«Масштаб противостояния между государствами в электронном формате сильно преувеличен»

Интервью с основателем и генеральным директором компании Group-IB Ильёй Сачковым.

Дважды в месяц генеральный директор компании «Нетология-групп» и ведущий подкаста «Рунетология» Максим Спиридонов беседует с российскими предпринимателями в сфере цифровых технологий и интернета.

Редакция vc.ru публикует краткую версию интервью — о том, на чём зарабатывает Group-IB, как конкурируют между собой киберпреступники, правда ли современных хакеров привлекает активность на политическом поле и удастся ли мировому сообществу предотвратить применение кибероружия на поражение.

• Родился в 1986 году в Москве.
• C отличием окончил факультет информатики и систем управления МГТУ им. Н. Э. Баумана (кафедра информационной безопасности).
• В 2003 году основал компанию Group-IB.
• Автор технологии расследования DDoS-атак. Член экспертных комитетов Госдумы РФ, МИД России, Совета Европы и ОБСЕ в области киберпреступности.
• В 2010 году первым из россиян получил премию международной конференции Digital Сrimes Consortium за вклад в международный обмен опытом в области компьютерной криминалистики.

Ты получил премию «Предприниматель года — 2017» в номинации «Информационная защита бизнеса». Насколько знаю, ты участвуешь в конкурсе не в первый раз.

Уже в третий (в 2015 году Илья Сачков стал его лауреатом в номинации «Телекоммуникации», а в 2016 году — в номинации «ИТ для бизнеса» — vc.ru).

Тебе так нравится побеждать в нём? Есть желание получить главный титул?

Мне нравится сам процесс аудирования номинантов, который делится на несколько этапов. Он стал для меня своеобразным дневником. Каждый год [представители оргкомитета] записывали всё, что происходило в компании.

Я бесплатно получал хронометраж событий, изменения хода своих мыслей и целеполагания. А главное, во время конкурса удаётся пообщаться с огромным количеством интересных предпринимателей со всех концов России.

С твоей точки зрения, динамика предпринимательства в стране положительная?

Она положительная в том плане, что появляется всё больше интересных проектов — от ИТ-стартапов до мастерских по ремонту одежды. Многими пользуюсь я сам.

Если пять лет назад в Брянске утром было не найти нормального места, где можно было бы попить кофе, то сейчас таких предостаточно. И открывают их молодые люди. Параллельно, впрочем, немало молодёжи и предпринимателей из России уезжает.

Почему остаёшься ты?

Да не то чтобы остаюсь. Я половину времени провожу не в России.

В России у тебя не задалось и ты всерьёз думаешь перебраться за рубеж?

Задалось. Но доля времени, которое я провожу в стране, соответствует проценту выручки, получаемому в ней Group-IB. Чем лучше развивается мой международный бизнес, тем дольше я нахожусь вне России.

Тогда значит ли это, что Россия не сумела тебя «заякорить»? Твоё участие в окологосударственных историях могло бы сделать тебя эдаким «киберсолдатом отечества».

У меня нет потребности быть «киберсолдатом». У меня есть потребность делать решения, которые позволят бизнесу сосредоточиться на главном и меньше думать об информационной безопасности. Политика рынку информационной безопасности мешает, и сильно.

Российский рынок информационной безопасности — это три процента от мирового. Притом что с обслуживанием бизнеса в России у нас всё в порядке: наши клиенты — почти все банки, множество предприятий от авиаперевозчиков до сельхозкомпаний.

Просто глобальный рынок значительно больше, и самые сильные, достойные конкуренты находятся не в России. Они в США, в Европе, в Израиле, сейчас появляются в Азии. Если ты хочешь строить ИТ-компанию, которая будет жить долго, единственно возможный путь — соперничать с теми, кто сильнее тебя. В нашем секторе в России конкуренции для умного бизнеса практически нет.

Можно удариться в импортозамещение, лет пять снимать сливки, после чего похоронить компанию. Как только кто-то заявляет: «Сейчас „выместим“ Microsoft из России и сделаем отличную отечественную операционку», — сразу могу сказать, что это мертворождённое дитя.

Только в конкурентной среде, со стремлением улучшать продукт каждый день, создаётся нормальный софт. А монополия для бизнеса, который хочет быть долговечным, опасна.

