Алина Назарова (А. Н.): Как вы объясняете людям суть того, чем занимаетесь?

Илья Сачков (И. С.): Наша работа состоит из двух частей. Первая – исторически мы «патологоанатомы» и «шерлоки холмсы» в области компьютерной преступности. Что это значит? Патологоанатом разбирает уже произошедшие ситуации и объясняет бизнесу, как они стали возможными. Например, с коррсчета банка пропадают деньги. Почему – банк понять не может: вариантов много, начиная с внутренних ошибок до участия сотрудников в сговоре. Нужна третья сторона, обладающая экспертизой. Мы выясним не только, что именно произошло, но и почему, кто виноват, и очень постараемся сделать так, чтобы виновный понес наказание. Вторая часть – технологии слежения за хакерами и вообще за интернетом. Это позволяет предсказывать преступления не методом гадания, а с инженерной точностью. У нас хватает данных, чтобы сказать – у компании могут украсть деньги. Или даже: Х собирается напасть на Y. Все бизнесы строят некие периметры защиты, а мы делаем радары раннего предупреждения атак. Мы продаем, экспортируем и продолжаем проводить сложные расследования.

На житейском уровне ситуация выглядит так: вам прислали анонимное письмо с угрозами, а мы выясняем, кто это сделал. У вас pашифровали все данные, а мы с большой долей вероятности сможем это расшифровать, скажем: была ли это целевая или случайная атака, и, наверное, найдем ребят, которые это совершили.

А. Н.: Когда был основан ваш бизнес, как за это время трансформировались угрозы? Наверное, в начале 2000-х деньги воровали гораздо чаще.

И. С.: Компания появилась в 2003 году, мы тогда еще были студентами. Пик воровства денег был долгим и растянулся по времени с 2010 по 2018 год. Сейчас преступления более изощренные и «условно невидимые». Банки атакуют редко. Это, конечно, происходит, но чаще нападают на физлиц.

Потом появился интернет-банкинг. В 2007 году начали воровать деньги со счетов и у физлиц, и у юрлиц. Рост преступлений продолжался до 2016 года, причем в 2012–2013 годах большинство банков отказывались признавать существование проблемы и перекидывали ее на клиента (потому что в банк приходили платежки с цифровой подписью).

В 2011–2012 годах везде внедряли двухфакторную аутентификацию: она не стала панацеей, и такие вирусы, как Carberp, и еще несколько других, с этой задачей справлялись. В тот же момент – примерно до 2016 года – расследовались многие крупные дела русскоязычной компьютерной преступности. Потом мошенникам стало понятно, что, во-первых, воровать у крупных компаний опасно, во-вторых, рост числа мобильных устройств (особенно на системе Android) подсказывает им, что можно переключиться на «физиков». Либо они начинают жить с девизом «по .ru не работаю». Это связано не с политикой, а с безопасностью: найти внутри страны людей, которые совершают преступления, очень легко. В результате они выбирают цели в государствах, с которыми у России есть какие-либо проблемы – в США, Великобритании, Евросоюзе и так далее.

А. Н.: Получается, что преступлений не стало меньше, они просто перераспределились по другим рынкам?

И. С.: Да, но не все так просто. Совсем недавно мы видели, как иранцы запускали в России купленные ими вирусы-шифровальщики. Как правило, интересные алгоритмы и новые типы атак по-прежнему придумывает русскоговорящая преступность.

А. Н.: Банки на слуху – а кто еще страдает от хакерских атак: кто еще уязвим перед ними?

