Кто побеждает в кибербоях
Money Talks c Алиной Назаровой
С каждым годом киберпреступность приобретает все большие масштабы: открытые военные операции, шпионаж и саботаж не так часто выходят на первые полосы СМИ, однако специалистам, разрабатывающим технологии по отслеживанию и нейтрализации угроз, очевидно – бизнес, а иногда и целые государства не всегда готовы противостоять атакующим. Как узнать врага в лицо и выбрать релевантную защиту для себя и своего бизнеса, не тратя баснословных сумм на никому не нужные антивирусы, узнала руководитель А-Клуба Алина Назарова в беседе с Ильей Сачковым, генеральным директором и основателем Group-IB.

Алина Назарова (А. Н.): Как вы объясняете людям суть того, чем занимаетесь?
Илья Сачков (И. С.): Наша работа состоит из двух частей. Первая – исторически мы «патологоанатомы» и «шерлоки холмсы» в области компьютерной преступности. Что это значит? Патологоанатом разбирает уже произошедшие ситуации и объясняет бизнесу, как они стали возможными. Например, с коррсчета банка пропадают деньги. Почему – банк понять не может: вариантов много, начиная с внутренних ошибок до участия сотрудников в сговоре. Нужна третья сторона, обладающая экспертизой. Мы выясним не только, что именно произошло, но и почему, кто виноват, и очень постараемся сделать так, чтобы виновный понес наказание. Вторая часть – технологии слежения за хакерами и вообще за интернетом. Это позволяет предсказывать преступления не методом гадания, а с инженерной точностью. У нас хватает данных, чтобы сказать – у компании могут украсть деньги. Или даже: Х собирается напасть на Y. Все бизнесы строят некие периметры защиты, а мы делаем радары раннего предупреждения атак. Мы продаем, экспортируем и продолжаем проводить сложные расследования.
На житейском уровне ситуация выглядит так: вам прислали анонимное письмо с угрозами, а мы выясняем, кто это сделал. У вас pашифровали все данные, а мы с большой долей вероятности сможем это расшифровать, скажем: была ли это целевая или случайная атака, и, наверное, найдем ребят, которые это совершили.
А. Н.: Когда был основан ваш бизнес, как за это время трансформировались угрозы? Наверное, в начале 2000-х деньги воровали гораздо чаще.
И. С.: Компания появилась в 2003 году, мы тогда еще были студентами. Пик воровства денег был долгим и растянулся по времени с 2010 по 2018 год. Сейчас преступления более изощренные и «условно невидимые». Банки атакуют редко. Это, конечно, происходит, но чаще нападают на физлиц.
Потом появился интернет-банкинг. В 2007 году начали воровать деньги со счетов и у физлиц, и у юрлиц. Рост преступлений продолжался до 2016 года, причем в 2012–2013 годах большинство банков отказывались признавать существование проблемы и перекидывали ее на клиента (потому что в банк приходили платежки с цифровой подписью).
В 2011–2012 годах везде внедряли двухфакторную аутентификацию: она не стала панацеей, и такие вирусы, как Carberp, и еще несколько других, с этой задачей справлялись. В тот же момент – примерно до 2016 года – расследовались многие крупные дела русскоязычной компьютерной преступности. Потом мошенникам стало понятно, что, во-первых, воровать у крупных компаний опасно, во-вторых, рост числа мобильных устройств (особенно на системе Android) подсказывает им, что можно переключиться на «физиков». Либо они начинают жить с девизом «по .ru не работаю». Это связано не с политикой, а с безопасностью: найти внутри страны людей, которые совершают преступления, очень легко. В результате они выбирают цели в государствах, с которыми у России есть какие-либо проблемы – в США, Великобритании, Евросоюзе и так далее.
А. Н.: Получается, что преступлений не стало меньше, они просто перераспределились по другим рынкам?
И. С.: Да, но не все так просто. Совсем недавно мы видели, как иранцы запускали в России купленные ими вирусы-шифровальщики. Как правило, интересные алгоритмы и новые типы атак по-прежнему придумывает русскоговорящая преступность.
А. Н.: Банки на слуху – а кто еще страдает от хакерских атак: кто еще уязвим перед ними?
И. С.: Преступники делятся на три типа. 99% финансово мотивированы. В оставшемся проценте есть политически мотивированные (мы называем их «группы, предположительно финансируемые государствами или политическими партиями») и террористы. Бизнес в подавляющем большинстве случаев сталкивается с первым типом. На практике это шифровка данных с остановкой инфраструктуры и необходимостью платить выкуп в криптовалюте либо атака через интернет-банкинг. Но банки много об этом говорят, стали обмениваться друг с другом информацией, обучили пользователей и выверяют большие платежки, а Центробанк сделал ФинЦЕРТ, который помогает координировать такую работу. В общем, украсть деньги у юридического лица стало гораздо труднее, но единичные случаи по-прежнему происходят. Иногда, если говорить о среднем и мелком бизнесе, этим занимаются бухгалтеры. Самая же частая история – потерять деньги через вирус-шифровальщик.
Что касается двух других типов преступников, то менее профессиональные вывешивают пропаганду. Например, террористическая организация ломает медиаресурс с широкой аудиторией и оставляет там видео казни: чаще всего этим занимаются очень молодые ребята. Более подготовленных интересует критическая инфраструктура – опасное производство, водоканалы, энергетика, нефтянка, промышленность и тому подобное. Это самый сложный сектор. Исторически он пережил очень мало атак, отсюда иллюзия защищенности. Якобы ничего не происходит потому, что мы хорошо забаррикадировались.
С финансово мотивированными все понятно. У тебя были деньги, а потом их не стало. А хакер-террорист или хакер-шпион ничего такого не делает, хлопка не происходит. Он проникает в систему и может находиться в ней годами, до наступления определенного момента. Допустим, он ждет уличную демонстрацию и в нужное время отключает свет. Эта незаметность очень расслабляет людей, защищающих критическую инфраструктуру. Банки были такими же примерно до 2010 года, зато сейчас они отлично все понимают: работать с ними проще всего.
С другой стороны картину меняют телефонные фейки. Скажем, большинство россиян не понимают, что номер телефона и голос больше не считаются идентификатором личности. Сейчас многие попадаются на удочку телефонных мошенников, которые представляются оператором банка (однако это еще не компьютерная преступность, это низший уровень цепочки). В скором времени проблемой станут целевые атаки на обеспеченных клиентов с подменой голоса и номера телефона. Например, звонок помощнице от имени руководителя с поручением отправить платежку.
А. Н.: Да, такое мошенничество клиента банку контролировать труднее. Но банки проделали большую работу.
И. С.: Когда-то нам не верили, слушая, как мы говорим о проблемах банков и их клиентов. «Не фантазируйте, этого не может быть». С тех пор все изменилось, а некоторые банки даже стали проводить специальные конференции по кибербезопасности. Теперь то же самое с критически важной инфраструктурой, а мы ходим и говорим: «Иран, Северная Корея, США, Китай активно работают на территории России». Компьютерная криминалистика – очень точная наука, по любому своему утверждению мы можем выгрузить отчет, показывающий всю причинно-следственную связь. Это невозможно придумать, а если все-таки придумаешь, тебя будет очень легко уличить. То есть по большому счету угрозы растут, но в плане защищенности финансов мы живем в самое безопасное время. Достаточно всего лишь знать основы.
А. Н.: Что, на ваш взгляд, нужно знать людям сегодня? Что самое важное?
И. С.: Банально, но по-прежнему актуально обновлять прошивку домашнего роутера, потому что красивый фишинг сегодня происходит через подмену маршрутизации на роутере. Заходишь дома на сайт банка, а роутер тебя перенаправляет на этот же URL, но ты будешь находиться на другом IP-адресе.
А. Н.: Да, известная история. Вроде бы вы покупали билет на «Сапсан», но в момент списания что-то пошло не так.
И. С.: Мы говорим об этом уже два года. Но советов можно дать гораздо больше. Если вы беспокоитесь о своих персональных данных, то нужна двухфакторка во всех мессенджерах. Обязательно включите облачный пароль и проверьте, чтобы близкие его тоже включили. В Telegram, и не только, можно работать с нескольких устройств. Чтобы активировать новую сессию, нужно либо сканировать QR-код, либо получить одноразовый код. Последний можно получить так, что ты об этом не узнаешь. Cессию сделают ночью, или когда человек находится в самолете, и загрузят всю облачную переписку, кроме секретных чатов. Это гигабайтов 10 информации: их выкачивают, сессию удаляют, и ты ничего не замечаешь. С облачным паролем злоумышленники ничего не добьются. Эти встроенные средства защиты есть в Telegram, но зачастую ими не пользуются. Как результат – в конце прошлого года к нам обратились сразу несколько предпринимателей, у которых таким образом «увели» переписку. По закону Мерфи случается так: я кому-нибудь это рассказываю, проходит несколько дней, и человек мне говорит: «У меня вскрыли Telegram». Я тут же переспрашиваю насчет облачного пароля, но его, конечно, так и не включили. В этот момент всем становится грустно: люди осознают, как легко было избежать проблем; а мне еще грустнее, потому что не понимаю, зачем я тратил время на объяснения. Дальше можно считать ущерб: обычно у злоумышленников появляются прекрасные возможности для блэкмейла и новых взломов.
