Илья Сачков: «Технологии позволяют бороться с киберпреступностью – этот бизнес становится неэффективным»

Об эволюции киберпреступлений, разнице Android и iOS, гомеопатии в информационной безопасности рассказывает Илья Сачков, генеральный директор и основатель компании Group-IB, резидента IT-кластера Фонда «Сколково».

Компания Group-IB появилась 14 лет назад, когда студенты кафедры информационной безопасности МГТУ им. Н. Э. Баумана решили открыть  агентство по расследованию высокотехнологичных преступлений. С тех пор агентство выросло в международную компанию-резидента Фонда «Сколково», создающую собственные технологии для предотвращения киберпреступлений, например систему Threat Intelligence (Киберразведка по подписке). В тоже время на смену хакерам-одиночкам пришел огромный «спрут»  организованной киберпреступности, чьи «щупальца» тянутся и в финансовые учреждения, и органы власти, и электронные кошельки рядовых пользователей интернета.

Компьютерная преступность стала масштабнее и опаснее традиционной организованной преступности, считает Илья Сачков. «Времена хакеров-одиночек, взламывающих сети телефонных станций ради шутки, давно прошли. В реальности большинство “черных шляп” – это преступники, ворующие деньги или информацию на продажу, – отмечает директор Group-IB. – За последние годы появились сотни преступлений, которые совершаются с помощью IT-технологий: от организации групп детских суицидов, игорного бизнеса и интернет-пирамид, до хищений, саботажа, диверсий и кибертерроризма».

В 2016 году Group-IB оценивала суммарный̆ ущерб экономике России от киберпреступности в 203,3 миллиардов рублей или 0,25% от ВВП России, что равняется почти половине бюджетных расходов на здравоохранение в 2015 году. В 2017 году, по оценке Сбербанка, ежегодные убытки России от кибератак составляют уже 600 – 650 млрд рублей, а в мире сумма убытков от кибератак уже приблизилась к $1 трлн.

При этом, располагая бюджетами, киберпреступники могут позволить себе инвестировать в технологии больше, чем некоторые крупные технологические компании, и, как следствие, воровать деньги удаленно и максимально безопасно.

Несмотря на то, что уровень традиционной преступности постепенно, но сокращается, а количество киберпреступлений постоянно растет, львиная доля бюджета правоохранительных органов все еще уходит на борьбу и профилактику уличной преступности, замечает Сачков.

C ростом киберпреступности серьезно эволюционировала и компания Group-IB. «Начиная свой бизнес в 2003 году с расследований киберпреступлений и компьютерной криминалистики, компания собирала знания о хакерах, преступных группах, их методах и инструментах  –  в базе Group-IB более 100 000 профайлов преступных групп и персоналий, – рассказывает о развитии Илья Сачков. – Мы провели более 1000 успешных расследований (из них 150 особо сложных, завершившихся реальными приговорами) в 30 странах мира». 

Благодаря накопленному опыту и базе знаний, Group-IB теперь создает собственные технологии, решения и продукты в сфере информационной безопасности. По итогам 2016 года их доля в выручке компании составила 45%, а к 2020 году должна достичь 80%. Кроме того, в этом году компания Group-IB открыла представительства и центры аналитики в Латинской Америке, на Ближнем Востоке, вывела на рынок 4 новых продукта. Продолжая глобальное развитие, в компании планируют к 2020 году увеличить долю валютной выручки до 60%.

Уязвимость Android и iOS

Согласно отчету Group-IB, представленному на конференции CyberCrimeCon2017, сумма ущерба от троянов для системы Android за последний год выросла почти в два раза и составила $13,7 млн. В компании такой показатель связывают, в том числе, с популярностью и открытостью платформы Android.

«Еще в 2015 году произошло важное событие: объем хищений с помощью Android-троянов впервые превысил объем ущерба от троянов для персональных компьютеров, – напоминает директор Group-IB. – Почти 85% смартфонов в мире работает на платформе Android и большинство вирусов пишутся именно под нее».

Комментируя более «безопасную» систему iOS, Илья Сачков отметил, что 4 прошивки назад, стоимость одного заражения устройства под iOS составляла $500 000, а заражения 1 000 устройств на платформе Android — всего $200.  «Я много раз слышал, что iPhone невозможно взломать. Это миф (тем более, что телефоны часто «потрошат», взламывая iCloud), — судя по утечкам из АНБ и ЦРУ их технические специалисты давно и весьма успешно работают над этим вопросом», – говорит эксперт.

По его словам, все гаджеты Apple, сервисы Apple iCloud и iTunes изначально создавались как закрытая экосистема, сводя к минимуму возможность вмешательства со стороны пользователей и жестко цензурируя новые приложения от разработчиков. Google же предоставлял больше свободы и большинство вредоносных программ для Android интегрировались непосредственно в официальные приложения. Кроме того, обновления системы безопасности для iOS выходят регулярно, а Google часто критикуют за неспособность оперативно защитить своих пользователей.

Россия как тестовый полигон для хакеров 

Глава Threat Intelligence и CTO Group-IB Дмитрий Волков как-то назвал Россию тестовым полигоном для хакеров. Это заявление стало результатом наблюдения за тенденциями киберпреступлений последних лет.

«Первые масштабные целевые атаки на российские банки мы зафиксировали еще в 2013 году. Если в 2014 году было известно о двух хакерских группах, Anunak и Corkow, проводивших целевые атаки, то в 2015 году их было три (Anunak и Corkow, Andromeda), а в 2016 году – четыре (Buhtrap, Lurk, Cobalt, MoneyTaker). В 2017 году активны пять, в том числе Cobalt, MoneyTaker, Anunak. Объяснение этому простое: группировки, раньше атаковавшие компании – клиентов банков, переключаются на сами банки. Больше денег, меньше рисков, – поясняет Илья Сачков. – Со второго полугодия 2016 года количество целенаправленных атак на банки в России упало на 33%. Групп и инцидентов стало больше, но хакеры ушли за пределы России — они переключились на иностранные финансовые организации и их клиентов. На подпольных форумах хакерские инструменты продают или сдают в аренду с условием “не работать по ru” – то есть на территории РФ».

По мнению экспертов компании, традиционные способы борьбы с киберпреступниками, которые применяет государство (аресты, тюремное заключение), не решают проблемы такого рода преступности. «Технологии позволяют бороться не с конкретными людьми, а с киберпреступностью как явлением, – их бизнес становится неэффективным и экономически нецелесообразным», – подчеркивает Илья Сачков.

Киберугрозы будущего

Научная фантастика становится уже реальным фактом, считает директор Group-IB. Он цитирует исполнительного директора INTERPOL IGCI Нобору Накатани, который говорил о возможных кибератаках на стратегические объекты — АЭС, аэропорты, использовании террористами технологий “умных автомобилей, “умных поездов” для атак, а также о том, что оружием могут оказаться даже роботы, например, «пчелы-убийц», использующие для поиска своих жертв GPS, искусственный интеллект и даже хэштеги в соцсетях.

Говоря об уязвимостях будущего, Илья Сачков отмечает, что главной проблемой для банков станет не воровство денег, а разрушение их ИТ-инфраструктуры как финальный этап целенаправленной хакерской атаки. «Ожидаются новые мощные DDoS-атаки. Киберпреступники будут создавать новые бот-сети за счет IoT (Internet of Things)-устройств — видеокамер, маршрутизаторов, в том числе для их последующего использования в DDoS-атаках», – уточняет эксперт.

По его мнению, наибольшую опасность представляет кибероружие, поскольку его можно достаточно легко скопировать и применить по своему усмотрению. «При этом развитые в технологическом отношении страны становятся в определенной степени заложниками своего доминирующего положения – чем больше объектов управляются с помощью информационных технологий, тем больше потенциальных уязвимостей, которые можно использовать, – подчеркивает директор Group-IB. – Сценарии его применения могут быть различными. Известны случаи, когда уязвимости, разработанные, предположительно, прогосударственными организациями утекали в паблик и позднее использовались третьими сторонами. В этом плане показательны примеры WannaCry и NotPetya, которые использовали уязвимость EternalBlue. Но возможен и другой сценарий: инструмент, разработанный финансово мотивированными хакерами, может попасть в руки кибертеррористов».

Сейчас ООН рассматривает вопрос о введении моратория на кибероружие, говорит Илья Сачков, но, к сожалению, бюрократия не дает процессу сдвинуться с мертвой точки.

Дальнейшие планы

Group-IB хочет не только конвертировать свои знания о киберпреступности востребованные бизнесом продукты, но и менять отношение к киберпреступности. «Мы надеемся, что компании возьмут на вооружение объективную оценку рисков, а не будут использовать «ИБ-гомеопатию». Многие компании чувствуют себя защищенными, но это далеко не так, – подчеркивает Илья Сачков. – Главная причина состоит в том, что люди и компании не понимают, что такое компьютерная преступность. Опасность создают не технологии, а люди. Чтобы понимать, от чего защищаться, надо понять, кто такие компьютерные преступники и чего они хотят».

Как отмечают в Group-IB, предотвращать преступления на стадии их подготовки позволяет Threat Intelligence (Киберразведка), которую сейчас используют не только банки, но и телекоммуникационные, промышленные компании и госсектор. Тенденция использовать именно такой класс решений продолжится.

Одна из задач, стоящая перед борцами с высокотехнологичными преступлениями, – унификация законодательства в области киберпреступлений. «Наша аналитика уже помогла усовершенствовать российское законодательство, как в части наказаний за киберпреступления, так и в части защиты интеллектуальной собственности, – отмечает генеральный директор Group-IB. – В перспективе нам бы очень хотелось, чтобы все международное законодательство синхронизировалась по вопросам борьбы с компьютерной преступностью».

Тем же, кто хочет запустить свой собственный технологический стартап, Илья Сачков рекомендует обратиться в Фонд «Сколково»: «Во-первых, это целая экосистема технологических стартапов, где, с одной стороны, созданы условия соперничества и здоровой конкуренции, с другой – это настоящее комьюнити, в котором все друг друга поддерживают и готовы прийти на помощь, если такая необходимость возникает. Это и возможность проконсультироваться с коллегами по широкому кругу вопросов – от чисто технических до юридических, связанных с авторскими правами и патентованием. Это и менторство, и обмен опытом одновременно. Во-вторых, это развитая и комфортная для жизни и работы современная инфраструктура кампуса. И наконец, это финансовые выгоды – возможность использовать льготное налогообложение».

В свою очередь, представитель «Сколково» Антон Иванов, руководитель направления «Технологии информационной безопасности» ИТ кластера, призывает всерьез отнестись к аналитике Group-IB и объединить усилия в борьбе с цифровыми преступлениями на базе Фонда: «Резидент ”Сколково” компания Group-IB является одним из лидеров рынка информационной безопасности. Оценка, которую предоставили наши коллеги по киберпреступлениям и влиянию на экономику, говорит о том, что преступники активно переходят в цифровое поле. Крупные корпорации, государственные структуры активно осваивают цифровые технологии, что влечет за собой появление новых угрозы за которыми стоят высококвалифицированные специалисты. Фонд «Сколково» прилагает усилия для привлечения лучших на рынке информационной безопасности и создает для высокотехнологичных проектов благоприятный климат, чтобы компании могли развивать свои решения. Каждой команде, имеющей инновационную идею, решение или продукт, который сможет усложнить жизнь для преступников и сделать цифровой мир более безопасным и комфортным, рекомендуется обратиться в Кластер информационных технологий Фонда ”Сколково”» .