Глава Group-IB — РБК: «Импортозамещение делает разработчиков ленивыми»
«В России нужно что-то доказывать, объяснять, вставать на колени»
— Что поменялось в работе вашей компании с началом пандемии?
— В целом было больше работы для нас.
Многие клиенты перешли на удаленную работу, и из-за того, что квартиры, естественно, защищены хуже, чем офисы, было много очень интересных атак, когда домашние компьютеры становились для хакеров точкой входа в организацию. Это общемировая тенденция: рынок продаж доступов в скомпрометированные сети компаний вырос в четыре раза. За первое полугодие выросло количество лотов с доступами к взломанным сетям компаний, увеличилось и число продавцов-хакеров.
При этом как компания мы очень сильно сплотились. Родилась братская культура взаимопомощи нового типа, когда мы к каждому сотруднику относимся как к члену семьи: клали своих людей и их родственников в больницы. Это мне понравилось, хотя были очень тяжелые моменты.
— Ваше российское юрлицо намерено участвовать в так называемом налоговом маневре, закон о котором приняли летом, претендовать на другие меры поддержки, которые власти готовят для ИТ-отрасли?
— Мы благодарны [премьер-министру Михаилу] Мишустину за историю с НДС для производителей программного обеспечения, но и до этого, как резиденты «Сколково», мы получали достаточно хорошую налоговую поддержку. В то же самое время, если сравнивать с Сингапуром, где у нас штаб-квартира, то там государство вам служит. В России же нужно что-то доказывать, объяснять, вставать на колени. Многие вещи, которые мы увидели в Сингапуре, предложили Минцифры. Там назвали их хорошей историей и начали прорабатывать.
— Например?
— Использование Big Data для анализа того же налогового маневра в ИТ. Если вы понимаете, сколько рабочих мест у компании и, например, начинается локдаун, то можно автоматически рассчитать для нее размер кредита или поддерживающего гранта. В Сингапуре нас даже не спрашивали, нужна ли поддержка, — просто поставили перед фактом, что налоги этого и следующего годов мы можем заплатить в течение двух лет без процентов. Конечно, лучше сейчас эти деньги направить на выплаты зарплат, развитие, а налоги заплатить, когда история рассосется.
— Вы по-прежнему предпочитаете работать с бизнесом, а не с государством?
— На данный момент выручка от российского государства равна нулю. Оговорюсь, что не учитываю госкомпании, с которым мы работаем, например Сбербанк. В ряде других стран государство готово работать с нашими технологиями, мы этого не стесняемся, — их невозможно превратить в технологии двойного назначения, причинить вред.
Проблема России — в невысоком уровне принятия инноваций, сколько бы о них ни говорили. Если посмотреть на любую госкорпорацию, то сколько процентов из ее закупок приходится на компании «Сколково»? Дай бог, это будет 1%.
Как-то даже придумал шутку на эту тему. Если в США стартап приходит в крупную компанию, рассказывает потрясающую идею, то тут же получает инвестиционный раунд, его стоимость вырастает до $500 млн. У нас же в госкомпании обязательно найдется человек, который после совещания скажет: «Слушайте, а почему мы не можем сделать это сами?» И компания либо начинает реализовывать идею сама, либо перекупает полностью команду стартапа.
— Были ситуации, когда кто-то из пойманных с помощью Group-IB преступников пытался мстить компании, лично вам? Можно ли обезопасить себя и компанию от этого?
— Неоднократно. Полностью обезопасить себя нельзя. Бориса Немцова убили в самом центре Москвы. Но убивать людей достаточно глупо, это привлечет больше внимания к проблеме. Проще дискредитировать человека, показать, что компания как-то обманывает государство. Мое любимое утверждение, что Group-IB — это американские шпионы или что мой дедушка — это знаменитый профессор криптографии [бывший сотрудник КГБ Владимир] Сачков. К слову, это просто однофамилец.
В России для влияния на компанию могут устраивать проверки, подставы и др. В 2014 году у нас были налоговые проверки не по графику, в 2015-м — пожарные.
— Как вы заботитесь о безопасности своей компании?
— У нас есть офисы в нескольких странах, если закроют российский, останется Сингапур. Наши данные сохранены определенным образом, зашифрованы и доступны ограниченному кругу людей. Если начнется давление на кого-то из наших сотрудников, эта информация будет в правоохранительных органах и в прессе. Редкая компания так относится к своей внутренней безопасности, как мы. Отсюда полиграфы, психологическое тестирование [кандидатов на позиции в компании] и другие подобные вещи. Если хоть один сотрудник нас подведет, вступит в неформальный контакт с правоохранительными органами, организованной преступностью, на этом наш бизнес закончится.