И. С.: Преступники делятся на три типа. 99% финансово мотивированы. В оставшемся проценте есть политически мотивированные (мы называем их «группы, предположительно финансируемые государствами или политическими партиями») и террористы. Бизнес в подавляющем большинстве случаев сталкивается с первым типом. На практике это шифровка данных с остановкой инфраструктуры и необходимостью платить выкуп в криптовалюте либо атака через интернет-банкинг. Но банки много об этом говорят, стали обмениваться друг с другом информацией, обучили пользователей и выверяют большие платежки, а Центробанк сделал ФинЦЕРТ, который помогает координировать такую работу. В общем, украсть деньги у юридического лица стало гораздо труднее, но единичные случаи по-прежнему происходят. Иногда, если говорить о среднем и мелком бизнесе, этим занимаются бухгалтеры. Самая же частая история – потерять деньги через вирус-шифровальщик.

Что касается двух других типов преступников, то менее профессиональные вывешивают пропаганду. Например, террористическая организация ломает медиаресурс с широкой аудиторией и оставляет там видео казни: чаще всего этим занимаются очень молодые ребята. Более подготовленных интересует критическая инфраструктура – опасное производство, водоканалы, энергетика, нефтянка, промышленность и тому подобное. Это самый сложный сектор. Исторически он пережил очень мало атак, отсюда иллюзия защищенности. Якобы ничего не происходит потому, что мы хорошо забаррикадировались.

С финансово мотивированными все понятно. У тебя были деньги, а потом их не стало. А хакер-террорист или хакер-шпион ничего такого не делает, хлопка не происходит. Он проникает в систему и может находиться в ней годами, до наступления определенного момента. Допустим, он ждет уличную демонстрацию и в нужное время отключает свет. Эта незаметность очень расслабляет людей, защищающих критическую инфраструктуру. Банки были такими же примерно до 2010 года, зато сейчас они отлично все понимают: работать с ними проще всего.

С другой стороны картину меняют телефонные фейки. Скажем, большинство россиян не понимают, что номер телефона и голос больше не считаются идентификатором личности. Сейчас многие попадаются на удочку телефонных мошенников, которые представляются оператором банка (однако это еще не компьютерная преступность, это низший уровень цепочки). В скором времени проблемой станут целевые атаки на обеспеченных клиентов с подменой голоса и номера телефона. Например, звонок помощнице от имени руководителя с поручением отправить платежку.

А. Н.: Да, такое мошенничество клиента банку контролировать труднее. Но банки проделали большую работу.

И. С.: Когда-то нам не верили, слушая, как мы говорим о проблемах банков и их клиентов. «Не фантазируйте, этого не может быть». С тех пор все изменилось, а некоторые банки даже стали проводить специальные конференции по кибербезопасности. Теперь то же самое с критически важной инфраструктурой, а мы ходим и говорим: «Иран, Северная Корея, США, Китай активно работают на территории России». Компьютерная криминалистика – очень точная наука, по любому своему утверждению мы можем выгрузить отчет, показывающий всю причинно-следственную связь. Это невозможно придумать, а если все-таки придумаешь, тебя будет очень легко уличить. То есть по большому счету угрозы растут, но в плане защищенности финансов мы живем в самое безопасное время. Достаточно всего лишь знать основы.

А. Н.: Что, на ваш взгляд, нужно знать людям сегодня? Что самое важное?

И. С.: Банально, но по-прежнему актуально обновлять прошивку домашнего роутера, потому что красивый фишинг сегодня происходит через подмену маршрутизации на роутере. Заходишь дома на сайт банка, а роутер тебя перенаправляет на этот же URL, но ты будешь находиться на другом IP-адресе.

А. Н.: Да, известная история. Вроде бы вы покупали билет на «Сапсан», но в момент списания что-то пошло не так.