Моя задача — сделать так, чтобы компания прожила сто лет и была в мировых лидерах, чтобы её технологии использовались повсеместно.

Информационная безопасность для тебя — дело жизни, верно?

Абсолютно точно.

Почему так сложилось?

Всё начинается с чтения в школьные годы, с воспитания, с детских устремлений. Мне всегда нравилось несколько вещей. Был юношеский задор — бороться со злом. Привлекала детективная литература, игры типа «Зарницы», разгадка сложных загадок. Оказала влияние физматшкола №44 с углублённым изучением физики, математики и информатики, где математика и информатика давались мне лучше всего.

На момент выпуска у меня был набор технических знаний и склонность к информационной безопасности. Ещё в школе я абсолютно случайно помог нашему кабинету информатики провести парочку расследований, связанных с кражей интернета.

Дальше поступил в Бауманку на кафедру информационной безопасности. Мне, опять же случайно, попала в руки книга «Расследование компьютерных преступлений» Кевина Мандиа. Прочитав её, я понял: «Вот профессия моей мечты».

Вычитал, насколько это большой бизнес в США — расследования, forensics (компьютерно-техническая экспертиза — vc.ru). Оказалось, что ничего подобного никто в России не делает. Равно как и на постсоветском пространстве и вообще где бы то ни было в Восточной Европе.

В полицию, слава богу, меня не взяли: я пытался устроиться в Управление «К» МВД РФ. Сейчас я очень благодарен судьбе за тот отказ.

Мысль, к которой привела меня книга Мандиа, не выходила из головы. Я увлёк ею нескольких своих одногруппников. И мы сделали что-то вроде студенческого стартапа. Кафедра выделила нам помещение, за что и ей в отдельности, и университету огромное спасибо. В 2017 году я вернул долг Бауманке — вернулся туда преподавателем: теперь я доцент на кафедре информационной безопасности.

Когда пошли первые расследования, нам начинали за них платить. Мне стало ясно, что я оказался в своей судьбе. Это занятие сочетает в себе мои идеалы: мы действительно помогаем людям, а людям плохим осложняем жизнь. Как-никак, больше тысячи успешных уголовных дел, из них 150 — с тяжёлым приговором, более пяти лет лишения свободы.

Какую часть работы в уголовных делах проводили вы, какую полиция?

У Group-IB могут быть разные роли. Взаимодействие с правоохранительными органами состоит из двух частей. Первая — работа аналитическая; тут задача — помочь следователю и оперативнику построить цепочку рассуждений, которые послужат цели поимки преступника. Разбор атаки — сложный технический процесс, чаще всего неподвластный следователю из-за отсутствия профильного образования.

Например, украли деньги из интернет-банкинга. Мы говорим: «Нам нужна экспертиза вредоносного кода, нам надо понимать, куда он обращался. Необходимо установить, по какой линии обналички уходили деньги. Вам нужно запросить данные там-то и там-то, сделать то-то и то-то. Мы узнаём почерк вредоносного кода, нам известен управляющий сервер, он принадлежит, вероятнее всего, тем ребятам…»

Вторая часть — исследования, экспертиза. В том числе изучение техники, изъятой у преступников, участие в обысках и в опросах.

Кто-то путает нас с полицией. Важно понимать, что у неё совсем другие задачи: оперативно-розыскные мероприятия, огромное количество других технических работ. Наверное, у нас работа самая интересная, а у них — самая важная.

Получается, они «продюсеры» проекта, а вы «менеджеры» какой-то его части?

Мы менеджеры важной его части. Необходимой, но не достаточной. Без наших изысканий не будет уголовного дела, но сводится оно не к ним одним.

По твоему опыту, насколько компетентны полицейские в расследовании киберинцидентов?

Я пересекался с полицейскими чуть больше чем в шестидесяти странах мира. И мы видим полицейские сборы — интерполовские, европоловские. Люди там совершенно разные. Есть выдающиеся сыщики. Удивительно, но, похоже, что-то поменялось в полицейской системе, и мы знаем множество молодых ребят, которые реально работают, стараются.

Такие люди были и в 2003, и в 2006, и в 2010 году. Просто статистика работает на больших числах. Встречали мы и полицейских — как в России, так и в других странах, — которые теперь сидят в тюрьме, и по заслугам.

