Знание о том, кто такие киберпреступники и чего они добиваются, может стать первым шагом на пути к защите данных, денег и репутации. Об этом слушателям корпоративных программ Московской школы управления СКОЛКОВО рассказал основатель и генеральный директор компании Group-IB Илья Сачков.
Благодаря фильмам и сериалам, мы привыкли к тому, что преступление - это нечто осязаемое, то, что можно увидеть: киллер убивает жертву, хулиган вырывает сумочку из рук старушки, «медвежатник» взламывает сейф. Однако, с каждым годом доля таких «традиционных» преступлений снижается, а объем киберпреступлений, напротив, растет. Каждые полторы минуты на территории Европейского Союза совершается одно ограбление. И за тот же период происходит порядка трёх тысяч случаев хищения данных, а на свет появляется более десятка новых вредоносных программ.
Организованная преступность все активнее использует Интернет, а кибератаки, по мнению экспертов Всемирного экономического форума (ВЭФ), сейчас стали главными глобальными рисками наряду с экологическими и геополитическими проблемами.
Илья Сачков считает, что ключевым элементом кибербезопасности является знание о том, что такое современная компьютерная преступность. Понимая цели киберпреступников, их мотивы и приёмы, им можно эффективно противостоять. Самый распространённый мотив компьютерных преступлений (порядка 98%) - это финансовая выгода, обеспечиваемая за счет взломов тех же банковских систем, вымогательств, мошенничества и так далее. Шпионаж, саботаж или кибертерроризм – тоже могут стать мотивом для совершения преступления, как правило, характерного для проправительственных хакерских групп, однако основная масса киберугроз все же связана с киберкриминалом.
К сожалению, большинство российских компаний не понимают, что такое современная компьютерная преступность, как она атакует, какими инструментами пользуется, и потому владельцы бизнеса и их директора по информационной безопасности (СISO) не знают, как защитить свою инфраструктуру или систему дистанционного банковского обслуживания (ДБО).
Например, некоторые до сих пор свято верят в антивирусы, в то время как мировая практика высвечивает слабые места такого подхода: на многих зараженных машинах сотрудников банков были установлены самые популярные антивирусы, но они не спасли от заражения, и в результате злоумышленники смогли взять контроль над сетью банка и вывести из него деньги. Руководители компаний рассуждают о рисках и кибератаках, не зная, кто такой киберпреступник, нередко не могут назвать хакерские группы, объяснить, как те атакуют, какую тактику используют.
Киберпреступники следуют за деньгами и ориентированы на «массмаркет». Например, поскольку большинство бухгалтеров в компаниях и банковских сотрудников работают с продуктами для Windows, хакеры нацелены именно на них, а не на компьютеры Apple. Другой пример - киберкриминал не видит смысла в том, чтобы атаковать инфраструктуру электростанций или других стратегических учреждений. Это не сулит им экономической выгоды, только неприятности - угроза наказания за потенциальный терроризм крайне высока. А вот проправительственные группы, наоборот, редко атакуют банки, а если это и происходит, то в целях разрушения банковской инфраструктуры или шпионажа, а не с целью ограбления.
Для того, чтобы получить доступ к финансам или к сервисам компаний, которые имеют дело с ДБО, хакеры вычисляют сотрудников с доступом к финансовым потокам. В зоне риска - бухгалтеры и финансисты. Их атакуют или напрямую с помощью фишинговых рассылок, или подделывают/заражают сайты, на которые часто заходят эти сотрудники.
Одним из самых распространенных векторов атаки и проникновения в сеть по-прежнему остаются фишинговые письма, которые позволяют получить доступ к устройству сотрудника и к сервисам, с которыми он работает. Сотрудник получает письмо, как две капли воды похожее на то, что обычно присылают контрагенты, банки-партнеры или регуляторы, и открывает его. Но во вложении скрывается вредоносная программа, которая проникает во внутренние системы и ищет способы, как можно «закрепиться» в системе, чтобы затем дать возможность своим создателям украсть и вывести деньги.
Чаще всего, чтобы подтолкнуть человека открыть фейковое письмо, преступники используют методы социальной инженерии, основанные на следующих психологических факторах:
А) Любопытство . Фишинговые письма могут быть замаскированы под уведомления о недоставленных сообщениях или о предоставлении доступа к каким-то файлам.
Б) Страх . В этой категории сообщений находятся, например, гневные письма, якобы отправленные от имени руководства.
В) Стремление к бесплатным благам. К этому разряду можно отнести письма, которые «извещают» получателя о выигрышах, каких-то премиях и тому подобных событиях.
Современная киберпреступность иногда располагает многомиллионными бюджетами. Эти средства идут на хантинг специалистов, подкуп чиновников, разработку хакерского программного обеспечения. По сути, это такой преступный стартап, в котором ни один разработчик вредоносных программ не будет тратить свои силы и ресурсы, если не верит в успех и не имеет представления о том, как обходить существующие системы защиты. Поэтому стоит держать в уме правила предосторожности, однако быть готовым к тому, что возможная атака будет нанесена оттуда, откуда никто не ждал.
Илья Сачков поделился со слушателями бизнес-школы СКОЛКОВО несколькими советами, полезными как для обеспечения личной безопасности, так и для защиты своей организации от потенциального вмешательства извне:
– Помните о том, что доступ к почте открывает доступ ко всей вашей цифровой инфраструктуре . Многие сервисы, мессенджеры, программы привязаны к почтовым аккаунтам. Так что, если злоумышленник может получить доступ к почте – он сможет попасть и в вашу инфраструктуру.
– Вводите двухфакторную аутентификацию повсюду, где доступна такая процедура . Этот инструмент не идеален, но значительно повысит защиту. Злоумышленнику понадобится не только ваш интернет-аккаунт, но и доступ к телефону. Продвинутые преступники могут взломать и мобильное устройство, но угроза от большей части хакеров будет устранена.
– Заведите несколько аккаунтов/почт . Не нужно делать так, что все ваши сервисы будут привязаны к одной электронной почте. Если преступник сможет получить доступ к такому ящику, он сможет подключиться или даже установить контроль над всеми привязанными сервисами.
– Используйте надёжные и безопасные пароли, регулярно их меняйте . Способность злоумышленников подбирать и генерировать новые пароли постоянно растёт. Соответственно, необходимо менять и усложнять свои пароли, защищающие доступ к вашей информации.