И. С.: Мы говорим об этом уже два года. Но советов можно дать гораздо больше. Если вы беспокоитесь о своих персональных данных, то нужна двухфакторка во всех мессенджерах. Обязательно включите облачный пароль и проверьте, чтобы близкие его тоже включили. В Telegram, и не только, можно работать с нескольких устройств. Чтобы активировать новую сессию, нужно либо сканировать QR-код, либо получить одноразовый код. Последний можно получить так, что ты об этом не узнаешь. Cессию сделают ночью, или когда человек находится в самолете, и загрузят всю облачную переписку, кроме секретных чатов. Это гигабайтов 10 информации: их выкачивают, сессию удаляют, и ты ничего не замечаешь. С облачным паролем злоумышленники ничего не добьются. Эти встроенные средства защиты есть в Telegram, но зачастую ими не пользуются. Как результат – в конце прошлого года к нам обратились сразу несколько предпринимателей, у которых таким образом «увели» переписку. По закону Мерфи случается так: я кому-нибудь это рассказываю, проходит несколько дней, и человек мне говорит: «У меня вскрыли Telegram». Я тут же переспрашиваю насчет облачного пароля, но его, конечно, так и не включили. В этот момент всем становится грустно: люди осознают, как легко было избежать проблем; а мне еще грустнее, потому что не понимаю, зачем я тратил время на объяснения. Дальше можно считать ущерб: обычно у злоумышленников появляются прекрасные возможности для блэкмейла и новых взломов.

А. Н.: Почему это происходит? Почему люди допускают такие ошибки?

И. С.: Потому что у них возникает иллюзия безопасности. Они могут довериться кому-то, кто скажет им, что все проверено, все нормально. Кибербезопасность – это сложно, а уровень предоставляемых в России услуг часто низок, профессионалов слишком мало. Бизнес сталкивается с дилетантами или безопасниками, которые сами начинают шантажировать нанимателей. После такого легко подумать, что все в этой профессии одинаковые. В реальности на рынке много людей, которые просто получили высшее образование, но не понимают, что они делают.

Простому пользователю можно защититься, поставив двухфакторку везде, где только можно: от Instagram и Facebook до Dropbox и учетной записи в Microsoft. Лучше, если пароли вы будете получать не в смс, а в Google Authenticator либо программе-аналоге, которая позволяет одноразовые пароли получать в телефон. Тогда у вас невозможно похитить данные через оператора связи или вынув sim-карту.

Как действуют профессионалы? Они смотрят, какие вообще к вам смс приходят, потом заказывают на черном рынке биллинг, понимают, какие у вас остатки на счетах в каких банках, какие сервисы присылают одноразовые пароли. Потом делают доверенность или поддельный паспорт на вас и меняют sim-карту. У вас sim-карта перестает работать – и деньги воруются.
Еще один совет – загружать обновления ПО сразу. Владельцам техники Apple обычно лень: они делают это через пару дней, но первые дни как раз и есть зона риска. В это время исправляются ошибки безопасности, и то же самое касается Microsoft.

Теперь совет, касающийся уличной безопасности: у большинства в телефоне есть e-mail, привязанный к iCloud и другим сервисам. Вы не должны иметь возможности проверить такой e-mail с мобильного. Если у вас вырывают телефон из рук – а он разблокирован, – то человек может восстановить через почтовый ящик доступ к iCloud, заблокировать другие устройства, например часы, или, если в iCloud были резервные копии других устройств, получить к ним доступ. Поэтому e-mail для iCloud должен отличаться от переписочного.

К сожалению, в Европе и крупных городах России такие кражи телефонов – популярная история. Одно дело, когда ты теряешь коробку, другое дело – когда теряешь коробку и данные.

А. Н.: Что такое хороший КПД сейчас для талантливого хакера?

И. С.: В месяц – 1-2 млн долларов. 30 млн долларов в год – это нормально.

Описанная модель становится более реалистичной, если у хакера есть задача шпионажа. Но и она решается быстрее, поскольку подобрать контрагента можно без выписки. Любая компания, работающая с крупным брендом, гордо указывает это на сайте: «Наш клиент – банк такой-то, энергетическая компания такая-то». Смотрим, кто контрагент, и от его имени формируем письмо. E-mail и мессенджеры – сейчас основной ключ к инфраструктуре, главный источник проникновения.