Однажды совершенно случайно обнаружилось, что компьютерный преступник ещё и педофил со множеством изнасилований несовершеннолетних на счету. И мы узнали, что сотрудники полиции за вознаграждение помогли ему выпутаться. Дело было в 2005 или 2006 году, это был период [моего] разочарования в системе.

Вскоре мы также пришли к тому, что расследования — это здорово, но гораздо проще работать с клиентом, когда он не успел пострадать от преступления. В 2007-2008 годах у многих наших клиентов из числа международных компаний, работающих в России, — брендов вроде Microsoft и British American Tobacco, — происходили инциденты, несмотря на огромные расходы на безопасность.

Мы подумали: нам же понятно, как в каждом случае хакеры, преступники или сотрудники фирмы обходят систему безопасности, так, может быть, придумаем что-нибудь, чтобы обобщить свои знания и с их помощью предупреждать эксцессы? Мы открыли разработку системы предотвращения. И тогда Group-IB начала из сервисной компании превращаться в разработчика.

В итоге к 2017 году выручка с сервисного направления у нас составляет процентов десять от совокупной. Однако расследования до сих пор чрезвычайно важная часть нашего R&D: чаще всего мы первыми узнаем о новых инцидентах и их деталях, что позволяет нам автоматически улучшать систему предотвращения.

Ты говоришь о выручке с расследований только в корпоративном секторе? Насколько велик вклад госзаказа в ваш бизнес?

Государственная выручка у нас — ноль. И это очень хорошо для компании, особенно с учётом политических факторов.

Но вы работаете с государством?

Мы всегда помогаем. Мы проводим исследования, делаем экспертизу, сопровождаем дела. Но наш заказчик — бизнес. И если юрисдикция, где находится преступник, позволяет вести расследование, мы помогаем его произвести и, например, скоординировать юридическую работу с адвокатами компании и правоохранительными органами нескольких стран.

Полиция в качестве заказчика у вас не выступает?

Она никогда не была заказчиком. Заказчиком всегда был пострадавший бизнес, который подавал заявление в полицию. Из правоохранительных органов к нам обращались за консультациями, но расследований не заказывали.

Как обычно выглядит обращение к вам?

Происходит инцидент. Типичный и самый большой по ущербу — хищение денег в онлайн-банкинге у юрлиц, потому что там больше всего денег: все «юрики» обслуживаются сейчас в онлайне. Итак, у компании пропали деньги со счёта. Сначала она обращается к нам. Мы определяем, внутренний или внешний инцидент имел место, то есть сотрудник организации за ним стоит или сторонний злоумышленник.

От того, кто это сделал, зависит стратегия взаимодействия с правоохранительными органами. Так, сотрудников компании гораздо легче привлекать к ответственности, чем преступников извне. Дальше пишется заявление, подаётся пакет документов с исследованием компьютера, с которого было осуществлено хищение.

И начинается взаимодействие с юристами, с оперативным составом, в российских реалиях — c Министерством внутренних дел. Оперативники готовят материал для возбуждения уголовного дела, подключается следователь, возбуждает дело, назначает экспертизу, а это уже к нам. Мы помогаем ему аналитикой сопровождать уголовное дело. Потом — аресты, допросы, суд, приговор, возврат активов.

Политическая ситуация подсказывает тебе, что связываться с государством сейчас не очень правильно для бизнеса?

Здесь действуют несколько факторов. Прежде всего, у каждого из нас два ограниченных ресурса — время и здоровье. За единицу времени общения с бизнесом я продаю больше, чем за единицу времени общения с государством.

Причём в первом случае вижу гораздо больше адекватности и желания действительно решить проблему, а не растянуть процесс. Если у тебя проблема, я как предприниматель предпринимателю предлагаю тебе решение. Мы встречаемся, договариваемся, решаем её.

С государством иначе. Например, в 2010 году была проблема с координацией действий по предотвращению хищения денег из банков и у юридических лиц. Мы были готовы бесплатно дать часть своей системы в пользование Росфинмониторингу, Центробанку, МВД. Никто её не взял. Только семь лет спустя началось движение в эту сторону.

