Илья Сачков: «Если нет сильного соперника, техника боксера не улучшается»::БИТ 01.2015
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
октябрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

11.10.2024

Николай Нашивочников, «Газинформсервис»: в нефтегазовом секторе изменился ландшафт угроз

Читать далее 

10.10.2024

В Москве обсудят применение искусственного интеллекта в строительстве

Читать далее 

08.10.2024

«ГенИИ» расскажут о кейсах и вызовах ИИ в производстве

Читать далее 

08.10.2024

Зарулили на 1-е место: победителем «Биржи ИБ- и IT-стартапов» стал проект по автомобильной кибербезопасности

Читать далее 

01.10.2024

«Киберарена»: «Газинформсервис» запускает новый формат киберсоревнований

Читать далее 

показать все 

Статьи

11.10.2024

Технологический ИИ-арсенал

Читать далее 

28.09.2024

Чем страшен ИИ, и с чем его едят

Читать далее 

18.09.2024

Готов ли рынок АСУ ТП к переменам?

Читать далее 

12.09.2024

Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам

Читать далее 

09.09.2024

Лейсан Чистая: «КулибИТ для каждого из нас это больше, чем просто проект – это наша миссия»

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Илья Сачков: «Если нет сильного соперника, техника боксера не улучшается»

Главная / Архив номеров / 2015 / Выпуск №1 (44) / Илья Сачков: «Если нет сильного соперника, техника боксера не улучшается»

Рубрика: БИТ.Персона


Илья Сачков:
«Если нет сильного соперника, техника боксера не улучшается»

Почему российские банки, оставаясь с виду неприступными крепостями, беззащитны перед киберпреступностью? Где сегодня работают многие наши хакеры? За что оргпреступность любит ИТ? Что делать, если сеть вашей компании атакована преступниками?

На эти и другие вопросы «БИТа» отвечает генеральный директор компании Group-IB Илья Сачков

Илья Сачков
Досье
Илья Сачков, генеральный директор компании Group-IB. Окончил с отличием МГТУ имени Н.Э. Баумана. Компанию Group-IB основал в 2003 году. Автор технологии расследования распределенных атак на отказ в обслуживании (DDoS-атак). Член экспертных комитетов ГД РФ, МИД России, Совета Европы и ОБСЕ в области киберпреступности и ряда международных объединений. Первый российский лауреат премии международной конференции Digital Сrimes Consortium за вклад в международный обмен опытом в области компьютерной криминалистики.

– Илья, какие тенденции характерны сегодня для международной киберпреступности? Что может измениться в поведении хакерских групп и расстановке их приоритетов в ближайшие месяцы?

– Я могу выделить следующие тенденции: технологичность, знание законодательства и укрепление связи киберпреступности с традиционной преступностью. Давайте по порядку.

Технологичность. В девяностых и двухтысячных годах хакеры использовали вредоносные программы разной степени сложности, однако то, что мы видим в последние четыре-пять лет, – уже совершенно другой уровень. Это как сравнивать компьютерную графику современных фильмов с графикой начала 90-х годов – заметно, что и там, и там используются серьезные технологии, но все же графика нынешних фильмов ушла вперед на тысячу порядков. Такая же тенденция прослеживается в развитии вредоносных программ.

Технологичность проявляется и в обеспечении анонимности преступных действий – для сокрытия электронных цепочек различных событий применяются все более изощренные методы.

Преступники, понимая, что правоохранительные органы и судебная система делают большие шаги вперед, внимательно изучают законодательство, материалы уголовных дел и либо готовятся к худшему, либо изначально выстраивают свою деятельность, используя пробелы локального и международного законодательства. Например, учитывая политическую ситуацию, многие российские хакеры уехали «работать» на Украину, где их преследование пока невозможно или сильно затруднено.

Для оргпреступности высокие технологии очень удобны

Если говорить об организованной преступности сегодня, то в России она связана с классической проблемой незаконного обналичивания денежных средств.