А. Н.: Почему это происходит? Почему люди допускают такие ошибки?
И. С.: Потому что у них возникает иллюзия безопасности. Они могут довериться кому-то, кто скажет им, что все проверено, все нормально. Кибербезопасность – это сложно, а уровень предоставляемых в России услуг часто низок, профессионалов слишком мало. Бизнес сталкивается с дилетантами или безопасниками, которые сами начинают шантажировать нанимателей. После такого легко подумать, что все в этой профессии одинаковые. В реальности на рынке много людей, которые просто получили высшее образование, но не понимают, что они делают.
Простому пользователю можно защититься, поставив двухфакторку везде, где только можно: от Instagram и Facebook до Dropbox и учетной записи в Microsoft. Лучше, если пароли вы будете получать не в смс, а в Google Authenticator либо программе-аналоге, которая позволяет одноразовые пароли получать в телефон. Тогда у вас невозможно похитить данные через оператора связи или вынув sim-карту.
Как действуют профессионалы? Они смотрят, какие вообще к вам смс приходят, потом заказывают на черном рынке биллинг, понимают, какие у вас остатки на счетах в каких банках, какие сервисы присылают одноразовые пароли. Потом делают доверенность или поддельный паспорт на вас и меняют sim-карту. У вас sim-карта перестает работать – и деньги воруются.
Еще один совет – загружать обновления ПО сразу. Владельцам техники Apple обычно лень: они делают это через пару дней, но первые дни как раз и есть зона риска. В это время исправляются ошибки безопасности, и то же самое касается Microsoft.
Теперь совет, касающийся уличной безопасности: у большинства в телефоне есть e-mail, привязанный к iCloud и другим сервисам. Вы не должны иметь возможности проверить такой e-mail с мобильного. Если у вас вырывают телефон из рук – а он разблокирован, – то человек может восстановить через почтовый ящик доступ к iCloud, заблокировать другие устройства, например часы, или, если в iCloud были резервные копии других устройств, получить к ним доступ. Поэтому e-mail для iCloud должен отличаться от переписочного.
К сожалению, в Европе и крупных городах России такие кражи телефонов – популярная история. Одно дело, когда ты теряешь коробку, другое дело – когда теряешь коробку и данные.
А. Н.: Что такое хороший КПД сейчас для талантливого хакера?
И. С.: В месяц – 1-2 млн долларов. 30 млн долларов в год – это нормально.
Описанная модель становится более реалистичной, если у хакера есть задача шпионажа. Но и она решается быстрее, поскольку подобрать контрагента можно без выписки. Любая компания, работающая с крупным брендом, гордо указывает это на сайте: «Наш клиент – банк такой-то, энергетическая компания такая-то». Смотрим, кто контрагент, и от его имени формируем письмо. E-mail и мессенджеры – сейчас основной ключ к инфраструктуре, главный источник проникновения.
Тем не менее сегодня попасть в элиту самых защищенных людей мира, условно в 1%, можно за день-два обучения, потратив на это либо ноль денег, либо небольшую сумму. Все зависит от правильных процессов.
А. Н.: Кто ваши клиенты и в каких они секторах? Как меняется рынок? Например, у вас есть офис в Сингапуре – очевидно, что спрос есть не только на внутреннем рынке.
И. С.: В ближайшее время у нас будут офисы не только в Сингапуре, но и в Амстердаме: как только откроют границы, туда из России поедут 15 человек. Глобально проблема в том – и об этом я говорил недавно Михаилу Мишустину, – что спрос на наши технологии вовне гораздо выше. Причем спрос есть даже со стороны тех стран, которые минимально работают с русскими компаниями: например, в текущем году мы начали получать выручку от американских клиентов.
Что касается секторов, то на 30% – это финансы, на 20% – критическая инфраструктура и промышленность, еще 30% – интернет-компании, ритейл. В последнюю категорию попадают кинокомпании и известные бренды, у которых преступность связана с кражей интеллектуальной собственности, – это поддельные сайты, пиратские фильмы.
А. Н.: Пандемия и локдаун помогли всплеску киберпреступности?
И. С.: Да, это произошло. Мы не ушли на удаленку сразу, вместе со всеми. В первую неделю работы сотрудникам платился двойной оклад. Затем мы быстро получили пропуска и разрешение функционировать круглосуточно. Часть команды в итоге начала работать дома, но основа всегда находилась и находится в офисе: тестирования на коронавирус мы проводим каждую неделю.
Почему мы выбрали такой путь? Все оказались на удаленке, и корпоративный периметр перестал защищать людей. Во-первых, были архитектурные ошибки перевода на удаленку, начиная с того же неправильно настроенного доступа. Во-вторых, люди теперь активнее пользуются домашними компьютерами, а значит, объекты атаки – домашние роутеры, проще говоря, стало больше фишинга.
Было и много обычного школьного хулиганства, вроде атак на учителей, взломов их соцсетей, и, конечно, часть подростков пополнили ряды компьютерных преступников. Интересные моменты возникли с подписками (новостями про COVID-19), с цифровыми пропусками, пропусками по России, пропусками на вылет из России, электронным голосованием. На черном рынке продавался доступ к камерам видеонаблюдения Москвы, вплоть до больниц и СИЗО. Вы подключаетесь, и можно следить за кем-то; даже вращать камеру.
Удаленка породила, на мой взгляд, в мире две волны: киберпреступности и творческих проектов. Сейчас государства выступают за закрытие границ и контроль в сети – но, думаю, русские школьники все это обойдут.
А. Н.: Творческие объединения – они по количеству мозгов превосходят те силы, которыми располагает государство?
И. С.: Не хочу никого обидеть, но инженеры в частной компании будут всегда в целом лучше. HR-стратегия заключается в том, что если ты талантливый школьник, студент и хочешь заниматься кибербезопасностью, у тебя есть опция – пойти в частную компанию с возможностью путешествовать и иметь высокий оклад.
Работать на государство – означает носить форму, соблюдать устав, возможно, получить доступ к гостайне и потерять возможность заграничных путешествий. Таким образом, госструктуру человек выберет либо из-за родственников (например, папа работал), либо в силу романтизма: круто, что тебя пригласили. Я, например, получал такое приглашение, причем с опцией стажироваться за рубежом. Но на тот момент уже существовал Group-IB, а параллельно я работал на телекоммуникационную компанию. Реакция моего начальника, когда он узнал о приглашении, была следующая: «Выключи все свои картиночки из фильмов про Джеймса Бонда. В лучшем случае ты просидишь в посольстве и до конца дней ничего не сделаешь».
А. Н.: Со скольки лет к вам в Group-IB может попасть талант? Как строится HR-стратегия? Как простому школьнику, победителю олимпиады, оказаться в Group-IB?
И. С.: Просто написать нам письмо. Мы дадим тестовое задание: если школьник его решит, предложим стажировку. Если он ее пройдет хорошо, сразу предложим работу независимо от возраста и наличия высшего образования. Плюс, мы делаем конкурсы, такие как проект «Цикада» (хотя сам проект «Цикада» не мы делали): это, условно, квесты в интернете, но очень сложные, где нужны комбинаторика и реверс-инжиниринг. Если люди туда попадают, то занимаются квестами несколько месяцев.
С молодежью очень сложно: я сейчас веду четвертый и пятый курсы в МГТУ им. Н. Э. Баумана, и могу сказать, что в школах у них не было никакой профподготовки – они поступили на специальность, не имея представления о том, чем будут заниматься. Студенты думают, что все как в фильмах про хакеров, но не знают, что во многих профессиях нужно и дизассемблировать. То есть они будут несчастливы в профессии. Невозможно работать, если ты несчастлив.
Студенты не выбирают специализацию, а просто поступают на компьютерную безопасность. Это несет в себе примерно такой же смысл, как само по себе поступление в мединститут. В медицине важны специализации: в частности, хирург может быть нейрохирургом или кардиохирургом. Я считаю, что на понимание фундамента требуется два года, а потом ты должен выбирать направление. Но сегодня и кибербезопасность, и банковская безопасность существуют вместе. В итоге, если студент учится шесть лет и не работает, то четыре года из них он тратит просто так.
Поэтому мы не можем найти людей даже на позиции frontend-разработчиков, хотя профессия популярная. За полтора года мы наняли только девять человек, и нам нужны еще 15 – то есть легче взять школьника и научить его с нуля буквально всему. Да, это несколько лет работы и ожидания, но других вариантов нет. Тем же самым заняты сейчас мои коллеги в Сингапуре: они, договорившись с несколькими университетами, берут стажеров и начинают их растить. Кадровый голод все сильнее, и не только у нас. С кем я ни поговорю – везде похожая ситуация, и неважно, продавца ты ищешь или управленца.