Поэтому я счёл правильным больше времени тратить на бизнес. Хотя очень хочу помогать государству. Недавно мы подписали контракт с властями одной азиатской страны на оказание услуг по обеспечению кибербезопасности. И сделали это быстро, потому что страна по-настоящему бизнес-ориентированная. А в России всё происходит очень медленно. Множество бумаг, совещаний, встреч.

Нельзя сбрасывать со счетов и текущую политическую ситуацию. Даже в условиях противодействия России и Америки у нас есть бизнес в США. Мы всегда проходим due diligence, и один из первых вопросов в ходе него — «Есть ли у вас выручка от оказания услуг государству?» Наверное, у меня не хватило либо времени, либо лобби, чтобы научиться работать с нашим государством.

Причём я государству активно помогаю. Пусть не продавая услуги, а делясь своими знаниями. Госдуме — по части законодательства, МИДу — по части международного законодательства. В каждом ведомстве, замечу, очень много адекватных профессионалов. Что в Минкомсвязи, что в МВД, что в МИДе.

Центральный банк сейчас показывает выдающиеся, без иронии, результаты в борьбе с преступностью, с ним тоже приятно работать. Но с точки зрения получения прибыли от продажи технологий приятнее работать с бизнесом.

Насколько масштабно в наши дни киберпротивостояние между странами? Перво-наперво между Россией и США.

Отвечу развёрнуто. Как компания мы все атаки рассматриваем сначала в техническом аспекте, без атрибуции. Для нас вирус — это вирус, попытка подбора пароля — это попытка подбора пароля. Наша первейшая задача — предотвратить инцидент. Потом понять, с чем случившееся может быть связано.

И по нашему опыту, большинство атак — наверное, 98% — совершают не государства против государств, а организованные преступные группы, вооружённые самыми передовыми технологиями. Любое государство по уровню подготовки, по средствам нападения ощутимо отстаёт от любой профессиональной преступной группировки, связанной с хакерским сообществом.

Компьютерная преступность превратилась в гигантский бизнес, где зарабатываются огромные деньги. Есть атаки, которые длятся десять минут и позволяют украсть 320 млн, 640 млн рублей (это конкретные случаи, произошедшие в 2017 году). Суммарно — сотни миллионов долларов. Это стало очень просто.

Масса атак на процессинг, на POS-терминалы, да и криптовалюты дают уйму возможностей для монетизации. Эти группировки имеют возможность получать лучшие таланты из любой точки мира и щедро платить им.

Я не знаю и стараюсь не знать, как выглядит киберармия. Но давайте потеоретизируем. По каким причинам молодой профессионал должен захотеть выбрать профессию «кибервоенного»?

Наверное, сначала ему дорога в университет, потом, возможно, в военный университет, в дальнейшем его абсолютно точно ждёт невыезд за рубеж и зарплата меньше рыночной при работе в условиях армейской структуры. Кто он — человек, которому не терпится встать на такой путь?

Неудивительно, что все мощнейшие технологии, все основные таланты сосредоточены на стороне преступности. А противостояние между странами существует, но на фоне борьбы обычных хакерских группировок это пока капля в море; ну, возможно, всё изменится и в 2018 году будет что-то новое.

Противостояние стран постоянно освещается в прессе: взлом американских выборов, истории с Трампом, с Хиллари Клинтон. Вот уже полтора десятка лет это один из заметных пунктов медийной повестки. Кажется, что он очень важный. На самом деле нет. Преступность политикой почти не интересуется.

В основном её схемы связаны с монетизацией. Это вирусы, шифровальщики, воровство денег, мошенничество и контрафакт в интернете, пиратство, нелегальные торговые площадки, онлайн-продажа наркотиков и детской порнографии, сервисы по взлому, — тьма всевозможных «индустрий». Поэтому короткий ответ на твой вопрос такой: противостояние между государствами в электронном формате сильно преувеличено.

В информационной безопасности и киберпротивостояниях дело явно упирается в конкуренцию за таланты.

Да. Вообще, рынок компьютерной преступности безумно конкурентен. Например, вирусописатель, который делает вредоносную программу, конкурирует с другими вирусописателями. Хакер выбирает, у кого купить.

