[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-158433683", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=bxbwd&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid21=&puid22=&puid31=&fmt=1&pr=" } } ]
{ "author_name": "Konstantin Panphilov", "author_type": "self", "tags": ["\u043c\u0438\u0445\u0430\u0438\u043b_\u0441\u043b\u043e\u0431\u043e\u0434\u0438\u043d","group_ib","\u0438\u043b\u044c\u044f_\u0441\u0430\u0447\u043a\u043e\u0432"], "comments": 4, "likes": 15, "favorites": 4, "is_advertisement": false, "section_name": "default", "id": "14282" }
Konstantin Panphilov
6 585

Илья Сачков, Group-IB: «Мы можем заранее сказать, у каких клиентов могут украсть деньги»

Интервью предпринимателя Михаилу Слободину

Поделиться

В избранное

В избранном

Генеральный директор «ВымпелКом» Михаил Слободин взял интервью у Ильи Сачкова, основателя и руководителя Group-IB — компании, которая занимается расследованием и предотвращением преступлений в ИТ-сфере. В 2016 году Сачков попал в рейтинг самый ярких предпринимателей младше 30 лет американской версии Forbes.

Редакция vc.ru публикует материал с разрешения автора.

Илья, привет. Сегодня мы поговорим о довольно щекотливых вопросах безопасности: компьютерной безопасности, безопасности наших данных, ну и, безусловно, про тот бизнес, который ты возглавляешь, который ты развивал, я так понимаю, с самого начала.

Доброе утро.

Чем ты занимаешься? В чём твой бизнес?

Информационные технологии сейчас абсолютно везде, и в телефоне. И есть некоторые проблемы, которые чаще всего связаны с кражей либо денег, либо информации, иногда это шантаж.

Когда проблема происходит, важно для некоторых людей или компаний понять, почему она произошла, либо кто это сделал. Мы начинали именно с такого бизнеса, который называется американским словосочетанием digital investigation, на русском оно звучит страшно для любых правоохранительных органов  — «расследование».

Причём мы ни в коем случае не лезем именно в область работы правоохранительных органов. Наша задача, как криминалистов (компьютерная криминалистика), — понять, почему что-то произошло. Особенно это интересно для компаний, потому что чаще всего они тратят деньги на безопасность, и потом возникает разумный вопрос: «Почему мы потратили деньги, а то, на что мы потратили деньги, не сработало?»

Очень важно понимать, что технологически сейчас люди, которые совершают преступления,  — это действительно организованная преступность с хорошими бюджетами. Бесконечно с ними играть в технологический пинг-понг, то есть мы ставим новую систему безопасности  — они её проходят, мы ставим новую систему безопасности  —  они и её проходят, это уже не стратегия.

Мы должны заниматься и технологиями, и всё-таки понимать, что важно, с точки зрения закона, этих людей поймать, найти и, желательно, наказать.

Конкуренцию со стороны правоохранительных органов не чувствуете? Потому что это такая важная часть их работы, и вы частично за них её делаете.

Всё зависит от глубины понимания нашей работы. Правоохранительные органы, которые о нас знают из прайса, чаще всего к нам относятся очень негативно  — «какие-то молодые выскочки, скорее всего, за этим ничего нет».

Те, кто с нами работает по сопровождению каких-то уголовных дел, обращаясь к нам, как к экспертам, и законодательство это подразумевает, они понимают, в чём преимущество. Это абсолютно нормальная практика государственного и частного партнёрства. Мы сделали определённую экспертизу, которую государство по разным причинам не может сделать само, такое бывает. И это абсолютно нормально.

Так и, например, на Западе. Мы работаем с Европолом, подписали с ними соглашение, прошли дью-дилидженс, и они понимают, что вещи, связанные с русскоговорящей преступностью, если мы будем работать с частной компанией, мы достаточно быстро решим.

Но есть люди, которые с нами не работали, и которые, извините, ленятся к нам приехать в офис, посмотреть материалы уголовного дела, посмотреть, как работают эксперты, как у нас построена внутренняя система безопасности, что очень сложно попасть к нам в компанию, если у человека есть плохие намерения. Мы сейчас ввели биологический детектор лжи. То есть кроме обычного детектора лжи, человек сейчас будет анализы сдавать, чтобы специальные таблетки не употребить.