Хакеру(ам), если он, предположим, специализируется на хищении денег у клиентов банков, нередко требуется вывести (обналичить) украденные деньги. Чтобы сделать это, хакер обращается к профессионалам, традиционной оргпреступности. Ее участники давно заметили, что с их помощью некие люди постоянно обналичивают крупные суммы денег. Поэтому разными способами (часто не мирными) они стали знакомиться с «технарями». Тесное общение в ряде случаев привело к слиянию компьютерной и организованной преступности.

Group-IB
Одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. Компания предлагает комплекс услуг в области предотвращения финансовых и репутационных потерь, консалтинга и аудита систем информационной безопасности, компьютерной криминалистики, а также является разработчиком инновационных программных продуктов Bot-Trek для мониторинга, обнаружения и предотвращения киберугроз.

Для оргпреступности высокие технологии – это очень удобно. Потому что они настолько высокие, что общественность, хорошо понимая, например, что наркоторговец – человек априори плохой, часто не знает, кто такой хакер, и его моральный облик далеко не всегда кажется негативным. Соответственно киберпреступления по сравнению с обычными правонарушениями менее опасны и гораздо более прибыльны. Кстати, именно благодаря существованию «обналички» компьютерная преступность в России развивается такими галопирущими темпами. Если бы не было возможности незаконно выводить денежные средства, то технически было бы бессмысленно совершать преступление.

Именно в этих трех направлениях будет развиваться компьютерная преступность. Международных преступных групп и преступлений будет все больше, они станут юридически более подкованными, будет расти технологическая мощь кибероружия и укрепляться связь киберпреступников с организованными преступными формированиями.

Что предлагает Group-IB
Используя свой 12-летний опыт расследования и предотвращения высокотехнологичных преступлений, эксперты Group-IB выпустили на рынок продукты собственной разработки семейства Bot-Trek, решающих вопросы безопасности на всех уровнях.

В зависимости от бизнес-рисков конкретного клиента Bot-Trek предоставляет ему:
  • защиту от хищений в платежных системах онлайн-банкинга, мобильных устройств;
  • защиту от целевых атак и хищений конфиденциальной информации;
  • идентификацию и оперативное реагирование на актуальные глобальные риски и угрозы безопасности;</li>
  • инструмент стратегического планирования безопасности и оценки рисков.
Bot-Trek CI дает возможность наблюдать в режиме реального времени за постоянно меняющейся средой киберугроз, использовать специальные индикаторы для оценки уровня угроз для бизнеса, получать новые знания, необходимые для его защиты сегодня и в будущем. Bot-Trek CI позволяет защититься от атак сегодняшнего дня, подготовиться или предотвратить последующие атаки и угрозы.

Bot-Trek TDS (Threat Detection Service – Сервис Обнаружения Угроз) выявляет зараженные узлы в сети предприятия, предотвращая направленные атаки на бизнес, банковские трояны, шпионское ПО, нелегальные средства удаленного администрирования, эксплоиты для рабочих станций сотрудников, мобильные бот-сети, утечки корпоративной информации – все эти угрозы будут в реальном времени обнаружены Bot-Trek TDS. Поставляясь по модели устройство + услуга, Bot-Trek TDS является эффективным инструментом аутсорсинга рутинных процессов по анализу логов, классификации событий, выделению критически важных инцидентов и реагированию на выявленные угрозы.

Bot-Trek IB позволяет уже на ранних стадиях выявлять факты подготовки и проведения мошеннических операций в системах онлайн-платежей на стороне пользователя (т.е. клиента банка). Решение не требует установки на клиентское устройство и выявляет до 80% мошеннических действий против клиента.

Я не думаю, что из-за роста киберпреступности произойдет, например, крах электронной коммерции или что-то глобально плохое. Но полагаю, что уровень потерь может возрасти, хотя он будет все-таки в пределах допустимой по оценке рисков нормы.