– Делайте бэкапы своей информации . В случае заражения вашего устройства или сети, ваша информация также находится под угрозой. Поэтому необходимо всегда иметь резервную копию данных, к которой можно будет прибегнуть в случае возникновения критической ситуации.
– Не доверяйте никому . Иногда злоумышленником может оказаться даже ваш близкий друг, которому зачем-то понадобились ваши данные. А зачастую преступники могут просто использовать аккаунты ваших знакомых, чтобы переслать вам заражённые файлы и получить доступ к вашим деньгам или информации.
– Не размещайте в сети то, что не сделали бы прилюдно . Всё, что попадает в сеть, остается там навсегда. Грамотный специалист сможет получить доступ к информации о вас, даже если она была опубликована 15 лет назад, например, на форуме любителей сенбернаров. Если вы не уверены в том, что какие-то данные не смогут вас скомпрометировать в будущем - не публикуйте их.
– Поддерживайте свою киберграмотность . Если вы будете следить за новостями мира кибербезопасности и выполнять рекомендации экспертов в этой сфере – вы будете подготовлены к киберугрозам и защищены от них лучше, чем подавляющее большинство людей. Злоумышленники хотят получить доступ к вашим деньгам или информации. Но мало кто из них будет стараться обходить защиту, которая потребует для них дополнительных усилий. Например, Илья Сачков рекомендует изучать отчёты Group-IB, статьи, публикуемые на сайтах Dark Reading , SecurityLab , книгу «Киберпреступник № 1» Ника Билтона, а также книги бывшего хакера Кевина Митника.
Group-IB - международная компания, специализирующаяся на предотвращении кибератак. За 15 лет расследований сложных инцидентов эксперты компании накопили уникальную базу знаний и выстроили глобальную инфраструктуру мониторинга киберугроз - Threat Intelligence . Эта система признана Gartner, Forrester и IDC и лежит в основе линейки продуктов в сфере киберзащиты. Среди клиентов Group-IB есть компании из России, стран ЕС, США, Бразилии, Канады, в частности Microsoft, Ростех, Аэрофлот, British Petroleum, DHL.
Илья Сачков – российский предприниматель, основатель и генеральный директор Group-IB. Член экспертного совета комитета Госдумы по информационной политике, информационным технологиям и связи, а также экспертных комитетов МИД России, Совета Европы и ОБСЕ в области киберпреступности. В 2016г. вошёл в список самых перспективных предпринимателей младше 30 лет по версии Forbes . Трижды становился национальным победителем международного конкурса EY «Предприниматель года» в России.
Гендиректор компании Group‑IB Илья Сачков, только что попавший в список Forbes, составленный из самых ярких молодых предпринимателей мира, написал в «Русский пионер» не просто колонку про одиночество - на самом деле это профессиональная журналистская работа. Так что не удивляйтесь, если Илья Сачков появится в списках Forbes и в других категориях. Мы не удивимся.
Ох, какая тема. Одиночество физическое и моральное. Хорошее и плохое. Можно быть одиноким в окружении пятидесяти человек рядом и не одиноким - сидя в окружении мертвых тел в траншее Первой мировой войны лишь с кулоном с фотографией своей невесты.
Интересные, на мой взгляд, примеры одиночества я видел в трех фильмах и в тысячах ситуаций в жизни.
В «Твин Пиксе» Дейл Купер вдали от своей семьи и близких в городе, в котором он первый раз в жизни, окружен опасностью. Дейл рассказывает диктофону, которого зовут Даяна, какие-то истории, представляя ее напарником: так нехитро он уходит от одиночества.
В «Интерстелларе» и в «Into the Wild» тоже хорошо видно, каким может быть одиночество. Чувствуешь его всем сердцем.
И, наверное, многое из того, что я делаю в жизни, направлено на то, чтобы больше времени проводить с близкими, чтобы быть в безопасности, а значит, так или иначе быть менее одиноким и более счастливым.
Интересно, что одиночество послужило причиной создания городов и некоторых конституционных основ. И также интересно, что в этих городах одиночества стало больше. А нарушение законов, противоречащих конституции, делает одинокими некоторых людей на срок до 7 лет.
Плохая часть одиночества - это антипод обществу. Быть одному страшно. Именно из-за одиночества и естественного страха люди старались объединиться.
Затем в мире интернет-технологий и больших городов с миллионами одиноких людей появились социальные сети с целью объединять, и многих объединили, а многих сделали еще более одинокими, ведь многим достаточно иметь контакт друга-одноклассника в социальной сети и не перекинуться с ним словом по нескольку лет. Я думаю, многие заметили, что на встречи выпускников стало приходить все меньше людей.
Но не хочу окрашивать одиночество в какой-то цвет (хотя, наверно, он серый). Ведь есть одиночество космического корабля и понимания, что никогда не увидишь свою семью, и есть одиночество, когда ты сидишь на подоконнике и смотришь на город под звуки молодого композитора iplay и хорошие мысли приходят в голову. Есть одиночество изоляции от общества, родителей, которых забыли дети, а есть одиночество, когда ты каждый день звонишь человеку, который живет на другом континенте, чтобы его и себя сделать счастливым.
И, наверное, есть в мире какой-то другой Воланд, который отвечает не за зло, а за одиночество, и одиночество является частью силы, которая приводит к чему-то хорошему.
Писать про что-то грустное, когда вокруг и так много зла и приходится стараться, чтобы уйти от грусти, не хочется. Поэтому, наверное, я хочу написать про что-то хорошее, к чему приводит одиночество. Мои литературные таланты (точнее, их отсутствие) 100% не приведут к чему-то выдающемуся, поэтому я решил вывести черновую (детскую) формулу доброго одиночества, поговорив перед Новым годом с некоторыми людьми (для любителей науки: я знаю, что репрезентативная выборка - это от 1000 и не может быть ограничена только Москвой). И задать один вопрос: как одиночество привело к хорошему в вашей жизни?
Сначала я спрашиваю моего водителя, благодаря которому я сам менее одинок, потому что он не только водитель, но и напарник, как в фильмах про американских полицейских: «Вов, одиночество сделало что-то хорошее в твоей жизни?»
