«Никогда не нужно заниматься информационной безопасностью, думая, что твой противник — дурак»

— Мы не сменили вектор — расследования у нас остаются и будут всегда. Во-первых, это хороший бизнес, во-вторых, это очень важная часть R&D. Так как мы расследуем большое количество инцидентов в разных странах мира, в том числе тех, с которыми компании сталкиваются впервые, это позволяет нам улучшать и придумывать новые технологии. Почему мы открыли линейку продуктов? Точно не потому, что это модно. Это следствие парадокса, заключающегося в том, что, если вспомнить 2000-е, нашим основным заказчиком были очень зрелые и продвинутые компании, которые заказывали расследование, incident response. Чаще всего это были большие западные компании, которые привыкли к этим услугам в Америке или в Англии и хотели получить этот сервис в России. Сначала мы просто проводили расследования, но со временем накопленный опыт позволил увидеть некоторую закономерность, которая объединяла различные инциденты. Мы поняли, что злоумышленники используют некоторое технологическое окно возможностей. Например, если происходит хищение денег или информации с компьютера, где установлен антивирус, а в сети компании установлены межсетевые экраны, значит, вирус, который используют злоумышленники, не детектирует антивирус, и он может коммуницировать со своими владельцами, обходя межсетевой экран. Чем больше расследований мы проводили, тем лучше понимали, как злоумышленники это делают и что нужно делать, чтобы их ловить.

Сначала весь софт был криминалистического толка, он помогал распутывать криминалисту цепочку происходящего внутри компании, позволял понять, есть ли зараженные хосты, как управляется сеть зараженных машин. А потом мы поняли: «Это же можно автоматизировать!». И у нас родилась такая маленькая Силиконовая долина, по сравнению с настоящей Силиконовой долиной, конечно, очень маленькая (смеется). Ребята, которые занимались сервисом, стали придумывать вокруг себя продукты, получив от меня гарантию, что получат финансирование на их развитие, если я увижу перспективу. Изначально было около десяти таких продуктов, постепенно они объединились в три.

— Мы не сократили, мы просто объединили. Тот, кто был больше технологическим лидером, таким маленьким генеральным директором направления, объединил вокруг себя другие продукты.

— У меня на эту тему очень больная психология. Когда мы еще были сервисной компанией, в 2010 году, мы открыли офис в США, в Нью-Йорке, в очень хорошем месте. У меня всегда было понимание: «Если ты не конкурируешь с сильным игроком, ты никогда не будешь делать хорошие технологии». Если вы делаете продукты, руководствуясь только трендом на импортозамещение, что вы будете делать, если завтра он закончится? Нужно замещать хорошей технологией. А она может быть хорошей только, если вы конкурируете с сильным противником. Простая аналогия – бокс. Если все время вставать в спарринг со слабым партнером, ты не станешь сильнее, не будешь развиваться.

Когда в 2010 году началась наша международная история, оказалось, что каждая страна, каждый регион имеет свою специфику: психологическую, технологическую, политическую… В последнее время влияние политики ощущается все сильней.

Правда, у нас есть определенное преимущество – мы работаем в очень интересном регионе, это позволяет нам нанимать людей более квалифицированных, но при этом не платить им такие большие зарплаты, как приняты, например, в Америке. С другой стороны у нас очень развита киберпреступность, я имею в виду Восточную Европу, это позволяет нам получать более свежие знания, чем американским коллегам. Поэтому, будучи еще совсем маленькими в технологическом плане, мы с первого года попали в отчет Gartner по Threat Intelligence.

В прошлом году мы открыли два аналитических центра – в Ливане и в Таиланде, чтобы получать аналитику и вести бизнес на Ближнем Востоке и в Азии. На удивление, в этих регионах вести бизнес оказалось очень комфортно.

В этом году к нам пришел Гарри Кондаков, возглавлявший международный бизнес в «Лаборатории Касперского». В этом году мы открываем пять офисов. Это будут мини-Group-IB – это наша стратегия по борьбе с конкурентами, мы хотим кастомизировать аналитику и сервисную поддержку под каждый регион. Это будут небольшие команды от двух до пяти человек, куда будут входить вирусный аналитик, специалист по forensic, специалист по мониторингу и сейл, конечно.