Начнет развиваться страхование киберрисков. Также не следует забывать, что технологии защиты и обнаружения атак не стоят на месте. Даже на своем примере могу сказать, что мы, все больше наблюдая за действиями преступников, все лучше понимаем, как обнаруживать эти действия на ранних этапах.

– Правда ли, что в центре внимания хакерских групп будут уже не только клиенты банков, но и сами финансовые организации?

– Да, это правда. И, к слову, это уже происходит в России. Во второй половине 2013 года и в первой половине 2014-го у нас в стране были успешно атакованы хакерами 35 банков, причем некоторые из них входят в ТОП-20 по величине и уровню зрелости информационной безопасности.

Почему это происходит? Я думаю, причины две – технологическая возможность сделать подобное и нацеленность банков на защиту своих клиентов и систем ДБО.

За последние годы основным видом атак были атаки на клиентов банков. Соответственно в эту область внедрялись дополнительные элементы защиты, мониторинга и контроля, а внутренним сетям банков меньше уделялось внимания, потому что они не так сильно подвергалась нападениям. Это как в боксе – если нет более сильного соперника, то техника боксера не улучшается. Поэтому много лет, оставаясь с виду неприступными крепостями, технологии защиты большинства банков отставали от технологий киберпреступности.

Российский банк может внедрить самую современную американскую технологию защиты, но этого недостаточно, чтобы быть неуязвимым. Почему? Потому что, не имея в СНГ лабораторий и плохо зная российскую киберпреступность, даже самые известные американские, израильские, английские компании не учитывают региональную специфику в своих очень хороших продуктах. Многое, что происходит сегодня в Европе и США, уже случалось пару лет назад в странах постсоветского пространства.

– Чем грозит киберпреступность российским компаниям в этом году?

– Впереди кризисный год в России, значит, будут сокращаться бюджеты и штаты, исчезать с рынка компании. Если судить по опыту 2008 года, то именно в кризисное время возрастают мошенничество и уровень преступности.

Компании чаще судятся друг с другом, воюют между собой, используют все более жесткие/нечестные методы конкуренции. Сотрудники, раздосадованные сокращениями, начинают выносить служебную информацию, саботировать компанию и подрывать ее авторитет – все чаще это происходит именно в Интернете. Там же распространяют заведомо ложную информацию об отзыве лицензии или исчезновении компании, о массовых сокращениях в ней персонала.

Илья Сачков

К сожалению, под сокращение попадают и сотрудники, занимающиеся безопасностью, урезается бюджет на обеспечение информационной безопасности. Разумеется, это только на руку киберпреступникам.

Если в 2013-2014 годах компании тратили немало средств на решения по информационной безопасности, но при этом даже самые защищенные из них были успешно атакованы, многие потеряли деньги, то уж что говорить о 2015-м. Сейчас компании предпочитают не покупать новые решения, сокращают число безопасников, хотя потребность в деньгах у преступников возросла. Значит, атак будет больше, и они будут успешнее.

Если проанализировать ситуацию с целевыми атаками на российские банки и платежные системы, то видно, какого уровня технологии используются злоумышленниками – это мини-кибероружие. (Об этом можно подробно прочесть в нашем последнем отчете о хакерской группе Anunak, которая занимается проведением целевых атак и шпионажем с 2013 года – http://www.group-ib.com/files/Anunak_APT_against_financial_institutions.pdf.)

Возрастет и количество хищений денег в онлайн-банкинге, в платежных системах. Наверное, средний размер хищений сократится, но их будет больше. Особенно это касается онлайн-банкинга на мобильных платформах.

Классические блоки Group-IB
Блок Предотвращение состоит из услуг и работ, оказываемых CERT-GIB, Отделом аудита и консалтинга, а также направлениями по защите брендов (Brand Point Protection) и защите контента от цифрового пиратства (AntiPiracy).