А. Н.: Каких технологических новинок нам ждать от Group-IB? С помощью чего вы собираетесь менять этот мир в ближайшие три года?
И. С.: Мы уже должны были запустить кое-что, но помешал коронавирус.
Главная новинка позволит видеть атаку в режиме реального времени, выстраивая причинно-следственную связь между тем, что происходит у вас в сети, и, условно, конкретным лицом. Тут мы не оперируем понятиями «вирус», «угроза», мы атрибутируем реального злоумышленника. Так что, если все сделаем правильно, безопасность многих хакеров и преступных группировок просто разрушается. Это полностью изменит картину боя.
Вдобавок, у нас есть разработка, которая пригодится каждому человеку. Пока не буду говорить подробнее, полноценные анонсы ждите на нашей конференции CyberCrimeCon.
Помимо новинок есть еще один важный процесс, который происходит в Group-IB прямо сейчас, – мы активно и последовательно децентрализируем компанию. Задача – довести бизнес до состояния, в котором он не зависит ни от одного государства.
А. Н.: Кто сегодняшние лидеры IT-индустрии: в кого стоит, а в кого не стоит инвестировать?
И. С.: Отношу к ним Amazon, в которых я вовремя вложил деньги, и Intel.
Ценность представляют любые компании, которые меняют жизнь людей. Например, Netflix в самом начале или окруженный хейтерами Илон Маск. Всех остальных побеждают стартапы.
Предупреждаю, мои слова – это не инвестиционная рекомендация. Я могу ошибаться, но считаю, что Apple уже не будет расти: период радикальных инноваций для них закончился. Появится что-то другое. Долю Facebook будут отъедать китайцы.
В целом, растет сектор кибербезопасности, потому что преступность и политика никуда не исчезают, а значит, обойтись без специалистов невозможно. Думаю, преступность резко сократится, когда политики договорятся, как с нею бороться, но еще лет 20 они не договорятся. Можно вкладываться.
Проводник с фонарем

Мода на венчурные инвестиции пока не привела к появлению в России большого числа хайнетов, понимающих все закономерности и всю механику процесса. Поменять ситуацию должен помочь специальный курс для продвинутой русскоязычной публики от экспертов Кремниевой долины. Попасть на него – особая привилегия, и одними из первых ее получили клиенты А-Клуба. Что они услышали и что им еще предстоит узнать, SPEAR’S Russia рассказали профессор финансов и частных инвестиций Стэнфордского университета Илья Стребулаев и руководитель А-Клуба Алина Назарова.
Sancta Sanctorum этого бизнеса

Дмитрий Брейтенбихер уверен, что юмор необходим любому, ведь финансы могут позволить вам жить безбедно, но не дадут откупиться от скуки. Однако значительная часть его работы состоит как раз в том, чтобы относиться к деньгам серьезно. В интервью SPEAR’S Russia руководитель Private Banking ВТБ рассказал, как и с чьей помощью ему удается выполнять эту работу лучше других.
Инвестиции категории must have

Социально ответственные инвестиции больше не относятся к категории nice to have, но становятся неотъемлемой частью портфеля must have, утверждает Улан Илишкин и объясняет, как вложиться в новый глобальный тренд.
Есть ли будущее у российского рынка?

Регина Гирфанова, инвестиционный директор Sber Private Banking, – о «новой» экономике и о том, могут ли отечественные компании быть в ней конкурентными.
Код безопасности

Пока Big Tech выходит на финансовые рынки, банки сами торопятся превратиться в технологические компании, и героем нашего времени часто становится не клиентский менеджер или инвестиционный управляющий, а программист. Это добавляет удобства и клиентам, и бизнесу, но создает дополнительные возможности для злоумышленников. Глава Swordfish Security Юрий Сергеев рассказал SPEAR’S Russia, сколько ошибок совершают программисты, как дорого они могут обойтись и какие банки следует считать самыми безопасными.
Тотальный wealth management

Вероника Жукова, директор управления финансовых продуктов и развития платформы Sber Private Banking, - о цифровом настоящем, предъявляющем строгие требования всем участникам индустрии управления частными капиталами, и цифровом будущем, которое сделает жизнь хайнета намного удобнее.
Фаза консолидации

Прежде чем бросить свой миллион-другой в цветущий венчурный рынок, стоит учесть фазу его развития, а вслед за этим объективно оценить собственные возможности и компетенции, советует Владимир Многолетний.
Оставить комментарий