— Мы очень часто летаем в Европу и другие страны, потому что, когда происходит инцидент, американские компании не могут вылететь на место для проведения расследования. Только две американские компании предоставляют такие сервисы, и то не во всех регионах. Мы хотим сделать сопровождение клиентов нашим конкурентным преимуществом. Ведь оно очень важно. Если ты купил технологию и потратил деньги, у тебя появляется иллюзия, что теперь ты в полной безопасности. Если происходит инцидент и при этом вендор не готов тебе как-то помочь, происходит определенное разочарование и в технологии, и в производителе.

— Да, это нестандартный подход, но мы маленькая компания, мы не можем тратить такие огромные бюджеты, как американские гиганты. Нам приходится использовать, как это не звучит банально, стратегию голубого океана. Мы не можем тратить огромные бюджеты, зато мы можем быть очень быстрыми, уделять особое внимание изучению локальной преступности, разбираться в том, как она работает, и проводить расследования на месте, если можно так сказать, привлекая правильных партнеров.

— Это не совсем коммерческая тайна, но у нас будет отдельный event, где мы будем об этом рассказывать, хотя догадаться не так уж сложно. Могу сказать только один спойлер. Существует такое мнение, что русским компаниям не нужно идти в Америку, а мы туда пойдем все равно. У нас есть американские клиенты. Мы понимаем, что зачастую они делают политический выбор, но при этом они никогда не будут в безопасности, рано или поздно им придется сравнить технологии. Кроме этого, есть множество мультинациональных компаний, где у руля стоят не обязательно американцы. Эти люди могут выбрать в том числе и русские продукты, иногда – потому что они дешевле, иногда – потому что они лучше. Я считаю важным – там быть, потому что политика может меняться, но если не конкурировать с американскими компаниями, в других регионах ты будешь слабее.

— Влияет. И мешает, и помогает. Если бы не русские хакеры… Хотя корректней их называть русскоязычными. Это примерно треть или четверть всех пользователей в Интернете, люди из разных регионов, в том числе из Америки. Специалисты полицейских организаций, таких как Интерпол, разделяют понятия «русский» и «русскоязычный». Действительно, большая часть интересного вредоносного кода создается русскоговорящими комьюнити, при этом не обязательно русскими.

Чем это помогает? Нам повезло, что мы родились в регионе, где киберпреступность, так исторически сложилось, умная и активная, — это подстегивает компании, занимающиеся борьбой с угрозами ИБ, постоянно совершенствоваться.

С другой стороны, этот новостной шлейф мешает, потому что не очень образованные в этой сфере люди на полном серьезе, без шуток, после победы Трампа звонили мне и поздравляли с его победой. Конечно, это мешает, потому что в Европе и в Америке есть определенное недоверие к русской компании, которая занимается кибербезопасностью. Но у нас есть «старший брат» — компания «Лаборатория Касперского», которая за долгие годы своего существования создала крутой имидж русским ИТ-технологиям по всему миру, поэтому нам немного проще.

— Он разный. Особенно он отличается в Японии, Германии — это первые страны, которые всегда хотят предостеречься, поэтому покупают защиту не когда «уже все произошло», как это часто бывает в России. Это были первые страны, которые начали покупать backup-системы у того же Acronis и других российских производителей. Для таких стран, которые немного опережают Россию в плане менеджмента информационной безопасности, актуальным будет комплаенс. Приведу пример. Вы — фармпроизводитель, значит, определенные таблетки не должны продаваться в Интернете. Если они продаются, вас оштрафуют, поэтому к нам приходят их менеджеры и говорят: «Не могли бы вы сделать круглосуточный мониторинг и очистку нашей продукции по определенным категориям?». Вот это самый лучший клиент, потому что он знает, если он не будет этого делать, его оштрафуют. В России таких очень не хватает.

Почему рынок страхования киберрисков в России очень неразвит, хотя в Америке это двигатель номер 1 рынка страхования? Он опережает все остальные типы страхования, потому что, если что-то происходит, пожалуйста, заплати несколько процентов от оборота компании. Поэтому компания, которой нужен комплаенс — это идеальный заказчик, это касается и банковской безопасности, и темы защиты с помощью знаний из Threat Intelligence. В России, кстати, кроме Сбербанка, никто этой темой серьезно не занимается.