Владимир думает минут пять, потом невесело говорит про то, как приехал из армии (он служил в Казахстане) и увидел мать после долгой разлуки. Начинает говорить медленно, и едем мы медленней - видимо, часть внимания водителя ушла на воспоминания. Он говорит, что была осень. 1500 км он проехал на автобусе, и сердцебиение увеличилось до невероятного предела, когда он подходил к дому.
Мама спросила: «Кто там?» Потом пауза.
«Сынок!» - крикнула мама. Слезы, радость и вера в жизнь. Вова и сам поплакал. И это зарядило энергией, потому что дождались.
Два года в армии. Проверка одиночеством. Мама дождалась, а девушка - нет. Вова вернулся из армии сильным. Одиночество и письма из дома давали силу жить. На фоне некоторых ребят, которые стрелялись от тоски. Часть находилась в Казахстане, на границе с Китаем. Маканчинский пограничный отряд. Восточно-Казахстанская область.
То есть то, что дождались... и благодаря одиночеству понимаешь, что кому-то нужен и есть родные души в твоей жизни. Таким образом, одиночеством и разлукой проверяются любовь и тепло. И одиночество закаляет. Есть хорошая мысль, что дружба и любовь проверяются и бедой, и счастьем. И вот, может быть, я нашел, что к этому стоит добавить проверку одиночеством.
Далее я позвонил папе. Общаемся мы редко из-за моей работы, и уверен, что в его жизни одиночество, связанное со мной, больше приносит грусти, нежели положительных эмоций. Папа начал преподавательским языком (мой папа ученый, физик и очень хороший преподаватель) рассказывать, что одиночество - это потрясающая возможность побыть наедине с собой и возможность разобраться в себе. Я попросил уйти от простых объяснений и вернуться ко мне с реальной историей из жизни.
Кому бы позвонить еще? Написал Андрею Романенко. Известному предпринимателю. Наверняка у Андрея есть крутая история, но Андрей ответил, что никогда такого не было. Значит, все-таки это работает не для всех.
Через день я заехал к папе. Видно, что папа готовился к первому интервью в жизни.
«Все мои достижения в плане становления личности, повышения своего интеллектуального или духовного потенциала связаны именно с одиночеством, потому что этот прогресс невозможен в толпе, так как ты в толпе распыляешься на множество “я”. И эти осколки, они по отдельности друг от друга не прогрессируют. Вот, например, мое личное качество, которое я, к сожалению, не привил своим детям (речь, видимо, идет обо мне и моих братьях. - Прим. авт.), - это моя любовь к поэзии. Любовь, знание, понимание. Я не могу сказать, что это общественно ценное знание, но лично для меня это очень ценное - моя личная любовь к поэзии. Она родилась именно в периоды одиночества. Именно тогда я действительно мог углубиться в поэзию, почувствовать ее, почувствовать музыку стиха (точно готовился заранее. - Прим. авт.), почувствовать его высокий смысл. Или наука. В те периоды, когда я этим активно занимался, я тебе могу сказать, самые большие мои личные достижения во всей моей деятельности - у меня было два пика своих личных вершин - это происходило именно в период одиночества, мне приходилось уединяться, например, в Ленинке: шел в научный зал и там неделю с утра до вечера работал. Потом начинались периоды обсуждений, но до этого я должен был вызреть одиночеством». Я сказал папе спасибо, выпил вкусный кофе и вернулся в город, который явно не похож на зимнюю Москву.
Этим же днем я получил письмо от моей девушки, которая давным-давно не живет в России (интересно, что она сначала написала на английском, а потом переводила на русский):
Что-то было в этих историях похожее. В периоды одиночества человека ждет рост или подготовка к росту. Так? Или еще не совсем? Ищем дальше.
Также я очень хотел спросить Леонида Парфенова об этом, но не успел лично поговорить с ним, однако мой вопрос был услышан и вернулся кратко в виде сообщения в фейсбуке от супруги Леонида Елены Чекаловой. «Леня сказал, что самый главный пример одиночества, которое привело к потрясающим результатам, - это Гоголь». Я понял (или подумал, что понял), о чем речь, так как люблю и Гоголя, и записки о Гоголе его современников и даже смотрел фильм Парфенова «Птица Гоголь» - очень рекомендую. И получается, что в жизни и великих людей, и простых близких одиночество играет или играло положительную роль. И одиночество дало нам самые великие произведения Николая Васильевича.
Немного было у меня времени, да и бесснежный пробочный декабрь ну уж никак не способствовал дополнительному поиску информации и ее корреляции. Но какой-то вывод сделать получилось. Так сказать, удалось сделать предварительную, черновую формулу положительного одиночества: если человек обладает силой воли, то в период одиночества он может достичь удивительных результатов во внутреннем развитии или творчестве. Поэтому, когда будет появляться это чувство одиночества, нужно быстро думать: а к чему великому и хорошему это может привести?
Group-IB была основана Ильей Сачковым в 2003 году, когда он был на первом курсе университета. Бизнес начинался как попытка создать профессию киберкриминалиста в России. За 15 лет ему стали доверять крупнейшие банки, СМИ, университеты и госкомпании. Group-IB помогает российской полиции, Интерполу и Европолу ловить преступников, а ОБСЕ рекомендует их к сотрудничеству. В новом выпуске программы «Я норм» Илья Сачков рассказал, почему он разделяет работу с государством и с полицией, к чему быть готовым при взаимодействии с госструктурами и как бизнес может защитить себя от кибератак.
Илья Сачков, 32 года
Образование: МГТУ имени Н.Э. Баумана, факультет информатики и системы управления, кафедра информационной безопасности
Карьера: в 2003 году основал компанию Group-IB, которая занимается предотвращением и расследованием киберпреступлений
Число сотрудников: более 300
Стоимость компании: не раскрывается. В феврале 2015 года Сачков говорил, что она колеблется от $80 млн до $100 млн.
Совладельцы: В 2016 году компания привлекла фонды Altera Investment Fund и фонд Run Capital основателя Qiwi Андрея Романенко в качестве инвесторов - они купили по 10% в компании. В конце 2017 году Altera Capital увеличила свою долю до 25%, выкупив 15% у одного из акционеров компании. Сачкову принадлежит 30% в компании.
Финансовые показатели: не раскрываются. По открытым данным из СПАРК-Интерфакс, общая выручка компаний, где Сачков генеральный директор - ₽538,5 млн.
Как придумал?
«Я чувствовал, что схожу с ума по этой тематике»
Я родился в районе Измайлово, на востоке Москвы. Учился в школе №444 с углубленным изучением математики, информатики и физики, из чего у меня лучше всего получалась информатика. Школьником я организовывал военно-детективные мероприятия: зарницы, квесты, детские игры в расследования.
На 1-м курсе я попал в Боткинскую больницу, где мне сделали операцию по удалению жидкости из пазухи надбровной дуги. После операции в стопке книг на тумбочке в палате я увидел «Расследование компьютерных преступлений» Кевина Мандиа, которую принес мой одноклассник. Автор рассказывал про бизнес в области информационной безопасности, занимающийся расследованиями и компьютерной криминалистикой. В этот момент все казалось прекрасным, не только книжка, но и больничная палата, соседи, неудобное одеяло - сказывался наркотический эффект от наркоза.
Прочитав книгу, я понял, что это совмещение детективной, аналитической и глобальной деятельности, потому что это во всем мире происходит. И в этой области нужно много думать, разгадывать квесты, загадки, ты на доброй стороне борешься со злом. Когда я вышел из больницы и начал искать, кто в России этим занимается, выяснилось, что никто не предлагал такую услугу как бизнес. Мне все больше это становилось интересно. Это была первая идея, которая долгое время не уходила из головы. Я засыпал с ней, просыпался, с интересом читал по теме и не чувствовал усталости. Чувствовал, что немного схожу с ума по этой тематике, стал раздражать всех близких и родных.
Расследованием преступлений на тот момент занималась только милиция (в 2011 году стала называться полицией. - The Bell). Я пытался туда попасть, на конференции подходил к сотрудникам Бюро специальных технических мероприятий с просьбой взять меня на работу. Но получил ответ, что мне нужно окончить университет, получить дополнительное образование в Академии МВД, обязательно подстричься и только после этого приходить на работу.
Как формировалась команда?
«Мы играли в детективное агентство»
Я рассказал о своей идее одногруппникам и прежним одноклассникам. После чего собралась команда, которая согласилась попробовать поиграть в киберкриминалистическое детективное агентство.
Сначала нас было 12 человек, спустя год осталось шестеро. Потом люди стали, наоборот, прибавляться, и в итоге остались те, кто уже испытывает интерес к этой специальности. Моя история про основание компании была не про то, что нужно сделать бизнес, а про попытку сделать эту профессию в России.
С сооснователем Group-IB Дмитрием Волковым мы учились на одном курсе в университете. Мы познакомились случайно, возле памятника Баумана. Я услышал, что он разговаривает на тему информационной безопасности. После этого мы стали общаться. Со временем я рассказал ему об идее компании, ему она понравилась, мы стали создавать ее вместе. Волков сначала возглавлял отдел расследований, сейчас он технический директор: отвечает за наши технологии, их развитие, взаимодействие между нашими разработчиками.
Дмитрий Волков
Сейчас в нашей компании работает около 300 человек. Средний возраст - 26–27 лет, больше 30% - девушки. У всех них нетерпимость к компьютерной преступности и желание своей работой, технологиями и инженерной мыслью делать что-то хорошее, изменить мир и быть счастливыми. Специальностям, которые нам требуется, очень часто не учат в вузах. Поэтому мы либо сами обучаем сотрудников, либо они получили эти знания по книгам. Думаю, со временем состав сотрудников будет еще моложе, потому что дети будущего будут еще раньше понимать, чем им нравится заниматься и раньше выходить на реальную работу, чем ждать окончания университета.
было Илье Сачкову, когда он основал компанию
вернула Group-IB клиентам за 16 лет
расследований сделала Group-IB с 2003 года
странах работает Group-IB
Самая большая наша проблема - это поиск сотрудников, потому что умных людей в России мало, а тех, кто понимает в нашей теме, еще меньше. При приеме на работу мы проверяем потенциальных коллег на полиграфе, при надобности проводим балльную систему оценивания, легальные провокации и много других веселых сюрпризов, которые не стоит знать. Но благодаря этому наш клиент всегда уверен, что информация надежно хранится в компании. Никто из наших сотрудников не имеет опыта неформального общения с преступностью и с правоохранительными органами. Мы, как после проверки в самолете, все друг другу доверяем. И в момент полета еще проверяем. Главное, чтобы человек разделял наши ценности, корпоративную культуру и был открыт к развитию.
Нам удается конкурировать за счет того, что мало в какой компании удается совместить инженерные действия с противостоянием преступности и чтобы это помогало очень крупным клиентам, как банки, телекоммуникационные компании и СМИ.
Откуда деньги?
«Первое время мы ничего не говорили о нашей подготовке»
Деньги, чтобы запустить компанию, я взял у старшего брата Димы Сачкова. Это были $5000. Мы их потратили на компьютеры, книги, мини-лаборатории и оборудование. Первым клиентом был друг Димы, мы должны были найти человека, который писал анонимные письма в одну компанию. И мы с этим заданием справились.
Первое время мы ничего не говорили нашим клиентам о нашей подготовке. А все первые расследования мы делали по учебникам, не сильно понимая, как это делать правильно, но нам повезло, что обошлось без юридических и формалистических ошибок. В самом начале мы делали больше расследований, чем сейчас. Иногда мы немного расслабляемся и забываем, что можно сделать с большим упорством. Я постоянно учу наш отдел расследований и аналитики, как это происходило в старое время, когда можно было делать чуть больше.
О чем бизнес?
«Следим за преступлениями, которые еще не произошли»
Group-IB занимается предотвращением и расследованием киберпреступлений. Мы собираем big data о вирусах, доменных именах, IP-адресах, никнеймах, анализируем трафик. На базе этих данных мы можем атаки прогнозировать не тогда, когда она находится в стадии взрыва, а когда только начинается. Это позволяет многие преступления предотвращать на этапе их подготовки, понимать, кто их совершает, очень правильно использовать в риск-менеджменте, сохранять деньги. Самое главное, что мы сохраняем время, наш клиент может уделять внимание тому, что действительно с ним может случиться. Потому что защититься от всего невозможно.