Такая же у нас проблема с некоторыми службами безопасности, они говорят: «А это вообще не нужно, это какой-то бред, не слушайте, у нас вообще самая безопасная компания, вообще ничего не надо». При этом самый простой пример  —  как можно внутри компании знать обо всех инцидентах, которые происходят в России. Это же невозможно. Американские, международные стандарты рекомендуют, чтобы был поставщик внешних данных. И если безопасность сидит внутри и говорит, что у них всё хорошо, это, к сожалению, очень быстро превращается в какую-то проблему.

Поэтому, отвечая на твой вопрос,  —  да, есть ревность, но она заканчивается, когда люди знакомятся с нами поближе.

А как ты вообще дошёл до этого? Этому не учат.

Мне, грубо говоря, нужны были деньги  —  я был студентом, очень распространённая ситуация. Я, соответственно, очень быстро начал работать. И когда я начал работать по специальности в корпоративном секторе, я понял, при всём уважении к моим коллегам, это не так интересно, как я себе это представлял. Мне хотелось движухи. А тут корпоративные стандарты, политика, с девяти до шести. Вот это, кстати, очень распространённый для предпринимателя миф… Потом оказалось, что никаких «с 9 до 6» не будет, это просто 24. То есть всё время просыпаешься  —  о работе думаешь, засыпаешь  —  о работе.

Так получилось, что у меня было время отдохнуть, в больнице я лежал с фронтитом. Мне друг принёс книжку американскую, она называется «Расследование компьютерных преступлений». Я её прочитал и подумал: «Вау, вот это тема!» Там описывается компания Mandiant, которая очень богата, описывается в американском рынке, то, что этим занимается куча компаний.

И я подумал, что очень хочу работать именно в этой компании в России. Я рассказал одногруппникам об этой идее, они поделились на два лагеря. Одни сказали: «Ты сумасшедший!» В этот лагерь пришли и мои родители, сказав: «Надеемся, ты сможешь устроиться на нормальную работу, когда у тебя это не получится».

Это было отличным мотиватором  — потом прийти к родителям и сказать: «Вы были неправы». Если бы они меня поддерживали во всём, было бы не так интересно всё это делать.

А часть одногруппников сказали: «Да, это тема! Давай пробовать!» Надо сказать спасибо нашей кафедре: нам выделили помещение бесплатно  —  «вот, пожалуйста, занимайтесь, чем хотите». Мы начали читать книжки, сделали сайт, начали ждать каких-то заказов.

Оказалось, что много людей имеют проблемы. Все деньги мы тратили на закупку новых предметов, технологий. Мы практически не тратили на себя. Первые несколько лет мы были в очень плохом экономическом состоянии, и ребята меня обвиняли, потому что мы все деньги тратили на развитие.

Поэтому году в 2010–11 мы начали думать, каким образом это можно масштабировать. А масштабировать бизнес можно, если только ты делаешь какой-то продукт. Искусственно делать продукт  —  достаточно глупая затея, на мой взгляд. И мы начали думать  —  раз мы приходим на расследование в компании достаточно хорошие в плане безопасности, которые тратят много денег, но, тем не менее, мы приходим на расследование, значит чего-то не хватает, каких-то вещей.

И мы начали на эту тему мозговать. Начали думать, что мы можем те знания, которые получаем в процессе расследования, конвертировать в некий продукт, который будет предугадывать преступления по следам, которые предшествуют этапу подготовки.

В принципе, в каком-то очень близком будущем мы столкнёмся с новыми типами детекторов лжи, которые позволят не только отвечать на вопрос, делал что-то человек или не делал, а склонен он к преступлению или не склонен. Это очень недалёкое будущее, потому что есть последние исследования, когда врачу показывали просто функциональные снимки американских заключённых, их мозга, и он по снимку говорил: «Вот это  — насильник, это  — убийца, это  — мошенник». Не видя фамилию, не видя приговор.

Возвращаясь к сервисам, продуктам, которые мы начали делать. Мы начали делать… опять же страшное слово по-русски  —  «киберразведка», по-английски звучит очень мило — threat intelligence, либо cyber intelligence. Это технологии, которые собирают большое количество индикаторов, указывающих, что готовится то или иное преступление.

Например, по самому популярному компьютерному преступлению сейчас в России  — хищению денег в онлайн-банкинге, мы можем заранее говорить, у каких клиентов могут украсть деньги. Если совсем упрощённо. И банк в автоматическом режиме блокирует аккаунт пользователя, объясняет, почему он заражён, и, соответственно, не позволяет злоумышленнику украсть деньги.

Хакеры, воры и мошенники, что они делают? Какая типичная ситуация?