К сожалению, в России в сфере информационной безопасности наблюдается некоторая гомеопатия – некоторые компании, которых не атакуют, даже не знают о своих настоящих рисках, покупают определенные технологии защиты и думают, что теперь они в безопасности. Обычно эту тему двигает внутри компании ИТ-директор либо директор по безопасности. Когда происходит инцидент, от которого вроде куплена защита, происходит очень интересный психологический внутренний конфликт. Человеку, приходится проводить расследование против технологии, которую он сам же купил, – конечно, это конфликт интересов. Подобные расследования обычно заказывает служба внутреннего аудита и контроля либо собственник бизнеса — они хотят понять, что произошло и кто виноват? У нас были случаи в практике, когда в инциденты был замешан сотрудник, ответственный за безопасность.

Заказчиками наших услуг в России исторически были управляющие директора, владельцы бизнеса и директора по безопасности. Теперь, когда у нас появились технологии, к нам стали обращаться ИТ-директора. В последнее время приходится много общаться с директорами по маркетингу, у нас появились сервисы, позволяющие заработать телекомам, банкам на наших услугах. С этими людьми проще работать, потому что они за позитив. Когда речь идет о деньгах, когда двум компаниям можно заработать, все очень просто, очень быстро — и это очень классно.

— Я часто слышу, что Group-IB занимается страшилками. У нас нет страшилок, у нас есть факты проведенных расследований по инцидентам. Какова вероятность в пятницу в баре отравиться алкоголем? Больше взрослых людей умирает от отравления алкоголем, чем от рака или сердечно-сосудистых заболеваний. Это не страшилки, это статистика.

— Разные технологии. Все что связано с комплаенсом — это Запад. Российские запросы больше связаны с технологиями проактивной защиты, зачастую уже после случившегося инцидента.

— Я периодически вызываю раздражение вендоров, высказывая мысль, что в ИБ очень много статистической лженауки. Если инцидент уже произошел, вероятность, что он повторится, будет очень не высока. Я читал работы Даниела Канемана, лауреата Нобелевской премии по экономике. На самом деле он — психолог, изучает, как наш мозг не умеет оценивать риски и неправильно принимает решения. То, что в ИБ очень важно, мы не очень понимаем.

Пример: люди боятся летать, потому что СМИ чаще рассказывают про авиакатастрофы, а не про автокатастрофы, хотя вероятность погибнуть в такси в 150 раз выше, чем во время полета, а вероятность умереть в самолете вообще крайне мала. При этом мы больше боимся летать, чем ездить на машине. Это очень забавно. Мы очень боимся террористов, хотя есть куча факторов, которые с гораздо большей вероятностью могут привести человека, проживающего в Москве, к смерти. Нас это не беспокоит, потому что мы не получаем информацию об этом.

Теория Канемана говорит о том, что мы не знаем, как работает наша интуиция. Например, там, где работает теория вероятности, интуиция не работает. В казино нельзя полагаться на интуицию, нужно уметь считать. Классический пример, человек приходит в казино и хочет сыграть в рулетку, ему говорят, что до этого 20 раз подряд выпадало красное, – это, кстати, реальный случай. На что вы бы поставили в следующий раз?

— Почему?

— По теории вероятности нет разницы: Каждый раз 50 на 50. Я сейчас кину монету, она упадет решкой, в следующий раз, когда я подкину монету, результат не зависит от того, что выпало до этого.

— Есть две крайности безопасности. Нас 20 лет никто не атаковал, у нас не было инцидентов… Что это значит? Только то, что этого не было 20 лет. Вероятность инцидента сегодня никак не зависит от того, что было вчера.

Другая крайность — произошел инцидент. После этого начинает работать психология: если он произошел, значит, у нас есть серьезная проблема, значит, ее срочно нужно устранить. В этот момент все забывают о вероятности других инцидентов.

Вообще, это очень забавная история, но она как забавная, так и трагическая. В силу специфики своей работы мы часто приходим в достаточно защищенные компании, серьезно занимающиеся ИБ, и понимаем, что они неправильно оценивают свои риски. Их карта угроз построена неверно, это не наш бизнес, но для интеграторов, у кого в портфеле есть такая услуга, я считаю, это серьезное преимущество, если вы строите карту угроз для своего клиента вокруг правильных данных.

— Мы уже работаем со всеми правоохранительными органами. У нас есть очень простое правило. Мы делаем 3 вещи для любой правоохранительной системы: исследования, экспертиза и предоставление аналитики. Больше с нами ничего сделать нельзя, потому что любое давление, которое может оказываться, сразу же станет публично известно, сами правоохранительные органы не пойдут на это. Мы готовы провести исследование в случае инцидента, экспертизу в случае возбуждения уголовного дела, более глубокое исследование с уголовной ответственностью эксперта, оказать помощь следствию в построении причинно-следственной связи в расследовании, чтобы следователь мог увидеть достоверную картину произошедшего. Вот эти 3 вещи. Шпионаж, политика, против этого у нас выстроена фундаментальная стена, отделяющая нас от всего этого. Это единственный способ оставаться и работать на мировом рынке.