фишинговые атаки за сутки совершались в России
ущерб от фишинга
В целом общая наша технологическая линейка - это изучение преступности, наблюдение за ней и за процессами выявления преступлений, о которых еще не известно, но которые могут случиться с клиентами. То есть расследование неизвестных вирусов сразу с пониманием и описанием, кто это может сделать. Мы выпускаем несколько собственных продуктов для мониторинга, выявления и предупреждения киберугроз, а также защищаем блокчейн-проекты, бренд, репутацию и авторское право.
По самому главному для меня расследованию еще не закончился суд. Но в целом мне нравится принимать участие в них самостоятельно, хотя бы делая часть аналитической работы. В моем любимом расследовании я был напарником нашего специалиста. Это было не в России и напоминало сериал «Настоящий детектив». Все было похоже на фильм: красиво, профессионально, по плану, и когда мы летели обратно можно было пускать финальные титры, что все получилось, и после этого выпить бокал вина.
Как развивалась компания?
«Первое время мы совмещали работу аналитика и криминалиста»
В начале о нас узнавали через «сарафанное радио». Много лет я ездил в лагерь «Полюс» в Подмосковье, после которого у меня осталось очень много друзей. У моего брата и партнеров тоже было много связей. И мы каждый день промывали всем мозги о том, что открылись. Затем мы запустили сайты, связанные с криминалистикой, с расследованиями. И из-за того, что в России этим никто не занимался, сайты быстро проиндексировались в интернете, и мы были на первых страницах выдачи по тематике расследования компьютерных преступлений.
Первое время мы совмещали работу двух профессий - аналитика, который смотрел, как действовал человек до преступления (например, с какого сервера шло письмо), и криминалиста, который делал экспертизу оборудования (например, анализировал компьютер после атаки вируса).
О том, как и почему Илья Сачков стал работать с полицией, как Group-IB вышла на международные рынки, смотрите в новом выпуске проекта «Я норм».
Как построить глобальную компанию из России?
«Может, мы пострадаем за наш инженерный нейтралитет»
Глобальную компанию из России можно построить, но это дико сложно. Group-IB всегда стремилась работать глобально, понимая, что хорошие технологии можно делать, если только ты конкурируешь с самыми сильными игроками. Это вдохновляет и инженеров, если их технологии используются не в России. Если ты по-настоящему соблюдаешь инженерный нейтралитет, твоими продуктами пользуются, здесь политика не мешает.
Если нам дали пострадавший от атаки компьютер, сказали проанализировать вирус, взломанный сайт, анонимное письмо, то мы дойдем до конца и сделаем всю аналитическую работу, передадим клиенту и по его запросу правоохранительным органам. Что после этого произойдет, не наше дело. Наша задача как инженера - разобрать атаку и, если используются наши технологии, предотвратить ее.
Если компания начинает делать для кого-то какие-то исключения, она вмиг теряет независимость, из нее становится невозможно делать глобальную компанию. Все американские глобальные компании по кибербезопасности сильно аффилированы с одной стороной. Они очень много не видят того, что они должны видеть. Мы так не делаем. Возможно, мы когда-нибудь за это пострадаем, нас закроют за этот инженерный нейтралитет.
Как защитить свой бизнес?
«Нужно серьезно относиться к киберугрозам»
Киберпреступность в России направлена в первую очередь на монетизацию. Самые популярные преступления - это хищения денег через интернет-банкинг, с карточек, при помощи фишинга и социальной инженерии. Это могут быть атаки на банкоматы, хищения у юридических лиц, целевые атаки на сами банки при помощи вирусов-вымогателей.
Есть три рекомендации от меня, как бизнес может защитить себя от кибератак. Во-первых, относиться к компьютерным угрозам серьезно, изучать их на всех уровнях организации (об этом риске должен знать топ-менеджмент, потому что информационная безопасность сейчас касается мобильных телефонов, личных ноутбуков, систем в доме). Во-вторых, нужно постоянно сражаться и отражать атаки самыми новыми методами, которые используют преступники. В-третьих, в выборе компании по кибербезопасности нужно опираться не на хороший маркетинг, а смотреть на то, какие инженерные технологии они используют.
похищено в результате киберпреступлений в России
1–2 банка
атаковали в России каждый месяц
средний ущерб киберограбления
Многие российские компании, опираясь на технологии американских компаний, допускают большую ошибку, потому что те ничего не знают о компьютерной преступности в России и на территории постсоветских стран. Соответственно, это мы можем учить компании из США, как защищаться.
О русских хакерах
«Многие учат русский язык, чтобы понимать хакеров»
Русскоговорящие хакеры не всемогущие, но достаточно сильные. Это одно из первых крупнейших community в мире по компьютерной преступности, которое образовалось после распада Советского Союза. 80% кейсов, которыми занимается Европол, связаны с русскоговорящей компьютерной преступностью. Специализация русскоговорящих хакеров - это изобретение новых схем, новых вирусов, новых интересных уязвимостей.
Школа хакерства сильная, потому что после 1991 года большое количество людей с хорошими техническими знаниями нашли себе применение в этой области и сделали площадки для общения. Они в основном занимаются финансово мотивированной преступностью. Многие иностранцы изучают русский язык для того, чтобы понимать, что делает русскоговорящий хакер.
Главные ошибки?
«Хочу найти внутренний баланс между добром и злом»
Я был очень добрым к сотрудникам, верил мэтрам с рынка - нанимал очень крутых людей, не проверяя их предварительно. Раньше я мало спал, в долгосрочной перспективе это привело к уменьшению эффективности. Иногда я бываю слишком жестоким и могу обидеть человека из-за того, что я его очень сильно люблю, но сказать ему это совсем не словами любви. Я хочу найти какой-то баланс между добром и злом внутри себя.
Главный правильный шаг
«Вижу горящие глаза и вдохновляюсь»
Самое правильное, что я делаю сейчас, - это даю таким же ребятам, как я сам 15 лет назад, возможности для реализации их собственных идей. И когда я вижу эти горящие глаза, это меня вдохновляет и дает уверенность в том, что мое дело будет продолжено. И их главное открытие через несколько лет будет в том, чтобы найти таких же горящий идеей людей. Ошибка большинства российских крупных компаний, занимающихся компьютерной безопасностью, в том, что они вовремя это не сделали.
Как изменился?
«Я разочаровался в мире»
Годы в бизнесе меня сильно изменили. Во-первых, я научился говорить «нет», но не разучился говорить «да» на многие безумные идеи. Из последних - робот «Убивашка», который находит в помещении насекомых и убивает их лазерным лучом. Вы можете делать это из приложения или в автоматическом режиме.
Я стал жестче, но сохранил в себе романтизм и уверенность, что все возможно, но с жизненным опытом стал более приземлять это на действительность. За эти 15 лет я увидел столько плохого, что, с одной стороны, узнать, какое в мире количество ужасных людей - это страшно, но, с другой стороны, вдохновляет не останавливать нашу работу.
Я очень сильно разочаровался в мире, не зная, что в нем так много всего плохого. Но когда я вижу, как работает команда, и улыбки людей, которым мы помогли, - это придает очень много сил.
Что, если не бизнес?
«Хочу заняться детским образованием»
Я очень люблю заниматься спортом: бег, драться (тайский бокс, борьба), йога, подтягиваться на турнике и участвовать в гонке героев. Я хожу в тренажерный зал, но это чтобы быть в форме, мне не приносит это удовольствия.
Я обожаю работать с детьми, часто езжу работать вожатым в лагерь «Полюс». В будущем я бы хотел создать новую систему детских образовательных лагерей и заняться детским образованием. Сделать его таким, чтобы дети, обучаясь, становились счастливее, чтобы оно помогало им выбирать профессию и вспоминать детство не как бесконечную череду занятий и подготовку к университету. Когда я работаю вожатым в лагере «Полюс», я чувствую огромную отдачу от детей. Я был не самым умным человеком в классе, но благодаря «Полюсу» я получил те навыки, которые позволяли мне достигать значительного большего в коммуникации, юморе, умении говорить перед публикой, дружбе и преодолении предательств.
Еще я очень люблю животных. Дома у меня живут два кота - Купер и Дайана, названные по именам героев сериала «Твин Пикс».
Меня волнует тема жестокого обращения с животными. По работе была серия расследований, связанных с живодерами, и я понял, какое количество людей этим занимаются. Они обычно выглядят, ходят на работу, никем не отслеживаются и не состоят на лечении в стационаре. По количеству регистраций на форуме, по количеству людей, которые выкладывают видео, по транзакциям в криптовалютах за покупки чего-либо можно понять, сколько таких людей. И как я невольно углубился в эту тему, подумал, что это на самом деле суперстремно. Я думаю, что не боюсь смерти, но я бы не хотел попасть к такому живодеру. Такой смерти, от этих людей, я бы очень сильно боялся. Они просто больные.
В чем трабл?
«Хочу научиться жить в эмоциональном разрыве»
Для меня главная сложность совместить текущую реальность с визуализацией у меня в голове будущего, это постоянный процесс. С одной стороны, это очень развивает компанию. С другой, мне тяжело находиться в моменте и представлять, как это должно быть. Я хочу научиться жить в этом эмоциональном разрывом, потому что это много вещей создает, но внутри меня что-то умирает. Я хочу этого избежать.
В высокотехнологичный бизнес основателя Group-IB Илью Сачкова толкнуло желание бороться с несправедливостью: «Я придерживаюсь очень простой философии: делать все возможное, чтобы у людей было меньше неприятностей из-за киберпреступников». За 15 лет Group-IB из маленького детективного агентства выросла в технологическую компанию, проведено более 1 тыс. расследований. Компания заявляет , что 80% резонансных высокотехнологичных преступлений раскрывают при ее участии. Основной доход приносят продукты, позволяющие выявить и предотвратить угрозу еще до того, как преступники успеют нанести бизнесу вред. Group-IB растет в 1,5 раза в год, работает в 60 государствах (половину оборота бизнеса обеспечивают зарубежные представительства), а основатель компании помогает российским властям совершенствовать законодательство в области информационной безопасности и мечтает о децентрализованной корпорации, бизнес которой не зависел бы ни от одного государства в мире. В интервью Inc. Сачков рассказал, почему антивирусы и двухфакторная аутентификация больше не помогут предпринимателям снизить риск кибератаки, почему не всех российских чиновников радует успех отечественной компании за рубежом и как изменился бизнес на информационной безопасности в мире.
Как защитить свою компанию
В 2010 году группировка братьев Дмитрия и Евгения Попелышей сняла 13 млн рублей со счетов более 170 клиентов банков из 46 регионов страны. Преступники получили условные сроки. Наказание не остановило их - позже они похитили более 11 млн рублей с 7 млн счетов. В мае 2015 года в ходе совместной спецоперации МВД и ФСБ в Петербурге Попелышей снова задержали (сотрудники Group-IB присутствовали при обыске в качестве экспертов). А в июне 2018 года хакеров приговорили к 8 годам лишения свободы (их подельники получили от 4 до 6 лет).
Название этой группировки стало известно в 2015 году: за 1 год она установила троян почти на 1 млн смартфонов на Android, чтобы списывать деньги с банковских счетов пользователей. К ноябрю 2016 года правоохранительные органы при участии Group-IB смогли установить 20 членов группы, в 6 регионах России были задержаны 16 преступников.
В 2015 и 2016 годах хакеры атаковали международный сервис онлайн-знакомств AnastasiaDate и спровоцировали многочасовые перебои в работе, требуя деньги за устранение неполадок. Эксперты Group-IB установили личности злоумышленников - ими оказались граждане Украины, которые вымогали деньги у нескольких международных интернет-компаний. В начале 2018 года суд приговорил преступников к условным срокам.
За время работы на рынке у вас увеличился аппаратный вес в том плане, что ваши обращения в полицию сейчас рассматриваются быстрее, чем раньше?
Нет, они для всех рассматриваются одинаково. Но увеличился наш вес в голове у следователя, который понимает, что если аналитика составлена Group-IB, то растет вероятность завершить уголовное дело обвинительным приговором, а не закрыть его из-за того, что он просто не сможет кого-то найти. Мы гарантируем, что все доказательства будут собраны в полном объеме.
- А российская полиция может неформально направить к вам клиента?
Лид от полиции, который попадает в Group-IB, - это что-то нереальное. В целом, у любых правоохранительных органов - а особенно российских - ревностное отношение к качественной экспертизе. Иногда расследования, которые силовики ведут по 2-3 года, мы могли бы провести - именно технически и аналитически - в течение нескольких дней. Очевидно, что назрела острая потребность наладить взаимодействие между правоохранительными органами и компаниями, занимающимися защитой от киберугроз. Пока у нас отношения с органами не такие классные, как многие думают, но мы работаем над этим.
Кто-то из правоохранительных органов может попросить неофициально передавать информацию об инцидентах - мы жестко пресекаем это. Кто-то может попросить сделать работы без договора. Пытаются установить неформальные отношения с сотрудниками. Наезжают на нас за публикацию наших исследований и отчетов. Это правоохранительные органы РФ, а не только полиция, - туда попадают все. Кто знает, о ком я говорю, - передаю им привет.
Последняя возмутительная вещь, из-за которой я реально полдня был вне себя, - недавно на совещании в одном государственном ведомстве нам сказали, что русские компании не могут заниматься компьютерной криминалистикой за рубежом. Если в России есть понятие «завербованные агенты влияния», то этот человек точно подпадает под него. По всему миру летают криминалисты и занимаются исследованием атак, реагированием на инциденты, а русским нельзя? Формулировка была такая: «Потому что ЦРУ вас купит и вы в своем отчете напишете то, что нужно американцам».
- Это было предложение не работать за рубежом или претензия? Что вы ответили?
Это было не предложение. Это произнесли за столом в присутствии представителей нескольких министерств. Я ничего не сказал, потому что не был на этом совещании (информацию мне передало доверенное лицо), но если бы я там был, сказал бы что-то нецензурное. (Сачков не согласился рассказать, о каких ведомствах идет речь, - Inc. )
После России везде просто
- Вы говорили о низком уровне конкуренции в своем секторе на российском рынке. Как вы с этим живете?
Нормально с этим живем. Благодаря этому мы делаем огромное количество RnD, которое позволяет создать крутые технологии на мировом рынке. За прошлый год финансово мы выросли в объемах на 62%, а международный рынок - на 50%. В ближайшее время мы должны получать 50% выручки не в России - к этой цифре мы близки. Россия для нас важна по двум причинам. Во-первых, потому что это наша родина. Во-вторых, это очень хорошая площадка для RnD: много талантливых людей, которые могут делать очень сложные исследования. И как бы Азия и Ближний Восток ни хвалились своими аналитиками, по-прежнему самые лучшие компьютерные аналитики - это русские. В топ-3 они входят вместе с американцами и англичанами.
- Помимо России, в каких странах вы уже работаете?
Наши решения продаются в 60 странах. Активно сейчас развиваются Азия и Ближний Восток - это два самых интересных и адекватных региона для нас. Хорошо идет Латинская Америка. Топ-рынки по интересу и адекватности - это Сингапур, Таиланд, Южная Корея. Безусловно, стабильно развивается Европа и США.
- Вы раньше говорили, что выручка от продаж в госсектор у вас равна нулю. Это уже не так?
Скажем, она начала немного отличаться от нуля. Процент выручки от госвласти в России - это 0.0001%. С недавнего времени у нас появились разовые договоры на криминалистику с полицией и следственным комитетом. В основном, мы оказываем услуги на проведение криминалистических исследований. Это трудоемкая работа, которая раньше делалась за счет клиента. Теперь же за криминалистику может заплатить государство, а клиент может снять с себя финансовую нагрузку. И это большой плюс. Объясню почему.
Раньше вы, как клиент, которого взломали или данные которого зашифровали и вымогают за это деньги, попадали в очередь, чтобы ваш компьютер бесплатно исследовался государством. Очередь эта достигала трех лет. С весны этого года ситуация начала меняться. Государство начало выделять бюджеты на экспертизу в частных компаниях, что существенно ускоряет расследование и делает возможным задержание по «горячим следам». Проверить компьютер стоит от 50 тыс. рублей до 1 млн рублей. В зависимости от экспертизы.
- Где законодательство лучше всего защищает от киберпреступности?
Лучше всего в Америке. Также классно в Нидерландах. Ключевой [фактор] - понимание государством, что если оно лучше защищает население и бизнес от компьютерных преступлений, то экономика страны развивается более динамично.
- Где вам проще работать - здесь или на Западе?
Везде одинаково. После работы в России везде кажется одинаково просто. Я уже столько всего повидал, что могу сказать: в любой стране русский предприниматель точно сильнее, чем любой другой, не видавший того, что происходит здесь, - бюрократии, глупости, преступности, зависти.
- Неужели в Великобритании меньше бюрократии?
Там все достаточно понятно - есть правила, которые известны. У нас правила есть не везде, а иногда, когда говорят, что правила есть, они оказываются совершенно другими.
Судимым вход воспрещен
- Вы говорили , что рынку информационной безопасности мешает политика, имея в виду, что из-за геополитических противоречий между странами вам бывает тяжело получать нужную информацию. Все правильно?
Нет, здесь две разные вещи, и их важно не смешивать. Первая: политика мешает рынку информационной безопасности. Вторая: политика мешает государствам бороться с преступностью. Это как раз связано с методами обмена информацией правоохранительными органами. Сейчас страны друг с другом не кооперируются, если находятся в политическом конфликте, - соответственно, невозможно расследование преступлений, совершенных распределенными группами на территории этих государств, когда жертва в одном месте, а преступник в другом.
Про рынок информационной безопасности: есть примеры, когда она конкретно мешает. Например, компания Digital Security попала под санкции. А у Касперского, как вы знаете, в этом году вообще пропал американский рынок. Рынку это мешает - нам не сильно.
- Потому что вы не попадали под санкции?
Потому что мы не попадем под санкции. Чтобы попасть под санкции, компании, которая занимается кибербезопасностью, например, нужно взять на работу бывшего хакера, не зная, что он бывший хакер. Нельзя брать на работу людей, которые в прошлом совершали противоправные действия. Никогда. Какие бы талантливые программисты или аналитики они ни были. Можно влететь под санкции или потерять доверие клиентов, и все. Основа бизнеса кибербезопасности - это доверие
- Вы проверяете сотрудников на полиграфе?
Да, проверяют полиграф и психолог - при приеме на работу, ежегодно, и еще внезапно ежегодно. Это касается любого сотрудника.
Децентрализованная империя
- Какая ваша стратегическая цель?
Построить компанию по кибербезопасности нового типа, которая не зависит ни от одного государства. Компанию, в офисах которой практически в каждой стране полностью дублируется вся инфраструктура, которая есть здесь, в России. Моя задача - сделать огромную структуру географически распределенных точек (в моей модели их должно быть не меньше 40), где полностью продублирована логика российского офиса Group-IB. Лаборатория компьютерной криминалистики, подразделение, которое занимается расследованиями, Security Operation центр, локальные ресерчеры, структуры мониторинга за преступниками. Так не делает никто. Для чего это нужно? Чтобы бороться с преступностью, - это моя основная мотивирующая цель.
Чтобы не было этих трансграничных проблем, которые связаны с тем, что государства не выдают друг другу информацию?
Первое время не умел говорить «нет»
Клиенту, сотруднику, кому угодно. Умение говорить «нет» - важное качество для предпринимателя. Я его развил в себе не сразу. Хотелось быть добрым и всем помогать, но многие люди начинают узурпировать, вешаться на шею, и это заканчивается нехорошо.
Не делегировал задачи
Раньше я любил проверять вообще все - смотрел, что происходит в каждом проекте. Это возможно сделать, когда в компании 15 человек, но невозможно - когда 300. Можно просто разорваться. Сейчас у меня хорошая команда, но все-таки некоторые процессы я люблю контролировать до мелочей. Например, рассматриваю все наши интерфейсы до релиза, читаю тексты на нашем сайте и приглашения на конференцию. Иногда люблю залезть в CRM и прямо по сделке очень глубоко поговорить с сейлом. Сейчас я не считаю это ошибкой - это всех держит в тонусе.
Несколько лет назад одно из наших расследований зашло в тупик. Преступник угрожал человеку анонимными письмами и при этом не совершал ошибок, которые бы позволили установить его личность методами компьютерной криминалистики. Вдруг один из членов нашей команды на несколько дней пропал из жизни (мы его реально потеряли), а потом вернулся с решением.
Наш коллега обратил внимание на то, что в одном из писем злоумышленник обмолвился, что в определённом городе когда-то проживал его репрессированный родственник. Наш сотрудник собрал все возможные архивы и построил генеалогические древа людей, которые были репрессированы в конкретном городе в конкретный год.
Даже сейчас мне эта работа кажется практически нереальной. Тем не менее, нашлось всего 12 живых людей, подходящих под описание. Один из них был знаком нашему клиенту, и он сразу понял, в чём состояли мотивы шантажиста.
Сотрудник, который раскрыл это преступление, - аутист. Эта особенность наделила его нестандартным мышлением и способностью потрясающе глубоко погружаться в работу. Аутизм может быть преимуществом, и я рад, что люди с такой особенностью работают в моей компании.
Вовремя найти
Впервые я познакомился с аутистом в 2007 году - во время одного расследования. Это была встреча с преступником. Позже, проводя другие расследования, мы увидели, что некоторые типы компьютерных преступлений (например, это написание вирусов) часто совершают именно аутисты - иногда у преступников был диагноз, иногда мы сами это определяли в процессе общения.
Почему аутисты становятся на противоправный путь? Огромная проблема нашего государства (да и общества) состоит в том, что мы ничего не знаем об аутизме и с этими ребятами никто системно не работает. Всё начинается в детстве. Проблемы в семье или в школе, агрессия и насилие озлобляют ребёнка. Если у него есть доступ к компьютеру, он быстро понимает, что с его помощью может отомстить обществу.
Когда мы обратили на это внимание, начали изучать медицинскую и психологическую литературу. У нас в библиотеке хранятся исследования учёных из Гарварда, Кембриджа и других научных центров. Постепенно мы начали проводить собственные исследования и убедились в том, что аутисты - потрясающе интересные люди.
В России распространён миф, будто аутизм - это ограничение. Это абсолютно не так. Просто важно найти подход - в семье, в школе, на работе. Тогда аутисты станут элементом пазла, который позволит обществу решать многие важные задачи.
Особые цели
Если поместить аутиста в благоприятную среду, общаться с ним и направлять в нужную сторону, он станет одним из лучших в команде. Особенно это заметно в компьютерной сфере, потому что аутисты - трудолюбивые, креативные, интересные. Это потрясающе важно, и я хочу построить целую систему профессиональной подготовки для аутистов, которые интересуются компьютерами.
В моей компании на разных позициях аутисты работают давно. Некоторые наши патенты и разработки - полностью результат работы людей с этим свойством. Я сам в некоторых особенностях характера тоже немного аутист и считаю, что это крутое преимущество. Например, иногда я становлюсь отстранённым и это позволяет мне потрясающе концентрироваться на делах. Но, конечно, у меня это проявляется не в такой степени, как у некоторых ребят из нашей компании - они способны на по-настоящему выдающиеся вещи.
На мой взгляд, аутисты хорошо подходят для аналитической работы, работы с большими данными, разработки, рутинных интеллектуальных задач. Речь идёт о написании больших технических текстов, поиске ошибок в коде, построении длинных логических цепочек и поиске последовательностей в огромных массивах данных.
В нашем деле очень важно уметь связывать между собой события, на первый взгляд кажущиеся случайными, и аутистам в этом нет равных.
Установить контакт
Но есть и сложные моменты. Способы мотивации, которые работают для большинства сотрудников, аутистам не подходят. Стандартные корпоративные правила и принципы коммуникации могут вызывать неожиданную реакцию. К примеру, аутисты ценят юмор, но иногда никак не показывают это внешне. Ещё у них не вызывают интереса корпоративные праздники - если таких людей в коллективе немало, нужно устраивать что-то особенное. Но если помнить об особенностях коллег, общаться с ними можно идеально. Важен подход - этих людей нужно лелеять и ценить.
Человек, который считает, что с аутистами не нужно общаться, не нужно их брать на работу, - это необразованный человек. Если потратить время на изучение психологии и правильно построить работу, для любой компании (особенно в IT), аутист будет лучшим сотрудником. Повторюсь, аутизм - потрясающе крутое свойство.
Я знаю и предпринимателей-аутистов. С некоторыми даже дружу, но в общении эта тема остаётся табуированной, потому что слово «аутист» многие воспринимают как ругательство. Вряд ли с этим можно быстро что-то сделать, поэтому я бы ввёл новое понятие, сделал бы кардинальный ребрендинг.
Фотография на обложке: Bloomberg / Getty Images