Что такое Group-IB
Компания была основана в 2003 году Ильей Сачковым и Дмитрием Волковым (технический директор Group-IB), они же владеют контрольным пакетом акций. Разрабатывает продукты для предотвращения кибератак и борьбы с онлайн-мошенничеством, а также расследования киберпреступлений, слежки за атакующими; работает в сфере компьютерной криминалистики, консалтинга и аудита систем информационной безопасности, обеспечивает защиту компаний от финансовых и репутационных потерь. Финансовые показатели не раскрываются. Илья Сачков лишь рассказал, что в 2019 финансовом году (закончился 1 апреля 2020 года) на зарубежные рынки приходилось 35% выручки компании, а в 2020 году показатель должен вырасти до 50%.
«Это научная борьба с высокотехнологичной преступностью»
— Group-IB в публичном поле в первую очередь известна благодаря своим исследованиям. Что от них получает компания?
— Кибербезопасность в мире считается наукой. Наши отчеты — это научная работа. Таких компаний, как наша, в мире всего около десятка.
Настоящая компьютерная безопасность — это научная борьба с высокотехнологичной преступностью, которая заключается в трех основных вещах. Во-первых, это публикация работ, «насадка» знаний в мозги людей, отвечающих за инфраструктуру, риски, управление процессами для обнаружения угроз и перевода домов, компаний или стран на новый технологический уровень. Во-вторых, это предоставление возможности людям, которые занимаются созданием технологий, на ранних стадиях учесть знания о поведении злоумышленников. И наконец, это поиск преступных групп, совершивших компьютерные преступления, помощь в идентификации людей, чтобы по ним начались оперативно-разыскные мероприятия, их арестовали и доставили в суд.
Представьте, что вы в редакции обнаружили вирус. Чаще всего вирус удаляют. Так действует примерно весь мир, но это ненаучно. Вирус — это точка на огромной линии взаимосвязей, на конце которой некие люди, которые с какой-то целью этот вирус создали, он проделал некий путь и оказался на конечном компьютере. Главное — он несет возможность атрибуции тех людей, которые это сделали, случайной или специальной. Если вы заразились вирусом случайно, это хорошо. А если вам его подсадили специально и вы его удалили, но у создателей вируса есть задача остаться в редакции? А если речь не про редакцию, а про военный завод?
Мы считаем, что если компьютерную преступность изучать только с позиции технологий, которые она использует, накупить антивирусов, то это покупка лекарств без понимания болезни. Есть примеры, когда Lazarus (хакерская группировка, предположительно, связанная с властями Северной Кореи. — РБК) попадала на защищенный объект, который тратит много миллионов долларов на безопасность, и находилась там незамеченной полгода. В своих отчетах мы пишем, что нужно сделать, чтобы понять, есть ли Lazarus или другие группы на вашем объекте.
При этом мы не о многих своих расследованиях говорим, потому что в момент ареста одного человека продолжается оперативно-разыскная работа по другим участникам группы. В разных странах есть разные хитросплетения людей из преступности с политиками, бывшими сотрудниками правоохранительных органов, поэтому говорить о расследованиях можно, только когда они полностью завершены. Мы по-прежнему участвуем в очень многих расследованиях, география сильно увеличилась.
— Если продолжить пример про вирус в редакции, то как научно вести себя в момент его обнаружения?
— У вашей ИТ-службы должна быть инструкция, соответствующая определенному стандарту компьютерной криминалистики. Если представить идеальный мир настоящей журналистики, то информация, которая есть у журналиста, может влиять, например, на колебания акций публичной компании. В случае с [бывшим сотрудником ЦРУ и Агентства национальной безопасности США Эдвардом] Сноуденом может почти привести к политическим или военным конфликтам, к санкциям и т.д.
Поэтому зараженный компьютер специальным образом изолируется из сети, с него снимается образ диска (данные памяти), в самой сети начинают работать специалисты, профессия которых называется Threat-Hunter (с англ. — «охотник за угрозами»). Их задача, оставаясь незамеченными для преступника, выстроить полную цепочку событий, в результате которых конкретный вредоносный код попал к вам, с кем он может быть атрибутирован. После этого — построить модель работы так, чтобы вирус был безвреден для редакции, но продолжал «работать», чтобы у исследователей была возможность наблюдать за инфраструктурой злоумышленников, документировать их действия, понять их мотивы и в зависимости от юридической ситуации, географии их нахождения и т.д. построить стратегию борьбы со взломами на будущее.
А если вы просто удалили вирус, то вы отрезали хвостик большущей змее, который очень быстро отрастет заново. Вы не ответили на вопрос, как он к вам попал, осталась ли та самая уязвимость. А если вирус пронес человек — продолжает ли он у вас работать?
«Все ищут способы выживания»
— Каким компаниям актуально выстраивать упомянутую вами систему?
— Любой компании нужно как минимум начинать на эту тему думать. Думать можно бесплатно. Например, читая отчеты, хороший инженер, даже студент, может на базе open-source решений (софта с открытым исходным кодом. — РБК) построить некие хотя бы предиктивные механизмы, которые показывают уровень опасности того, что происходит. Пока, к сожалению, малый и средний бизнес не осваивает эту историю. Есть доверие к маркетингу компаний, которые предлагают купить систему защиты. Но в итоге это как будто из вашего дома ночью выводят за руку злоумышленника, и не ясно, кто он, как он туда попал, зачем, взял ли что-то и вообще сколько времени провел в доме до момента обнаружения.
Люди не изучают отчеты и думают, что компьютерная преступность или военные операции, финансируемые политическими партиями, — это что-то, что происходит в параллельной реальности или в голове у Ильи Сачкова. Пусть. Инженерная часть мне часто говорит: «Ну и слава богу, пусть они так думают». Нужно подождать чуть-чуть, и мы будем разбирать последствия, только референту это будет стоить уже совсем других денег.
Есть еще психологическая проблема: люди, которые отвечают за безопасность и долгие годы выбивают деньги у своих советов директоров, иногда не могут признать, что все это время делали не то. Что они не изучали портрет злоумышленника, не понимали, кто их атакует, а доверялись вендорской информации, не проводя настоящих серьезных учений и т.д.
— Разве решения по информационной безопасности, которые предлагают различные вендоры, не защищают от большинства вредоносного софта?
— Они защищают от большинства известных и изученных троянов. В основном это решения для массмаркета. Современный вирус, созданный «под вас», с правильным способом доставки, они пропустят. Да, эти решения, конечно, лучше, чем ничего. Но, допустим, попытка злоумышленника оказаться в сети [компании] и закрепиться в ней произошла в 2018 году, а следующий шаг — в 2020-м. Практически ни одно из массовых решений не сопоставит эти два факта как связанные. Ни в коем случае не хочу говорить, что другие решения плохие, но нужно обязательно изучать исследования и понимать, что информационная безопасность — родом из военной науки. В отличие от ИT-бизнеса это работа против врага, включающая разведку, определение, кто враг, зачем он нападет, с какими инструментами и т.д.
— Из описанного вами складывается впечатление, что думать о подобных угрозах должны владельцы критической информационной инфраструктуры, к которой относятся сети связи атомных станций, банков и других подобных объектов. Что речь все-таки не про малый и средний бизнес.
— Давайте посмотрим на любой малый или средний бизнес. Большинство юрлиц в России используют интернет-банкинг, который можно взломать, и вернуть деньги у клиента вряд ли получится. У многих есть CRM-системы (системы управления взаимоотношениями с клиентами. — РБК), которые могут зашифровать, компании придется платить выкуп за расшифровку или она потеряет данные. Еще один вариант: «подсадить» на сайт с онлайн-оплатой всего несколько строчек кода — «сниффер», и данные банковских карт пользователей, оплачивающих на нем какие-то услуги, станут доступны нехорошим парням. Если у вас есть интернет-страница, ее могут атаковать боты, можно устроить DDoS-атаку (атака, из-за которой сайт не будет открываться. — РБК). Или, например, конкуренты сделают серую оптимизацию в интернете, когда ваш сайт не будет находиться через поисковик. У нас же народ находится в агрессивной экономической среде, все ищут способы выживания, используя разные методы для продвижения своего бизнеса.
У популярных людей могут «угонять» аккаунты в социальных сетях и требовать выкуп за разблокировку. От вашего имени могут рассылать вирусы или фишинговые письма по вашему списку друзей и т.д. Это актуально для всех. Хотя понятно, что для «большого» киберкриминала нет экономического смысла атаковать малый бизнес, у них стандартный KPI: получить большие деньги за меньшее время. А для интернет-мошенников принцип другой — не 10 руб. за атаку, а десять атак по рублю.
— Власти предлагают для защиты критической информационной инфраструктуры внедрять российский софт и оборудование, объясняя, что использование импортного на подобных объектах само по себе снижает безопасность. Вы согласны с этим мнением?
— Чтобы обеспечить безопасность критической инфраструктуры, стоит посмотреть на две страны, которые являются в этом смысле лидерами, — Китай и Америку. Они делают у себя экосистему софта и железа, а также государственную программу экспорта этих продуктов в разные страны. Когда экспорт сталкивается с другим экспортом, он оказывается в условии жесткой конкуренции, что, во-первых, увеличивает качество разработки, а во-вторых, эту продукцию тестирует множество исследователей в мире.
Чтобы России защитить свою инфраструктуру, нужно для начала наладить экспорт высокотехнологичной продукции в самые конкурентные регионы — Европу, Ближний Восток, Азию и, конечно, Америку. Когда мы будем получать от экспорта выручку в условиях честных торгов и конкуренции, на ее базе можно будет строить безопасные решения для защиты критической инфраструктуры. В противном случае мы строим что-то не проверенное мировым сообществом, сделанное не в рамках честной конкуренции.
Импортозамещение делает разработчиков ленивыми. Поэтому я говорил про программу поддержки экспорта Мишустину и [вице-премьеру Дмитрию] Чернышенко. Если компания делает решение только для внутреннего рынка, под конкретного заказчика, она может делать его «для галочки». Оно будет небезопасным, неудобным. Такие примеры уже были. Посмотрите хотя бы на историю поисковой системы «Спутник».
— Какие уязвимости вы видите у цифрового рубля?
— Не очень понимаю, каким он будет. Но и я, и один из главных энтузиастов блокчейна [интернет-омбудсмен и владелец компании, которая занимается майнингом] Дмитрий Мариничев говорили, что цифровой рубль может быть хорош, если валидаторы, то есть те, кто подтверждает транзакции, будут построены на открытом исходном коде, не будет черного ящика и все будут знать, что нет уязвимости. Механизм генерации новой валюты должен быть понятен, как в биткоине, где мы всегда знаем, сколько монет сейчас на рынке, сколько их будет завтра, где находится каждая. Это позволяет бороться с инфляцией, никто не может внезапно напечатать несколько миллиардов рублей. Понятно, как двигаются деньги. Для цифровой экономики это потрясающе удобный инструмент аналитики.
А сейчас Центробанк не может ответить на вопрос, сколько денег находится в стране. Как посчитать деньги под подушками, потерянные, сожженные? При помощи цифрового рубля сможет, но, если валидаторы будут находиться внутри Центрального банка, никто не будет иметь к ним доступ, на мой взгляд, это ставит проект под вопрос.
«Мы компания инженерного нейтралитета»
О привлечении финансирования
По словам Ильи Сачкова, Group-IB рассматривает возможность в течение следующего года провести раунд с «большим международным инвестиционным фондом». Деньги могут пойти на ускорение экспансии и увеличение присутствия компании в странах, где до сих пор у нее было минимальное число сотрудников. Речь идет об организации офисов, которые будут полностью дублировать инфраструктуру, которая есть в России, с разработкой продуктов, сервисами, криминалистикой, расследованиями и т.д.
Ранее Group-IB открыла подобные центры в Сингапуре (этот офис стал глобальной штаб-квартирой) и Амстердаме.
Размер суммы, которую намерена привлечь компания, как и то, с кем именно из инвесторов ведутся переговоры, Group-IB не раскрывает. Как пояснил Сачков, в Group-IB никогда не было классического инвестиционного раунда. Единственные деньги, которые привлекла компания, — $5 тыс. от брата Сачкова в 2003 году, которые впоследствии ему вернули. Компания прибыльна последние пять лет и развивается на свои деньги. Ряд менеджеров продавали свои акции фондам, так среди акционеров появились Run Capital и сингапурский фонд Altera Capital.
Илья Сачков не рассматривает возможность полной продажи Group-IB и выхода из бизнеса, связанного с кибербезопасностью. «Для меня это не бизнес, а смысл жизни и любимое, хоть и опасное, хобби», — говорит он.
— Вам обязательно надо физически оказаться там, где произошел взлом?
— Зависит от типа инцидента. Некоторые вещи, естественно, делаются удаленно, для некоторых иногда высаживаются чуть ли не 12 человек: делают образы, правильно маршрутизируют трафик, чтобы преступник об этом не узнал. Это, можно сказать, специальная военная операция.
— Не мешает то, что исторически вы российская компания?
— Мы компания инженерного нейтралитета. За годы работы мы показали и расследованиями, и технологиями, что мы за борьбу с преступностью, где бы она ни находилась. В 2015 году прошли due diligence и стали партнером «Европола», в 2016-м — партнером «Интерпола». Все понимают, что мы компания из России, но мы имеем штаб-квартиру в Сингапуре, компания дублицирована в Европе, за 17 лет мы не подвели ни одного клиента и ни одного сотрудника правоохранительных органов, которые взаимодействовали с клиентами, чтобы вести уголовные дела по материалам, которые мы нашли.
— Что думаете о запрете госорганам США пользоваться продуктами «Лаборатории Касперского», введенном в 2017 году?
— По моему личному мнению, в этой истории была неправильно построена система собственной безопасности. Не хочу говорить об этом публично. Но обратите внимание, что другие компании, которые были в США и занимались компьютерной безопасностью, там и остались.
В 2014–2016 годах, в самых «сложных» странах, которые с Россией практически не общались из-за санкций, мы увеличили выручку практически в два раза. В прошлом году почти все нидерландские банки стали нашими клиентами.
«Часто это люди с особенностями, аутисты»
— Как сейчас выглядит типичный хакер? Это анархист, который борется с системой, сотрудник спецслужб или кто?
— Если говорить про Россию, то это может быть талантливый молодой человек, задача которого зарабатывать деньги, и все. Он не всегда хорошо образованный в гуманитарном плане, не тот, кто вызовет у вас симпатию. В приоритете деньги, дорогие машины, дорогие часы, отдых за рубежом. Пытается играть в Дона Корлеоне, искать контакты в правоохранительных органах, сплачиваться с ними, хотя бы с бывшими сотрудниками, искать помощников себе в политике, которые смогут объяснить войной с Америкой, почему русские хакеры воруют деньги, говорят, что они патриоты. Нанимает себе самых дорогих юристов. Пытается устраивать своих людей в компании по кибербезопасности.
— По образованию это программисты?
— У них должно быть хорошее знание математики, которое всегда подразумевает интеллект, — математика учит не считать, а думать. До недавнего времени у меня была версия, что это люди из семей, где есть социальное напряжение, средний и низший классы. Но сейчас вижу хакеров, которые живут в очень богатых семьях, с нормальными отношениями между родителями. То есть человек мог почувствовать, что это его предназначение.
Если же говорить о гениях, вирусописателях, часто это люди с особенностями, дети-аутисты, которые попали в агрессивную среду. Как и гениальные криминалисты, которые это распутывают. Мы много лет говорим о том, что в России не уделяют внимания таким детям, из-за чего они оказываются в агрессивной среде, государство не использует их интеллект и возможности в плюс.
— Справедливо ли утверждение, что русскоязычные группировки хакеров лидируют в мире?
— Это уже устаревшая информация. Все группировки сейчас взаимосмешаны по национальности. Но можно сказать, что в девяностых годах, когда хакерская история начиналась и в ней стали появляться финансово-мотивированные элементы, выходцы из постсоветского пространства, говорящие на русском языке, одними из первых начали заниматься этими вещами. Заложили определенный фундамент. Часть вредоносного кода по-прежнему изобретается русскоговорящими хакерами, но подтянулись и другие страны. Важно понимать, что люди знакомятся через интернет, обмениваются данными, техническими возможностями, объединяются, учитывая географию и политические ограничения между странами, что помогает им действовать безнаказанно.
— В одном из ваших исследований говорилось, что Россию часто используют как тестовую площадку для новых видов атак, после чего применяют их в других регионах. Что именно тестировали на российских банках в последнее время?
— Банки в России являются достаточно технологичными, у них удобные с точки зрения дизайна и функциональности приложения и т.п. Хакеры, когда тестируют атаки, выбирают самое продвинутое, то, что через два-три года будет в Европе, Азии, на Ближнем Востоке. Таким образом они заранее готовят инструменты. Тренд этого года — у российских банков, их клиентов практически перестали воровать деньги с помощью вирусов и целевых атак. Эти инструменты стали использовать, чтобы шифровать организации среднего и малого бизнеса. История началась с России и сейчас будет перекидываться на мир.
— Чего не хватает, чтобы раз и навсегда победить хакеров?
— Мозгов и честности у тех, кто должен помогать с ними бороться.
Пять фактов об Илье Сачкове
- Родился в 1986 году в Москве.
- В 2009-м окончил МГТУ им. Н.Э. Баумана, факультет информатики и систем управления.
- В 2003 году основал Group-IB.
- В 2016-м вошел в список самых ярких предпринимателей до 30 лет в мире по версии Forbes в категории Enterprise Tech.
- Является членом экспертных комитетов Госдумы, МИДа, Совета Европы и Организации по безопасности и сотрудничеству в Европе (ОБСЕ) в области киберпреступности, сопредседателем комиссии по киберпреступности Российской ассоциации электронной коммерции (РАЭК), членом совета Координационного центра национального домена сети интернет.