Объявления о продаже выглядят как предложения легальных софтверных компаний. У них круглосуточная поддержка, они борются за качество сервиса, за качество обновлений, за уменьшение «детекта» (чтобы вирус работал на компьютерах с антивирусами).

Тогда как государство не совсем понимает, что такое конкуренция. У него, по большому счёту, нет конкурента. Это ещё одна из причин того, почему инструменты классической организованной преступности, на мой взгляд, инженерно круче, чем инструменты, используемые государством, по крайней мере те, которые нам удавалось исследовать.

Я вижу три силы: коммерческие хакеры, коммерческие антихакеры, кибервойска. Как они будут взаимодействовать между собой в ближайшие годы?

И четвёртая сила — кибертерроризм. Связанные с экстремистскими движениями люди, чья задача — совершить деструктивное действие, которое приведёт к человеческим жертвам.

Туда идут талантливые фанатики?

Да. Что опаснее всего. Чуть отклонюсь в сторону: скорее всего, история человечества будет развиваться не по тому плану, по которому я хотел бы, а, к сожалению, по классическому. Кибероружие радикально отличается от оружия обычного одним простым качеством: если ты запускаешь вирус в сеть или у тебя утекает исходный код, миллионы людей по всему миру могут его дуплицировать.

В 2017 году произошла утечка The Shadow Brokers, которая позволила миллионам хакеров пользоваться наработками, предположительно, некоего государства (TSB — хакерская группировка, получившая известность благодаря тому, что выложила в открытый доступ часть «киберарсенала» Агентства национальной безопасности США — vc.ru).

Цифровое оружие как калашников: его с равным успехом могут использовать террорист и солдат, метод доставки исполняемого файла в защищённые сети почти одинаков.

По уму, на цифровое оружие следует объявить мораторий. Так, чтобы любое компьютерное преступление рассматривалось только с криминальной точки зрения. Если по интернету расползается очередной вирус, мы должны быть уверены, что он запущен не террористами и не каким-либо государством. В соответствии с такой логикой преступление подлежит расследованию, чтобы создателя зловредной программы идентифицировали и посадили в тюрьму.

За примерами того, как политизируется инфобезопасность, далеко ходить не надо. Американцы считают, будто хакеры, находящиеся на территории России, повлияли на выборы в США. А в Россельхознадзоре уверены, что их взломала PepsiCo и украла у них документы. Всё это говорится в публичном пространстве. Притом что истории одинаковы по глупости.

Для общества важно, чтобы преступление было расследовано до конца, потому что это делает его, общество, безопаснее. В свою очередь, для расследования компьютерных преступлений нужны криминалистические исследования. А без наличия машины, за которой работал злоумышленник, без её исследования уголовное дело не завершить.

Даже если правы американцы, даже если в какой-то отдельной вселенной прав Россельхознадзор, то, когда человек, ещё не будучи задержанным, услышит, что его подозревают в его причастности к инциденту, он выбросит свой компьютер, сменит юрисдикцию и заляжет на дно. А значит, мы никогда в жизни не раскроем преступление, более того, даже не сумеем ответить на вопрос, было ли оно действительно совершено.

В идеальном мире американские политики сначала садятся за стол переговоров вместе с сотрудниками российских правоохранительных органов и говорят: «Коллеги, мы подозреваем, что с вашей территории было произведено вмешательство в наши выборы. У нас с вами два варианта. Либо мы вместе будем эту историю расследовать и найдём виновных, которые, возможно, не связаны с вашим государством — просто действовали с территории России или мимикрируют под вас…» — а это популярный приём, хакеры в последнее время стараются быть похожими на кого-то другого, чтобы усложнить расследование, — «…либо мы устраиваем политический скандал и вводим дополнительные санкции против вас».

К основной теме. Кибертеррористов пока очень мало, и они в техническом отношении отстают от финансово мотивированных хакеров. Когда же они научатся пользоваться кибероружием, которое постоянно утекает в сеть, произойдёт теракт, в котором погибнут люди.

Состоится сессия ООН, после неё будет введён мораторий на разработку цифрового оружия и будет создан единый формат международного расследования компьютерных преступлений. Нечто подобное происходило после Первой мировой войны, после Второй мировой войны, после Карибского кризиса.

Опыт 2017 года, когда три простейших вируса — Petya, WannaCry и Bad Rabbit — клали не худшим образом защищённые предприятия в России, включая государственные, включая критически важные инфраструктурные объекты, показывает, что мы не готовы к кибероружию.

Повторюсь, лучше всего не допустить подобного и на международном уровне ввести мораторий на цифровое оружие. Но, по-видимому, этого не произойдёт.

А когда-нибудь мы к кибероружию будем готовы? Я не верю, что даже новое поколение, digital natives, станет достаточно осведомлённым, а главное, внимательным и дисциплинированным для того, чтобы выдерживать те рамки, в которых возможно предотвращать или сдерживать распространение цифровых угроз.

Думаю, достаточно, чтобы сменилось одно поколение. Уже много молодых людей понимает, что информационная безопасность, начиная с поведения в соцсетях, влияет и на личную жизнь, и на финансовую безопасность их семьи, и на репутацию, и на безопасностью их компании, и на национальную безопасность.

Тебе кажется, что это легкомыслие выветрится? По-моему, оно качество общечеловеческое и не зависит от поколения.

Мы живём в эпоху, в которой одновременно совершается много революций. Из-за того, что происходит столько событий, связанных с новыми технологиями, мы перестаём это замечать. Не все отдают себе отчёт в том, что телефоны, интернет, видеозвонки, социальные сети, быстрое распространение информации сделали невозможными многие войны на Земле.

Наше время — самое безопасное за всю историю человечества. Вероятность умереть от физической угрозы сейчас минимальная за всю историю нашего вида. И во многом благодаря информационным технологиям. Пропаганда перестала работать из-за того, что люди очень быстро обмениваются правдивой информацией.

Однако злых людей меньше не стало: с ростом человеческой популяции их, наоборот, становится больше. И они находят применение себе в интернете. Значит, вероятность отхватить что-то плохое гораздо выше в сети.

Простой пример. Мы помогали вести расследование по преступной группе, потом она растворилась. Занимались её члены кражей автомобильных номеров в Москве. Ходили по дворам, скручивали номера.

Дело было года три назад, когда за отсутствие номера выписывался внушительный штраф. И оставляли информацию: нужно перевести деньги на счёт в одной платёжной системе, и после оплаты хозяину машины скидывали указания, где искать номер (его оставляли в «закладке»).

Когда автовладельцев перестали штрафовать за отсутствие номера и стало легко получить его дубликат, группа исчезла. Какое-то время спустя у нас началось другое расследование, связанное с вирусами-шифровальщиками. И обнаружилось, что давешняя ОПГ «переквалифицировалась» именно на работу с шифровальщиками.

Раньше за день они скручивали около сорока номеров. А теперь за то же время рассылают 200 тысяч экземпляров вируса-шифровальщика. Средняя стоимость расшифровки криптографически закодированных данных — $30-50. Совсем другой объём бизнеса.

Так что, надеюсь, со сменой поколений люди начнут по-другому относиться к своей информационной безопасности.

У тебя есть в личном владении криптовалюты? Если да, то в каком количестве и какого типа?

Да, биткоин. Точное количество не назову, но приличное. И курс меня очень радует.

Давно купил?

Давно.

За что последний раз ты уволил человека лично?

За троекратное повторение ошибки. У меня правило: если человек повторяет ошибку три раза и не учится на ней, мы с ним расстаёмся.

Ты заклеиваешь скотчем камеру на ноутбуке?

У меня там выключатель, позволяющий вырубить камеру в нужный момент.

Часто выключаешь?

Периодически.

Самая бездарная попытка хакерского взлома на твоей памяти?

Когда системный администратор, переписываясь о хищении денег со своей корпоративной почты, украл 11 млн рублей.

Русские преступники по-прежнему самые изощрённые?

Русскоговорящие. Они живут по всему миру.

Сколько месяцев или лет ты носишь свой самый любимый предмет гардероба? Есть ли такой?

У меня есть любимые запонки, которые я ношу лет десять. Это мои первые запонки, я их надеваю в сложных ситуациях: они меня, что ли, вдохновляют.

Это интервью — сжатое изложение 320-го выпуска аналитической программы «Рунетология». Полная версия — на Soundcloud.

#интервью #рунетология