CERT-GIB – центр реагирования на инциденты – круглосуточно занимается мониторингом угроз информационной безопасности для клиентов. При обнаружении угрозы специалисты компании стараются не допустить ее распространения и наступления опасных последствий. Они незамедлительно уведомляют клиента, а если событие уже не остановить, то помогают ему максимально правильно и быстро отреагировать, минимизировать ущерб и собрать цифровые доказательства, чтобы потом передать их в отдел расследований или в правоохранительные органы для дальнейшего установления злоумышленников.

Основными клиентами CERT-GIB являются крупные кредитно-финансовые учреждения и социальные сервисы.

Пример:

Злоумышленники сделали фишинговый сайт известного банка. CERT-GIB узнает об этом уже на этапе регистрации злоумышленниками доменного имени или размещения логотипа банка на каком-то сайте. Можно также сделать соответствующий вывод при наличии ключевых слов в конфигурационных файлах вредоносного ПО или в текстах спам- или смс-рассылки. После обнаружения специалистами GROUP-IB этих действий фальшивому сайту остается существовать недолго – уже через 10-20 минут он будет заблокирован.

Также CERT-GIB помогает находить дополнительную информацию о фактах компрометации реквизитов доступа клиентов банков, владельцев пластиковых карт, держателей личных кабинетов в различных интернет-сервисах, таких как мобильные операторы или социальные сети. Эту информацию CERT-GIB заносит в систему Bot-Trek. CERT-GIB ведет мониторинг сенсоров (IDS, IPS, SLMS – системы обнаружения и предотвращения вторжений и системы менеджмента журналов безопасности) и honeypot-систем (ловушек, направленных на архитектуру хакеров), которые позволяют видеть в режиме реального времени подготовку к атаке или атаку на клиента, а также собирать цифровые доказательства для использования при проведении расследования. СЕРТ-GIB выполняет функции горячей линии для российских доменов – .RU, .РФ, .SU.

CERT-GIB является членом таких международных сообществ, как FIRST, Trusted Introducer, он также занесен в реестры ENISA CERT registry, IMPACT-ITU, что позволяет специалистам центра осуществлять всестороннее взаимодействие с CERT зарубежных государств, постоянно накапливая информацию о новых угрозах и злонамеренной активности в Интернете.

Любой пользователь Интернета (или компания) в режиме 24/7 может обратиться на горячую линию CERT-GIB для получения бесплатной консультации – наши специалисты молниеносно отреагируют на инцидент.

Аудит и Консалтинг – важный элемент блока Предотвращение. Задача этого подразделения – выявление уязвимостей в информационных системах клиентов и консультирование по вопросам устранения «брешей» в обороне. Мы умеем выполнять проверки инфраструктуры, программного обеспечения, веб-приложений, оборудования и т.п. В активе специалистов направления уникальные для российского рынка исследования автоматизированных систем управления технологическими процессами и устройств приема электронных платежей. Также отдел ведет научную и исследовательскую работу – обнаруживает уязвимости и новые векторы атак, о которых сообщает заинтересованным сторонам. Услуги направления позволяют подготовить клиентов компании к возможным атакам, используя знания и накопленный опыт GROUP-IB.

Компания регулярно участвует в расследовании самых разных киберпреступлений, хорошо знает инструментарий и подходы, используемые злоумышленниками для атак на информационные системы. Кроме того, в рамках постоянного мониторинга безопасности Интернета специалисты компании регулярно получают информацию о только еще формирующихся векторах атак, поэтому готовы обнаруживать и устранять уязвимости, о которых конкуренты еще не знают.

BrandPointProtection, или защита брендов в Интернете, – это направление по борьбе с нарушениями прав на объекты интеллектуальной собственности, защите и управлению деловой репутацией в сети. Данное подразделение предлагает комплекс услуг по круглосуточному мониторингу, уведомлению и реагированию на случай неправомерного использования их брендов в Интернете, а также на любые другие угрозы, связанные с возможным нанесением финансового либо репутационного ущерба клиентам компании в Интернете.

AntiPiracy – защита от пиратства – это комплекс мер по предотвращению неправомерного распространения объектов интеллектуальной собственности в Интернете. Это программное обеспечение, разработанное R&D-подразделением компании, эффективность которого усилена аналитической и юридической поддержкой, а также договоренности с ключевыми интернет-регуляторами и площадками. Такая синергия превращает AntiPiracy в непрерывный и эффективный сервис по мониторингу, выявлению и удалению пиратского контента. Эффективность такого сервиса – удаление до 90% нелегального контента в Рунете для защищаемых специалистами компании тайтлов.

Политическая ситуация сейчас напряженная, а международных механизмов противодействия компьютерной преступности в реальном времени нет – соответственно преступники будут использовать географию и политику, чтобы оставаться безнаказанными. Уголовный кодекс не претерпел серьезных изменений в части борьбы с компьютерными преступлениями, следователей, которые готовы вести сложные компьютерные дела, по-прежнему мало. Поэтому мы всем советуем в кризисное время быть готовыми к тому, что проблем станет больше.

Сегодня, наверное, почти не осталось бизнеса, хоть как-то не использующего Интернет и ИТ. И мне кажется очень важным, чтобы и сами бизнесмены, и те, кто защищает бизнес, понимали: киберпреступность существует, и в 2015 году она не исчезнет, поэтому нужно понимать ее мотивы и особенности и уметь наносить ей ответный удар.

– С учетом новых трендов, в каком направлении будут (или должны) развиваться средства и способы защиты корпоративной информации?

– Нужно сосредоточиться на обучении и сервисах, которые могут предсказать наступление какой-либо атаки или появление нового тренда в киберпреступности. Многие атаки, которые мы наблюдали в 2014 году, можно было предотвратить, если бы компании осознавали важность защиты информации и знали технические особенности этой защиты.

Огромной проблемой, которая привела к успешным хищениям в 2014-м, было отсутствие понимания у многих служб безопасности того, что делать, если обнаружено заражение сети. На этот случай должны существовать профессиональные способы реагирования и локализации инцидента, но в большинстве организаций реагирование сводится к антивирусной зачистке. По нашим данным за прошлый год, в 86% случаев хищений на компьютерах стояло антивирусное ПО – однако такая логика реагирования не работает. Ведь задача злоумышленников – украсть деньги или ценную информацию, и простое удаление вируса их не остановит. Специалистам по информационной безопасности в компаниях нужно понимать причины действий киберпреступников. Всегда отвечать на два вопроса: «Как?» и «Зачем?». Соответственно развивать проактивный мониторинг, учиться криминалистике и реагированию.

– Появились ли новые методы противодействия кибермошенничеству?

– Революционных способов противодействия прошедший год не дал ни в технологиях, ни в законодательстве. Пока все идет по пути улучшения того, что было, и совершенствования открытий прошлых лет. Например, мы улучшали то, что открыли или сделали в 2011-2013 годах.

– В одном из интервью вы говорили, что Group-IB планирует открыть мини-представительство в Силиконовой долине. Удалось это сделать? Не изменились ли ваши планы стать международной компанией из-за введенных западных санкций по отношению к России?

– К счастью, мы все-таки уже международная компания – мы работаем во многих странах. Стало ли сложнее? Да. Отношение к российским компаниям ухудшилось в Европе и США. Какие-то сделки стали совсем невозможны, но работа не остановилась. Тем более есть регионы, такие как Латинская Америка, Азия и Ближний Восток, где отношения к ИТ из России очень хорошее. Офис в Сан-Франциско пока не открыт. Зато мы работаем теперь и в Лондоне. В Сан-Франциско обязательно сделаем офис, но чуть-чуть позже.

– Как вы подбираете сотрудников в компанию? Какими качествами они должны обладать?

– Помогают рекомендации, олимпиады, активный хантинг. Например, мы проводим олимпиаду по компьютерной криминалистике и приглашаем победителей к себе.

Сложно говорить об обязательных качествах, необходимых тому, кто хочет работать у нас. Но, наверное, этот человек должен быть профессионалом или обладать потенциалом, чтобы стать профессионалом. Также он должен быть честен и не иметь темного прошлого.

– Правда ли, что все претенденты на работу в Group-IB проверяются на полиграфе, а все сотрудники, включая и вас, раз в год тестируются на детекторе лжи? С чем это связано? Вы больше доверяете машинам, а не людям?

– Да, это правда. Кроме этого, у нас есть и другие методы контроля.

Я доверяю людям, а машины – это больше инструмент работы людей, т.е. значительную часть проверки сотрудников проводит психолог, а полиграф лишь инструмент в его руках.

– Чему вас научило управление растущей компанией? Что вам дается легче? Чем вы не любите заниматься?

– Каждый год в декабре я подвожу внутренние итоги года и думаю о том, как многому научился. И каждый раз надеюсь, что, наверное, в следующем году уроков будет уже меньше. Но с каждым годом их все больше и больше. 2014 год – яркий тому показатель. Очень интересен был опыт работы в режиме санкций, а декабрь преподнес очередной опыт работы в режиме начинающегося экономического кризиса. Я, к сожалению или к счастью, пока вовлечен во все процессы нашей работы. Поэтому я учусь и стараюсь развиваться во всех направлениях: экономика, безопасность, управление персоналом, разработка и многое другое. Что я не люблю так это работу с бумажками – с рудиментами ХХ века.

– Будет ли вам труднее работать в связи с принятыми законодательно решениями об ужесточении контроля над интернет-компаниями, об обязательном размещении серверов национальных интернет-ресурсов в России?

– Не знаю, но, похоже, что нет, не станет. Возможно, работы будет больше.

– Какие именно услуги предоставляет сегодня компания Group-IB? Каким компаниям – крупным, средним, мелким – они могут помочь?

– Сегодня Group-IB – это три взаимосвязанных блока решений: «Предотвращение», «Расследование и криминалистика» и «Программное обеспечение и продукты».

Group-IB: направление по расследованию преступлений в сфере высоких технологий и компьютерной криминалистике
Это самый старый и основной блок компании. Выбрав в 2003 году нишу, которой в СНГ не занимался никто, Group-IB удалось к 2013-му стать одним из мировых лидеров в этой области. Производственный блок состоит из услуг двух отделов – Отдела расследований и Лаборатории компьютерной криминалистики и исследования вредоносного кода.

Лаборатория компьютерной криминалистики и исследования вредоносного кода (Лаборатория) занимается сбором и оформлением цифровой доказательной базы. Специалисты лаборатории способны провести исследование всего, что связано с информацией в цифровом ее проявлении, на любых носителях. Основными направлениями деятельности являются: корректное изъятие и оформление цифровой доказательной базы, проведение исследований, экспертиз, участие в проведении ОРМ, проводимых правоохранительными органами (например, обысках и проверках, изъятиях и допросах), а также выступлениях в суде. Также имеется опыт международного взаимодействия и сотрудничества с forensic & investigation подразделениями в плане обмена опытом и содействия при производстве кейсов.

Компания обладает собственными специализированными разработками, которые позволяют посекундно восстановить цепочку действий злоумышленника и даже обнаружить не детектируемые антивирусным ПО вредоносные файлы.

Отдел расследований занимается аналитикой и поиском идентификаторов людей, которые непосредственно причастны к совершению киберпреступлений на всех его этапах. Используя различные источники информации, основным из которых являются сведения, полученные в ходе криминалистического исследования Лаборатории, проводя различные аналитические работы, корреляцию полученных данных, специалистам компании удается найти и разоблачить как внешних злоумышленников, так и инсайдеров. На счету сопровожденных дел Отдела расследований Group-IB – первые и самые крупные в России сегодня расследования в области хищения денег через системы интернет-банкинга, дела против организаторов и исполнителей DDoS-атак, международные расследования против спамеров и международных преступных групп.

Высокие технологии и компьютерная информация перестали быть элементом исключительно «компьютерных» преступлений, лидирующие позиции в этом списке постепенно закрепились за экономическими преступлениями. Они тоже требуют эффективного предупреждения и расследования. А поскольку в этих преступлениях также важен «компьютерный» элемент (75-80% информации хранится и передается в электронном виде), некоторые методы расследования сходны с методами расследования компьютерных преступлений. Поэтому в блоке расследований сформировано отдельное направление «Финансовые и корпоративные расследования».

Почему именно так? Изначально, с момента своего основания в 2003 году, наша компания занималась только расследованиями высокотехнологичных преступлений и компьютерной криминалистикой. Мы создавали штат высококлассных специалистов, увеличивали количество выполняемых исследований и экспертиз, все чаще принимали участие в расследованиях.

Следующий важный для Group-IB этап начался в 2011 году. Мы увидели, что можем использовать свои знания и опыт, получаемые на «передовой» противостояния киберпреступности, не только для борьбы, но и для обнаружения и предупреждения готовящихся преступлений. Так возникло соответствующее направление, а также линейка продуктов Bot-Trek, позволяющих эффективно минимизировать потери наших клиентов от киберугроз.

Также мы стали шире смотреть на рынок преступлений в области высоких технологий. Появились относительно новые для России направления: BrandPointProtection – защита брендов в сети Интернет и AntiPiracy – защита от цифрового пиратства, а Лаборатория компьютерной криминалистики стала участвовать в расследовании экономических и корпоративных преступлений, сопровождать юридические и консалтинговые компании.

Компания расширялась, количество собираемой и обрабатываемой информации о киберпреступности росло, ее надо было как-то хранить, систематизировать, анализировать. К тому же большой объем накопленных знаний привел к появлению принципиально новых идей использования этой, по сути, эксклюзивной, информации – работа «на опережение», то есть создание превентивных мер противодействия злоумышленникам.

Существующих программных средств для осуществления задуманного не хватало, и мы приняли решение заняться собственными разработками. Постепенно эти работы превратились в целое самостоятельное R&D направление, которое, помимо внутренних разработок, сейчас занимается и коммерческими продуктами, такими как Bot-Trek™.

Расследуя хищения денег и заражения различных компаний в 2010-2011 годах, мы заметили странную вещь – заражения происходят с компьютеров, на которых стоит антивирус, а сами компании используют хороший периметр защиты, у них внедрены современные политики безопасности.

Например, в ботнете Гермес было более 1 500 000 компьютеров на территории РФ. И на каждом из них стоял антивирус, а многие компьютеры находились в сетях крупных предприятий. В тот момент мы поняли, что нужно что-то, что позволит идентифицировать подобные вещи. Так родился Bot-Trek, который первое время занимался мониторингом ботнетов, а потом перерос в три отдельных продукта или даже экосистему.

Экосистема Bot-Trek – наше флагманское решение для идентификации, стратегического планирования и оперативного реагирования на актуальные глобальные риски и угрозы безопасности. Мы постарались сделать решение, которое позволяет защититься от атак сегодняшнего дня, а также подготовиться и предотвратить последующие атаки и угрозы, наблюдать в режиме реального времени за постоянно меняющейся средой киберугроз, использовать специальные индикаторы для оценки уровня угроз для бизнеса, получать новые знания, необходимые для защиты компании сегодня и в будущем. Bot-Тrek не заменит классический период безопасности, он хорошо его дополняет.

Илья Сачков– В 2012 году вы говорили, что если ситуация не изменится, то «через два года хакеры будут лоббировать свои законы». Это произошло?