Например, у тебя есть интернет-банкинг. Неважно, какого банка. Как можно украсть деньги оттуда? Как обычно происходит. Берётся какой-нибудь портал популярный в интернете, куда может попасть целевой трафик. Например, какой-то финансовый сайт, а-ля, я сейчас буду выдумывать название, «ялюблюбанки.ру», такой вот сайт, например.

Туда кто заходит? Бухгалтера, люди, которые пользуются интернет-банкингом, которые любят читать финансовые новости. С большой вероятностью эти люди пользуются онлайн-банкингом. Этот сайт подламывается, там ищется уязвимость, куда ставится программа, которая называется эксплойт-кит, это такая штучка, которая ищет уязвимость в твоём браузере, либо на компьютере, либо в прикладных системах, которые есть на компьютере, либо в смартфоне.

Эта программка делает очень простое действие: закидывает на компьютер, на устройство маленький поисковичок. Этот поисковичок отвечает злоумышленнику на вопрос, есть ли онлайн-банкинг на компьютере или нет.

Если есть, он подгружает более массивную программку, которая делает примерно следующее: она либо от твоего имени совершает платёж, либо в момент, когда ты подписываешь платёжное поручение, вводишь одноразовый кодик, который приходит на телефон или на специальное устройство, она подменяет реквизиты, и ты думаешь, что платишь мне, а платишь совершенно другому человеку.

Потом злоумышленники эти деньги быстро выводят. В чём, как говорится, фишка. Первое  — это практически всё автоматизировано. Нет такой ситуации, как в фильмах, где человек сидит за компьютером.

Полностью digital, всё автоматически.

Абсолютно. Самое удивительное, что там у всех хороший дизайн, круглосуточная поддержка, фактически   это маленькая компания, которая делает свой продукт. Так как рынок конкурентен, то есть злоумышленники выбирают, чем пользоваться, дизайн, простота, безопасность этого всего  — это конкурентное преимущество.

При этом важно отметить, что с точки зрения российского законодательства, это чистая уголовка. 273 статья УК  — создание и распространение вредоносных программ. Поэтому первое, что нужно знать — что не нужно делать, чтобы попасться на удочку злоумышленников. Многие говорят: «Android не защищён, опасен!» Но он опасен, потому что человек сам берёт и на этот телефон ставит непроверенные приложения, с какого-то непонятного сайта, очень сомнительного содержания, обновляет свой Flash Player на телефоне. Это то действие, которое делает сам человек.

Ну, на самом деле, вы активно диверсифицируетесь, как я понимаю. Как вы двигаетесь, с точки зрения клиентов, которые находятся на Западе? Как относятся к российской компании, которая занимается киберпреступлениями, в одном, по представлению народа, из самых основных центров киберпреступлений?

Абсолютно точно, что есть предвзятость к российским компаниям. Например, то, что происходит сейчас с «Касперским» в Америке. Видно, что их стараются вытеснить с рынка.

Что делаем мы. Мы работаем с аналитиками, именно американскими, которые смотрят технологию. Для технологической компании важно попадать в такие некоммерческие аналитические отчёты, типа Gartner, IDC, Forrester. Мы там присутствуем.

Вторая вещь. Вот этот мир говорит: «Вы, наверное, связаны с организованной преступностью, вы же находитесь там!» Мы говорим: «У нас есть технологии, при этом мы всегда делаем расследование. Если вы хотите какую-то преступную группу идентифицировать, мы соберём всю необходимую доказательную базу, поможем правоохранительным органам довести это дело до суда».

В отличие от продавцов, извините, антивирусов, мы всегда гарантируем, что можем кроме технологий делать сервисы, связанные с идентификацией людей. Такая вот отличительная способность. Только наш «большой брат», компания американская FireEye, имеет точно такую же способность. Они купили как раз ту компанию Mandiant, о которой я читал в далёкое время в книжке, они делают и технологию по предотвращению, и расследование. Такая комбинация.

Сейчас мы ввели такую традицию: клиентам показываем наш офис в Periscope, прям экскурсию, мы готовы приглашать их, мы открываем точки-локации, где работают местные люди, часто нанимаем китайцев, людей с Ближнего Востока, у нас есть канадцы, американцы в штате.

Несмотря на то, что часть нашей работы реально закрыта, потому что носит вопрос сопровождения уголовных дел, мы стараемся быть максимально открытыми перед клиентами. Хотите в офис  —  пожалуйста, хотите посмотреть команду  — с удовольствием, хотите посмотреть технологию  — пожалуйста, открыть исходные коды для какой-то аттестации  —  вообще без проблем. Нужно быть открытыми.