— Я считаю, что процессы, связанные с людьми, у нас построены лучше, чем во многих больших компаниях. Когда мы только начинали свою работу и были еще совсем маленькими, сейчас, к слову, у нас в штате около 200 человек, мы сформулировали один простой и понятный тезис. Мы решили, что если в ходе нашей работы, в ходе наших расследований мы что-то сделаем неправильно, либо информация, которую нам доверил клиент, уйдет куда-то наружу, в этот же момент можно расходиться и закрывать компанию. Поэтому с самого начала я и мои коллеги, отвечающие за внутреннюю безопасность, брали только лучшие «параноидальные» методики и совмещали это с современным HR-подходом. Наши сотрудники проходят полиграф, подразделение, отвечающее за безопасность, устраивает постоянные провокации, чем периодически раздражает весь наш коллектив.

— Изначально у нас было больше клиентов из больших международных компаний: в 2006–2007 годах 80% составляли международные компании, 20% это Россия, как не парадоксально. Для меня это было фантастическое время, когда я был совсем еще молодой, когда понимаешь, что твой заказчик, например, крупнейший производитель пасты в мире — это отличная мотивация, когда ты оказываешь услугу, которой довольны, которая нужна, и это получается хорошо — это очень прикольно. Сейчас ситуация выровнялась, и пропорция составляет 50 на 50.

— Фундаментальная особенность моего характера — я всегда недоволен, это и есть двигатель прогресса. Если посмотреть на наше развитие, можно заметить такой хронологический эффект: в 2010 году, когда еще никто не знал термина Threat Intelligence, мы уже начали делать сервис, мы открыли первый частный CERT в России и стали блокировать домены без суда и правоохранительных органов в 2011 году, 2 года назад мы написали письмо министру образования с просьбой заменить ОБЖ уроками компьютерной безопасности. В этом году Threat Intelligence появился в России, в прошлом году началась тема с ГосСОПКа, не так давно появился FinCERT и т.д. Мы видим, как появляются компании, которые пытаются повторить то, что уже есть у нас, но мои планы ушли уже далеко. В этом году мы запускаем три новых продукта, и опять все будут крутить пальцем у виска и говорить: «Это бред, кому это нужно?» Я постоянно недоволен. Потому что я хочу, чтобы эти продукты, которые мы еще не запустили, были уже сейчас.

— Скажем так, есть две позиции… Одна нравится лично мне как человеку, не как генеральному директору — это когда без всяких регуляторных требований инженерная мысль клиента либо понимание какое-то проблемы заставляет его что-то купить, и это очень правильный подход. С другой стороны, безопасностью намного раньше начинают заниматься там, где есть какие-то указания регуляторов. Не зря я говорил про комплаенс и западные компании, их обязали заниматься ИБ, они это выполняют. Раньше у меня была иллюзия, что людей можно научить информационной безопасности. Вообще нельзя, можно только повысить их грамотность. У меня есть друзья, не связанные с ИБ, я им постоянно рассказываю истории, как воруют деньги, на что не нужно отвечать в телефоне и т.д. Эти люди получают много информации о том, что не надо делать, но и их периодически ломают. Потом мне друг звонит и говорит: «Я помню, что ты мне что-то про это рассказывал, но я пропустил мимо ушей». В ИБ лучшее обучение — это когда человек встретился с тем, во что он не очень верил, лицом к лицу. Он это точно не забудет. Поэтому регуляторы, конечно, нужны. Из-за того что я сам не очень люблю регулятивные методы, мы в эту сторону долгое время даже не смотрели, но с прошлого года стали задумываться. Я понимаю, что совершенно не умею заниматься какой-то лоббисткой работой, поэтому сейчас мы ищем специалиста по GR.

— Тезис номер один: большинство злоумышленников хотят заработать денег. Поэтому когда говорят, что главный риск для компании — это потеря данных, это неправда, так как продать чьи-то данные для злоумышленника — это жутчайший геморрой.