Тем не менее сегодня попасть в элиту самых защищенных людей мира, условно в 1%, можно за день-два обучения, потратив на это либо ноль денег, либо небольшую сумму. Все зависит от правильных процессов.

А. Н.: Кто ваши клиенты и в каких они секторах? Как меняется рынок? Например, у вас есть офис в Сингапуре – очевидно, что спрос есть не только на внутреннем рынке.

И. С.: В ближайшее время у нас будут офисы не только в Сингапуре, но и в Амстердаме: как только откроют границы, туда из России поедут 15 человек. Глобально проблема в том – и об этом я говорил недавно Михаилу Мишустину, – что спрос на наши технологии вовне гораздо выше. Причем спрос есть даже со стороны тех стран, которые минимально работают с русскими компаниями: например, в текущем году мы начали получать выручку от американских клиентов.

Что касается секторов, то на 30% – это финансы, на 20% – критическая инфраструктура и промышленность, еще 30% – интернет-компании, ритейл. В последнюю категорию попадают кинокомпании и известные бренды, у которых преступность связана с кражей интеллектуальной собственности, – это поддельные сайты, пиратские фильмы.

А. Н.: Пандемия и локдаун помогли всплеску киберпреступности?

И. С.: Да, это произошло. Мы не ушли на удаленку сразу, вместе со всеми. В первую неделю работы сотрудникам платился двойной оклад. Затем мы быстро получили пропуска и разрешение функционировать круглосуточно. Часть команды в итоге начала работать дома, но основа всегда находилась и находится в офисе: тестирования на коронавирус мы проводим каждую неделю.

Почему мы выбрали такой путь? Все оказались на удаленке, и корпоративный периметр перестал защищать людей. Во-первых, были архитектурные ошибки перевода на удаленку, начиная с того же неправильно настроенного доступа. Во-вторых, люди теперь активнее пользуются домашними компьютерами, а значит, объекты атаки – домашние роутеры, проще говоря, стало больше фишинга.

Было и много обычного школьного хулиганства, вроде атак на учителей, взломов их соцсетей, и, конечно, часть подростков пополнили ряды компьютерных преступников. Интересные моменты возникли с подписками (новостями про COVID-19), с цифровыми пропусками, пропусками по России, пропусками на вылет из России, электронным голосованием. На черном рынке продавался доступ к камерам видеонаблюдения Москвы, вплоть до больниц и СИЗО. Вы подключаетесь, и можно следить за кем-то; даже вращать камеру.

Удаленка породила, на мой взгляд, в мире две волны: киберпреступности и творческих проектов. Сейчас государства выступают за закрытие границ и контроль в сети – но, думаю, русские школьники все это обойдут.

А. Н.: Творческие объединения – они по количеству мозгов превосходят те силы, которыми располагает государство?

И. С.: Не хочу никого обидеть, но инженеры в частной компании будут всегда в целом лучше. HR-стратегия заключается в том, что если ты талантливый школьник, студент и хочешь заниматься кибербезопасностью, у тебя есть опция – пойти в частную компанию с возможностью путешествовать и иметь высокий оклад.

Работать на государство – означает носить форму, соблюдать устав, возможно, получить доступ к гостайне и потерять возможность заграничных путешествий. Таким образом, госструктуру человек выберет либо из-за родственников (например, папа работал), либо в силу романтизма: круто, что тебя пригласили. Я, например, получал такое приглашение, причем с опцией стажироваться за рубежом. Но на тот момент уже существовал Group-IB, а параллельно я работал на телекоммуникационную компанию. Реакция моего начальника, когда он узнал о приглашении, была следующая: «Выключи все свои картиночки из фильмов про Джеймса Бонда. В лучшем случае ты просидишь в посольстве и до конца дней ничего не сделаешь».

А. Н.: Со скольки лет к вам в Group-IB может попасть талант? Как строится HR-стратегия? Как простому школьнику, победителю олимпиады, оказаться в Group-IB?

И. С.: Просто написать нам письмо. Мы дадим тестовое задание: если школьник его решит, предложим стажировку. Если он ее пройдет хорошо, сразу предложим работу независимо от возраста и наличия высшего образования. Плюс, мы делаем конкурсы, такие как проект «Цикада» (хотя сам проект «Цикада» не мы делали): это, условно, квесты в интернете, но очень сложные, где нужны комбинаторика и реверс-инжиниринг. Если люди туда попадают, то занимаются квестами несколько месяцев.

С молодежью очень сложно: я сейчас веду четвертый и пятый курсы в МГТУ им. Н. Э. Баумана, и могу сказать, что в школах у них не было никакой профподготовки – они поступили на специальность, не имея представления о том, чем будут заниматься. Студенты думают, что все как в фильмах про хакеров, но не знают, что во многих профессиях нужно и дизассемблировать. То есть они будут несчастливы в профессии. Невозможно работать, если ты несчастлив.

Студенты не выбирают специализацию, а просто поступают на компьютерную безопасность. Это несет в себе примерно такой же смысл, как само по себе поступление в мединститут. В медицине важны специализации: в частности, хирург может быть нейрохирургом или кардиохирургом. Я считаю, что на понимание фундамента требуется два года, а потом ты должен выбирать направление. Но сегодня и кибербезопасность, и банковская безопасность существуют вместе. В итоге, если студент учится шесть лет и не работает, то четыре года из них он тратит просто так.

Поэтому мы не можем найти людей даже на позиции frontend-разработчиков, хотя профессия популярная. За полтора года мы наняли только девять человек, и нам нужны еще 15 – то есть легче взять школьника и научить его с нуля буквально всему. Да, это несколько лет работы и ожидания, но других вариантов нет. Тем же самым заняты сейчас мои коллеги в Сингапуре: они, договорившись с несколькими университетами, берут стажеров и начинают их растить. Кадровый голод все сильнее, и не только у нас. С кем я ни поговорю – везде похожая ситуация, и неважно, продавца ты ищешь или управленца.

А. Н.: Каких технологических новинок нам ждать от Group-IB? С помощью чего вы собираетесь менять этот мир в ближайшие три года?

И. С.: Мы уже должны были запустить кое-что, но помешал коронавирус.

Главная новинка позволит видеть атаку в режиме реального времени, выстраивая причинно-следственную связь между тем, что происходит у вас в сети, и, условно, конкретным лицом. Тут мы не оперируем понятиями «вирус», «угроза», мы атрибутируем реального злоумышленника. Так что, если все сделаем правильно, безопасность многих хакеров и преступных группировок просто разрушается. Это полностью изменит картину боя.

Вдобавок, у нас есть разработка, которая пригодится каждому человеку. Пока не буду говорить подробнее, полноценные анонсы ждите на нашей конференции CyberCrimeCon.

Помимо новинок есть еще один важный процесс, который происходит в Group-IB прямо сейчас, – мы активно и последовательно децентрализируем компанию. Задача – довести бизнес до состояния, в котором он не зависит ни от одного государства.

А. Н.: Кто сегодняшние лидеры IT-индустрии: в кого стоит, а в кого не стоит инвестировать?

И. С.: Отношу к ним Amazon, в которых я вовремя вложил деньги, и Intel.

Ценность представляют любые компании, которые меняют жизнь людей. Например, Netflix в самом начале или окруженный хейтерами Илон Маск. Всех остальных побеждают стартапы.

Предупреждаю, мои слова – это не инвестиционная рекомендация. Я могу ошибаться, но считаю, что Apple уже не будет расти: период радикальных инноваций для них закончился. Появится что-то другое. Долю Facebook будут отъедать китайцы.

В целом, растет сектор кибербезопасности, потому что преступность и политика никуда не исчезают, а значит, обойтись без специалистов невозможно. Думаю, преступность резко сократится, когда политики договорятся, как с нею бороться, но еще лет 20 они не договорятся. Можно вкладываться.