Да, но о результатах, как правило, достаточно сложно рассказывать в паблике. Потому что клиенты не хотят быть публичными с точки зрения тех проблем, которые они испытали. Многие вещи за закрытыми дверями. Как вы эту часть решаете?

Есть по некоторым расследованиям договорённость с заказчиком, что когда дело доходит до суда, можно об этом говорить, и это будет совместная пиар-акция. Заказчику тоже важно показать  —  «мы боремся, защищаем наших клиентов, защищаем наши интересы». Например, «Сбербанк». Мы с ними работаем. И они любят, когда преступная группа задержана, сказать: «"Сбербанк", с помощью Group-IB и правоохранительных органов, помог задержать такую-то преступную группу».

Вторая вещь  —  это может быть референс-визит. Когда в паблике ничего нет, но клиент готов в узком кругу, при подписании определённых документов, допустить к себе и рассказать об этой истории. Плюс сарафанное радио. Люди как-то друг другу на эту тему рассказывают. И я считаю, что на эту тему надо говорить. Если говорить, что всё хорошо, всё в безопасности, компьютерных преступлений не существует, это обычно заканчивается…

Ну это так же, как про коррупцию… Если считать, что у нас всё нормально и хорошо, факты выявленных коррупционных вещей внутри, если не показываешь публично, как ты отреагировал, кто понёс наказание, насколько оно серьёзно, это, безусловно, формирует ощущение безнаказанности. И сильно не соответствует реальности. Здесь то же самое. Ну и в заключение, наверное. Что вы посоветуете обычным людям, чтобы максимально предотвратить такие вещи?

Первое. Придётся всем поверить, что компьютерная преступность существует, и это проблема. Наверное, я бы порекомендовал всем относиться к ней более серьёзно и всё-таки окрашивать преступников в негативный окрас, потому что позитивное отношение к ним очень сильно помогает.

Вторая вещь. Так же, как и вождение машины. Человек, прежде чем водить машину, сдаёт обычно экзамены, учит правила, теорию, практику. Прежде чем начинать что-то использовать, почитать о рисках. И это займёт пять минут времени в интернете. В любой поисковой системе вбивается «рекомендации по информационной безопасности или компьютерной гигиене». Две статьи  —  и человек на 80% становится защищённее.

Третья вещь  —  выбирать (а благодаря интернету это сейчас легко) адекватного поставщика финансовых услуг, в том числе телеком-компанию. По негативным отзывам, случаям возврата-невозврата, по отношению к безопасности, по тому, как компания рассказывает о безопасности.

Есть банки, которые могут вернуть деньги в течение трёх дней, если, не дай бог, они похищены. А есть банки, которые никогда не вернут. Только через суд. Благодаря отзывам и медиа, можно правильно выбрать банк. И бизнесу вроде телекома я рекомендую чуть больше читать об информационной безопасности и инвестировать в нёе деньги.

Всё у нас digital, если преступники инвестируют огромные деньги в свои технологии, соответственно, придётся инвестировать в информационную безопасность. Но инвестировать нужно туда, где есть риск.

Сейчас есть очень большая проблема. Люди покупают системы безопасности, не понимая, от какого риска они хотят защищаться. Нужно чуть-чуть больше погружаться, понимать, против кого мы защищаемся. Как в армии. Есть разведка, которая говорит, кто наш враг, откуда он придёт, какими технологиями он будет пользоваться.

Вот у бизнеса должна быть такая киберразведка, которая говорит: «Возможно, у нас будет вот такая проблема, поэтому нам нужно закупить вот эту технологию».

Очень обидно, когда компания тратит безумные деньги на что-то: на оборудование, на софт. А это защищает совершенно не от того, что может случиться.

А дырка в другом месте.

Да, а дырка такая, через которую просто человек заходит  —  и всё… Самая фундаментальная вещь  —  это знания. Знания  — это такая пирамида, которая защитит от компьютерных преступников гораздо эффективнее, чем многие технологии.

#Михаил_Слободин #Group_ib #илья_сачков

Статьи по теме
В рейтинг Forbes самых ярких предпринимателей младше 30 лет вошли пять бизнесменов из России
Популярные материалы
Показать еще
{ "is_needs_advanced_access": false }

Комментарии Комм.

0 новых

Популярные

По порядку

Прямой эфир

Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления