Иля Сачков, Group-IB "Можем да кажем предварително от кои клиенти могат да бъдат откраднати пари"
Интервю с бизнесмена Михаил Слободин
Изпълнителният директор на VimpelCom Михаил Слободин интервюира Иля Сачков, основател и главен изпълнителен директор на Group-IB, компания, която разследва и предотвратява престъпления в областта на ИТ. През 2016 г. Сачков беше включен в рейтинга на най-ярките предприемачи на възраст под 30 години от американската версия на Forbes.
Иля, здравей. Днес ще говорим за доста деликатни проблеми със сигурността: компютърна сигурност, сигурност на нашите данни и, разбира се, за бизнеса, който управлявате, който сте разработили, както разбирам, от самото начало.
Какво правиш? Какъв е вашият бизнес?
Когато възникне проблем, е важно някои хора или компании да разберат защо се е случило или кой го е направил. Започнахме с точно такъв бизнес, който се нарича американската фраза цифрово разследване, на руски звучи страшно за всеки правоприлагащ орган - „разследване“.
Освен това по никакъв начин не навлизаме в сферата на работа на правоприлагащите органи. Нашата работа като криминалисти (компютърна криминалистика) е да разберем защо се е случило нещо. Това е особено интересно за компаниите, защото най-често те харчат пари за сигурност и тогава възниква разумен въпрос: „Защо похарчихме пари, но това, за което похарчихме пари, не проработи?“
Много е важно да се разбере, че технологично сега хората, които извършват престъпления, са наистина организирана престъпност с добри бюджети. Безкрайно играйте с тях технологичен пинг-понг, тоест поставяме нова система за сигурност - те я преминават, ние поставяме нова система за сигурност - те също я преминават, това вече не е стратегия.
Трябва да се занимаваме и с технологиите и все пак да разбираме, че е важно, от гледна точка на закона, да хванем тези хора, да намерим и за предпочитане да накажем.
Не усещате ли конкуренцията от страна на правоприлагащите органи? Защото това е толкова важна част от работата им и вие частично го правите вместо тях.
Всичко зависи от дълбочината на разбиране на нашата работа. Органите на реда, които знаят за нас от ценовата листа, най-често се отнасят с нас много негативно - „някои млади стартиращи, най-вероятно зад това няма нищо“.
Тези, които работят с нас в подкрепа на някои наказателни дела, като ни наричат експерти, а законодателството предполага това, те разбират какво е предимството. Това е абсолютно нормална практика на публични и частни партньорства. Направихме определена експертиза, която държавата по различни причини не може да направи сама, това се случва. И това е абсолютно нормално.
Така например на Запад. Ние работим с Европол, подписахме споразумение с тях, преминахме надлежна проверка и те разбират, че нещата, свързани с рускоезичната престъпност, ако работим с частна компания, бързо ще разрешим.
Но има хора, които не са работили с нас и които, извинявайте, са мързеливи да дойдат в нашия офис, да разгледат материалите по наказателното дело, да видят как работят експертите, как сме изградили система за вътрешна сигурност, която е много трудно да влезем в нашата компания, ако човекът има лоши намерения. Сега въведохме биологичен детектор на лъжата. Тоест, в допълнение към обичайния детектор на лъжата, човек вече ще прави тестове, за да не използва специални хапчета.
Имаме същия проблем с някои служби за сигурност, те казват: „И това изобщо не е необходимо, това са някакви глупости, не слушайте, имаме най-сигурната компания като цяло, изобщо не ни трябва нищо . " В същото време най-простият пример е как е възможно една компания да знае за всички инциденти, които се случват в Русия. Това е невъзможно. Американските международни стандарти препоръчват да има външен доставчик на данни. И ако сигурността седне вътре и каже, че с тях всичко е наред, това, за съжаление, много бързо се превръща в някакъв проблем.
Следователно, отговаряйки на въпроса ви, да, има ревност, но тя свършва, когато хората ни опознаят по-добре.
Как изобщо стигнахте до това? Това не се учи.
Грубо казано, имах нужда от пари - бях студент, много често срещана ситуация. Съответно започнах да работя много бързо. И когато започнах да работя по специалността в корпоративния сектор, осъзнах, с цялото ми уважение към колегите, това не е толкова интересно, колкото си представях. Исках някакво движение. И тогава корпоративни стандарти, политика, от девет на шест. Това, между другото, е много често срещан мит за предприемач ... Тогава се оказа, че няма да има „от 9 до 6“, това е само 24. Тоест, вие се събуждате през цялото време - мислите за работа, заспиваш - за работа.
Случи се така, че имах време за почивка, бях в болницата с фронтален синузит. Един приятел ми донесе американска книга, наречена „Разследване на компютърни престъпления“. Прочетох го и си помислих: "Леле, това е темата!" Той описва компанията Mandiant, която е много богата, описва на американския пазар, че куп компании са ангажирани с това.
И си помислих, че наистина искам да работя в тази конкретна компания в Русия. Разказах на съучениците си за тази идея, те се разделиха на два лагера. Някои казаха: "Ти си луд!" Родителите ми също дойдоха в този лагер, казвайки: "Надяваме се, че ще успеете да си намерите нормална работа, когато се провалите.".
Това беше страхотен мотиватор - тогава елате при родителите си и кажете: „Сгрешихте“. Ако ме подкрепяха във всичко, не би било толкова интересно да направя всичко това.
Оказа се, че много хора имат проблеми. Похарчихме всички пари за закупуване на нови артикули и технологии. Почти не харчехме за себе си. Първите няколко години бяхме в много лошо икономическо състояние и момчетата ме обвиниха, защото похарчихме всичките си пари за развитие.
Затова през 2010-11 г. започнахме да мислим как може да бъде увеличен. И можете да увеличите бизнеса си, само ако правите някакъв продукт. Изкуственото производство на продукт е доста глупава идея, според мен. И започнахме да мислим - тъй като дойдохме да разследваме, компанията е доста добра от гледна точка на сигурността, която харчи много пари, но въпреки това идваме да разследваме, това означава, че нещо липсва, някои неща.
И започнахме да мислим по тази тема. Те започнаха да мислят, че можем да превърнем знанията, които придобиваме в хода на разследването, в продукт, който ще предскаже престъпления в следите, предшестващи етапа на подготовка.
По принцип в много близко бъдеще ще се натъкнем на нови видове детектори на лъжата, които ще ни позволят не само да отговорим на въпроса дали човек е направил или не е направил нещо, но е склонен към престъпление или не. Това е много близко бъдеще, защото има скорошни проучвания, когато на лекар бяха показани само функционални снимки на американски затворници, мозъка им и той каза от снимката: „Това е изнасилвач, това е убиец, това е измама . " Не вижда фамилията, не вижда присъдата.
Връщайки се към услугите, продуктите, които започнахме да правим. Започнахме да правим ... отново, ужасна дума на руски - „кибер интелигентност“, на английски звучи много хубаво - интелигентност на заплахата или кибер интелигентност. Това са технологии, които събират голям брой показатели, показващи, че се подготвя определено престъпление.
Хакери, крадци и мошеници, какво правят? Каква типична ситуация?
Например имате интернет банкиране. Няма значение коя банка. Как можеш да откраднеш пари от там? Както обикновено. Вземете някой портал, популярен в интернет, където може да достигне целеви трафик. Например, някакъв финансов сайт, а-ла, сега ще измисля името "yalublyubanki.ru", такъв сайт, например.
Тази програма прави много просто действие: хвърля малка търсачка на компютър или устройство. Тази търсачка отговаря на въпроса на нападателя дали има онлайн банкиране на компютъра или не.
Тогава нападателите бързо изтеглят тези пари. Какъв е, както се казва, трикът. Първо, почти всичко е автоматизирано. Няма такава ситуация като във филмите, в които човек седи на компютър.
Напълно дигитално, всичко е автоматично.
Абсолютно. Най-удивителното е, че всички там имат добър дизайн, денонощна поддръжка, всъщност това е малка компания, която прави собствен продукт. Тъй като пазарът е конкурентен, тоест нападателите избират какво да използват, дизайн, простота, сигурност на всичко това е конкурентно предимство.
Е, всъщност вие активно диверсифицирате, както разбирам. Как се движите по отношение на клиентите на Запад? Какво е отношението на руска компания, която се занимава с киберпрестъпления в един, според хората, от основните центрове за киберпрестъпления?
Абсолютно сигурно е, че има пристрастие към руските компании. Например какво се случва сега с Kaspersky в Америка. Вижда се, че се опитват да ги изтласкат от пазара.
Какво правим. Работим с анализатори, а именно американски, които разглеждат технологията. Важно е технологичната компания да влезе в аналитични отчети с нестопанска цел като Gartner, IDC, Forrester. Ние сме там.
Второ нещо. Този свят казва: „Вероятно сте свързани с организираната престъпност, вие сте там!“ Ние казваме: „Ние разполагаме с технологията и винаги проучваме. Ако искате да идентифицирате някоя престъпна група, ние ще съберем цялата необходима доказателствена база, ще помогнем на правоприлагащите органи да заведат случая в съда ".
За разлика от доставчиците, съжалявам, антивирусите, ние винаги гарантираме, че в допълнение към технологиите можем да правим услуги, свързани с идентифицирането на хора. Такава е отличителната способност. Само нашият "голям брат", американската компания FireEye, има абсолютно същите способности. Те купиха самата компания Mandiant, за която отдавна четох в една книга, и се занимават както с технология за превенция, така и с разследване. Тази комбинация.
Сега въведохме следната традиция: показваме на клиентите нашия офис в Перископ, насочваме обиколка, готови сме да ги поканим, отваряме точки-места, където работят местните хора, често наемаме китайци, хора от Близкия изток, имаме Канадци, американци в щата.
Въпреки факта, че част от нашата работа е наистина затворена, тъй като става въпрос за подпомагане на наказателни дела, ние се опитваме да бъдем максимално отворени за нашите клиенти. Ако искате да отидете в офиса - моля, ако искате да видите екипа - с удоволствие, ако искате да видите технологията - моля, отворете изходните кодове за някакъв вид сертификация - изобщо няма проблем. Трябва да бъде отворен.
Да, но за резултатите обикновено е доста трудно да се говори публично. Защото клиентите не искат да бъдат публични по отношение на проблемите, които са преживели. Много неща са зад затворени врати. Как решавате тази част?
Според някои разследвания има споразумение с клиента, че когато става въпрос за съд, можете да говорите за това и това ще бъде съвместна PR кампания. Също така е важно клиентът да покаже, че „ние се борим, защитаваме клиентите си, защитаваме интересите си“. Например Сбербанк. Ние работим с тях. И те обичат, когато е задържана престъпна група, да кажат: „Сбербанк с помощта на Group-IB и правоприлагащите органи помогна за задържането на такава и такава престъпна група“.
Второто нещо е, че това може да бъде референтно посещение. Когато в публичното пространство няма нищо, но клиентът е готов в тесен кръг, когато подписва определени документи, да си признае и да разкаже за тази история. Плюс от уста на уста. Хората някак си си казват по тази тема. И мисля, че тази тема трябва да бъде обсъдена. Ако кажем, че всичко е наред, всичко е в безопасност, компютърните престъпления не съществуват, обикновено свършва ...
Е, това е същото като за корупцията ... Ако приемем, че при нас всичко е наред и добре, фактите за разкритата корупция вътре, ако не покажете публично как сте реагирали, кой е наказан, колко сериозен е, това със сигурност създава чувство за безнаказаност ... И това силно не отговаря на реалността. Тук е същото. Е, в заключение, предполагам. Какъв съвет бихте дали на обикновените хора, за да предотвратяват такива неща колкото е възможно повече?
Първо. Всеки ще трябва да вярва, че компютърната престъпност съществува и това е проблем. Вероятно бих препоръчал на всички да я приемат по-сериозно и все пак да рисуват престъпници в негативен цвят, защото положителното отношение към тях много помага.
Второ нещо. Както и шофирането на кола. Човек, преди да шофира кола, обикновено полага изпити, преподава правила, теория, практика. Преди да започнете да използвате нещо, прочетете за рисковете. И това ще отнеме пет минути време в Интернет. Във всяка търсачка са забити „препоръки за информационна сигурност или компютърна хигиена“. Две статии - и човек става 80% по-защитен.
Третото нещо е да изберете (а благодарение на Интернет вече е лесно) адекватен доставчик на финансови услуги, включително телекомуникационна компания. Според отрицателните отзиви, случаи на връщане-не-връщане, във връзка с безопасността, според начина, по който компанията говори за безопасност.
Всичко, което имаме, е цифрово, ако престъпниците инвестират много пари в своите технологии, съответно ще трябва да инвестират в информационна сигурност. Но трябва да инвестирате там, където има риск.
Сега има много голям проблем. Хората купуват системи за сигурност, без да разбират от какъв риск искат да се защитят. Трябва да се потопим още малко, да разберем срещу кого се защитаваме. Като в армията. Има интелигентност, която казва кой е нашият враг, откъде ще дойде, какви технологии ще използва.
Бизнесът трябва да има такова кибер разузнаване, което казва: „Може би ще имаме такъв проблем, така че трябва да закупим тази технология“.
Срамно е, когато една компания харчи безумни пари за нещо: оборудване, софтуер. И това предпазва абсолютно не от това, което може да се случи.
Дупка другаде.
Да, но дупка, през която човек просто влиза - и това е ... Най-фундаменталното е знанието. Знанието е пирамида, която ще предпазва от компютърни престъпници много по-ефективно от много технологии.