Если мы говорим о серьезных организованных преступных группировках, которые совершают большинство преступлений, — это хищение денег, в первую очередь через телефон: кража через интернет-банкинг, с карточки через веб-инжект, можно использовать фейковые сообщения и т.д. Банки как мишень для атаки не теряют своей привлекательности. Это может быть хищение денег у физических лиц, у юридических лиц, взлом банкоматов…

Вторая вещь, связанная с монетизацией, — это блэкмейлинг, в первую очередь использование вирусов-шифровальщиков. Такой вирус попадает на рабочую станцию либо шифрует данные, либо блокирует доступ, а дальше вымогатели требуют выкуп. Раньше использовали блокировщиков Windows, теперь используют шифровальщиков, потому что разблокировать компьютер в разы проще, чем расшифровать файлы. Именно поэтому ФБР разместило на своем сайте информацию о том, что, если вам нужны ваши данные срочно, придется заплатить злоумышленникам. Но тут есть простой совет — делайте backup.

Важно понимать, что технологии, которые создают злоумышленники для хищения денег, — это технологии двойного назначения. Если в корпоративную сеть компании попал исполняемый файл, он может быть использован для кражи денежных средств, а может и для шпионажа.

Я часто слышу вопрос: «Почему вы так часто рассказываете о банковских троянах?». Да потому что именно эта технология доставки вредоноса и его работы будет использоваться для всех остальных атак: для кражи интеллектуальной собственности, корпоративных секретов, баз данных и т.д. Именно поэтому, наблюдая за тем, что происходит в банкинге, можно спрогнозировать, что будет происходить в других отраслях через некоторое время. Если посмотреть данные Wikileaks, о том, как американцы занимаются шпионажем, они используют много вредоносного кода, изначально написанного для хищения денежных средств. Обычные хакеры, которые хотят просто заработать деньги, постоянно ищут для этого новые пути, а люди, которые могут нанести потенциально намного больший урон целым государствам, пользуются потом их наработками, в том числе и для решения политических задач. Это как в бизнесе: всегда любой бизнес быстрее, чем государство. Компьютерная преступность в плане своей экономики — это такой же бизнес, правда, он попадает под уголовный кодекс. Поэтому в тезис о том, что государство может разработать сильное вредоносное программное обеспечение самостоятельно, я не верю, там нет такой дикой конкуренции, как в хакерской среде. Нет драйвера, поэтому намного логичней использовать лучшие наработки киберпреступников.

Компьютерную преступность можно представить как пирамиду. На самом верху мало преступных групп, но у них очень большой охват, по мере того, как мы будем спускаться к основанию, количество групп будет нарастать, но сложность атак снижаться. Основание пирамиды — это СМС-разводы: «Мама, я попал в беду…». Эти люди вообще не являются компьютерными специалистами, многие из них сидят в тюрьмах. Средний уровень — это все, что связано с некими очень простыми атаками на бренд, например, DDoS, но это не очень большой рынок в хакерском мире, потому что, если у человека есть бот-сеть, ему проще воровать деньги, нежели проводить DDoS-атаку.

Сейчас большую популярность набирают спам-партнерки. Поясню, что это такое. Это сервисы генерации большого количества сайтов с продажей чего-либо от лица известных брендов. Это может быть чистое мошенничество, когда вы делаете заказ в Интернете, но не получаете товара, или продажа контрафактной продукции. Поддельные сайты по продаже страховок, гостиниц, авиабилетов. Часто в аэропорту можно видеть плачущих людей, которые купили билеты на несуществующие рейсы и даже могли на них зарегистрироваться. Сейчас это очень популярно, поэтому у нас есть направление по защите бренда. Один из последних кейсов — мошенники продавали фермерам поддельные удобрения от имени крупных российских холдингов.

Многим кажется, что киберпреступники тупые, это не так — они очень умные, а некоторые — умнейшие люди. Например, когда готовятся фишинговые письма, изучается движение человеческого глаза, специально подбирается цвет и содержание. Вы не задумывались, почему фишинговые письма для мужчин и для женщин составлены по-разному? Это чистая психология. У женщин лучше развито любопытство, поэтому им приходят письма «Вам не доставлена фотография», мужчинам — «Вы можете увеличить размер своего почтового ящика либо добавьте 20 Гб своему google drive» — какая-то практическая вещь. В сфере ИБ очень много таких интересных нюансов. В одном я уверен точно — нельзя заниматься информационной безопасностью, думая, что противник — дурак.