– Частично да. Но в несколько другой форме. Законы, поправки, рекомендации, которые хотят внести эксперты и представители несущего убытки бизнеса, теряются, не проходят слушания. Уголовные дела сложно возбуждаются, в некоторых случаях видна рука административного ресурса, мешающего объективному ведению дела. Хакеры не стали лоббировать свои законы. Оказалось, что текущая ситуация их более чем устраивает. Они стали ближе к некоторым коррупционным чиновникам. И теперь важная задача государства и органов безопасности – выявлять таких людей и их связи.

– Вы являетесь сопредседателем Комиссии по информационной безопасности и киберпреступности РАЭК. Чем она занимается? Удается ли вам влиять на принятие законодательных решений?

– Задача РАЭК – формирование цивилизованного рынка электронных коммуникаций, поддержка проектов в отраслевом образовании и науке, развитие нормативно-правового поля по защите интересов участников рынка.

Соответственно задача нашей комиссии – защита интересов с точки зрения информационной безопасности. В комиссию входят известные эксперты из разных отраслей. У нас есть свой взгляд на законодательство РФ, мы даем свои рекомендации, а зачастую сами предлагаем новые законодательные инициативы. Пока нам чаще всего удается не допустить принятия законов, заведомо вредных для информационной безопасности и борьбы с компьютерной преступностью.

– Могли бы вы назвать сейчас сумму ущерба от действий киберпреступников в России в прошлом году? Она растет или сокращается?

– Сумма ущерба за 2014 год пока еще нами не подсчитана. Если говорить о последней половине 2013-го и первой половине 2014-го, то она составила 2,5 млрд долларов. Подробно о том, из чего состоит итоговая цифра, как мы ее считали, и о технологиях можно почитать в нашем ежегодном отчете – report2014.group-ib.ru. Если говорить о размере суммы, то она снизилась по сравнению с предыдущим годом, но все-таки еще очень и очень большая.

– Появились ли положительные подвижки в корпоративной безопасности за последнее время или нет?

– Во многих компаниях да, но в целом, к сожалению, нет. Кроме прочего, начался кризис, и ряд проектов, запланированных на 2015 год, останутся у многих компаний лишь в текстах неутвержденных бюджетов.

– Существует довольно распространенное мнение, что Россия уверенно входит в число мировых лидеров по уровню компьютерной преступности еще и потому, что сами компании зачастую безответственно относятся к своей информационной безопасности. По данным «Лаборатории Касперского», уровень обеспокоенности киберугрозами у нас ниже среднемирового показателя (50%). СМИ не раз сообщали о выброшенных на свалку документах с персональными данными, о клиентских базах, выложенных в открытый доступ. Однако компании не несут ощутимых репутационных потерь, и никаких громких судебных процессов по делу о компьютерных преступлениях в России пока не было. Что должно произойти, по вашему мнению, чтобы ситуация изменилась к лучшему?

– Соглашусь, что уровень осведомленности очень низкий – зачастую компании, менеджмент и даже иногда сотрудники служб безопасности не верят в происходящие технологические процессы. Но все же основой российской киберпреступности является, как я говорил, возможность безнаказанно обналичивать деньги.

– К чему же нужно быть готовым владельцам российских компаний? Что предпринять, чтобы уберечь важную информацию о компании и клиентах от кибермошенников?

– Я думаю, что осведомленность о том, что происходит, какие мотивы у современных преступников и какие технологии они используют, – это главный и первый эшелон защиты. Сейчас модно иметь огромный бюджет на информационную безопасность, но он не защищает от взлома, потому что компания не понимает мотивов врага или технологию, которую он применил. Поэтому менеджменту компании важно учиться основам информационной безопасности, а всем сотрудникам хотя бы в общих чертах знать, что такое современная компьютерная преступность.

Рисунок 1. Как работает департамент расследований в компании Group-IB, взято с сайта www.group-ib.ru

Рисунок 1. Как работает департамент расследований в компании Group-IB, взято с сайта www.group-ib.ru

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (139) 2024г.
Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика