до конца. Может, это к чему-то и приведет. Просто мое мнение: без привлечения людей к ответственности бесполезно закрывать какие-то ресурсы. Мы ресурсы закрываем, при этом мы знаем группы, которые эти ресурсы создают, и в дальнейшем стараемся против нее инициировать уголовное дело и группу арестовать. Закрытие сайтов наркоманов никак не связано с ловлей людей, которые продают наркотики.
А. П.: Ну и напоследок расскажи о своих планах международной экспансии. Я слышал, что ты хочешь в ближайшие годы, чтобы группа Group-IB вошла в десятку международных расследователей киберпреступлений.
И. С.: Так точно. Но сейчас у нас есть достаточно много международных кейсов, тоже резонансных. Для того чтобы попасть в десятку, нам нужно увеличить именно денежный оборот. Потому что на компанию смотрят не с точки зрения «Какие вы делаете дела!», а с точки зрения «Сколько вы зарабатываете денег?». У нас сейчас открыты офисы в Нью-Йорке и в Сингапуре. Мы планируем открыть офис в Сан-Франциско для разработки определенных систем мониторинга. Ну и для нас станет решающим 2014-2015 год: каким образом западный мир взглянет на русскую компанию на мировой арене. Потому что нам сыгран на руку Сноуден: было огромное доверие к американским компаниям по безопасности, теперь этого доверия нет. И, возможно, те политические проблемы, которые есть, например, у Касперского в Америке, нас не коснутся. Потому что Касперский с большим трудом заходит в корпоративный сектор в США, а мы в первую очередь уже начали работать с корпоративным сектором и хотим выйти на массовый рынок именно иногда и физических лиц. Там есть определенные решения для них. Посмотрим, я был бы счастлив, если бы это произошло. Мне кажется, что мы оказались в нужном месте в нужное время и что «русскость», наоборот, преимущество, потому что мы видим тренды киберпреступности.
А. П.: Всяческих удач вам в этом! Спасибо большое! Илья Сачков, генеральный директор Group-IB был сегодня в программе «Удельный вес». Смотрите нас на SeoPult.TV, с вами был Александр Плющев, счастливо!

Развернуть текстовую версию
Комментарии
Похожие видео
Еще видео