Обновление: 29.09.2021
Основатель и гендиректор GroupIB Илья Сачков был арестован 28 сентября по подозрению в госизмене. В самой компании прошли обыски. Основатель Group IB отрицает все обвинения. В ноябре 2018 года на Inc. Russia вышло большое интервью с ним. На фоне произошедших событий мы публикуем этот материал повторно.
В высокотехнологичный бизнес основателя Group-IB Илью Сачкова толкнуло желание бороться с несправедливостью: «Я придерживаюсь очень простой философии: делать все возможное, чтобы у людей было меньше неприятностей из-за киберпреступников». За 15 лет Group-IB из маленького детективного агентства выросла в технологическую компанию, проведено более 1 тыс. расследований. Компания заявляет, что 80% резонансных высокотехнологичных преступлений раскрывают при ее участии. Основной доход приносят продукты, позволяющие выявить и предотвратить угрозу еще до того, как преступники успеют нанести бизнесу вред. Group-IB растет в 1,5 раза в год, работает в 60 государствах (половину оборота бизнеса обеспечивают зарубежные представительства), а основатель компании помогает российским властям совершенствовать законодательство в области информационной безопасности и мечтает о децентрализованной корпорации, бизнес которой не зависел бы ни от одного государства в мире. В интервью Inc. Сачков рассказал, почему антивирусы и двухфакторная аутентификация больше не помогут предпринимателям снизить риск кибератаки, почему не всех российских чиновников радует успех отечественной компании за рубежом и как изменился бизнес на информационной безопасности в мире.
— Вы говорили, что бизнес в любой отрасли нужно защищать от киберпреступников. В теории это понятно, но на практике сам бизнес не всегда это осознает. Какие услуги в сфере кибербезопасности сейчас пользуются спросом у малого и среднего бизнеса?
— Если честно, малый и средний бизнес в России по-прежнему о киберугрозах думает в последнюю очередь и к информационной безопасности чаще всего приходит через боль — когда происходит что-то плохое. Исключение составляет бизнес, связанный с интернетом, например, e-commerce. Офлайновый SMB, как правило, не уделяет своей защите достаточно внимания. Но прилететь может ко всем.
Объяснять малому и среднему бизнесу, что ему нужна кибербезопасность… Мы, конечно стараемся рассказывать о компьютерной преступности, но это бесполезно. Это часть нашего национального менталитета: мы и в больницы ходим только тогда, когда начинает происходить что-то плохое. Наша идея в том, чтобы делать такие сервисы, которые малый и средний бизнес получает прозрачно, в пакете других услуг. К примеру, одно из самых популярных преступлений — это хищение денег в интернет-банкинге, что как раз является риском для каждой компании, потому что у всех юрлиц и ИП есть интернет-банкинг. Мы делаем технологию, которая позволяет понимать, нет ли на компьютере троянов. При этом платит банк, а не юрлицо. И когда вы заходите на сайты многих банков через браузер — «прозрачно», невидимо запускается наша технология. Вы ее не видите, не платите за нее, но вы проверяетесь. Если у вас на компьютере что-то плохое — вам не дадут сделать опасную операцию. Будущее за этим.
— Вы говорили, что забота об информационной безопасности для бизнеса может быть бесплатной. Давайте составим краткую инструкцию: как обезопасить себя маленькой компании, не сливая весь бюджет? Что нужно сделать, чтобы чувствовать себя более или менее комфортно?
— Достаточно несложно защитить свой интернет-банкинг, сделать так, чтобы вирус-шифровальщик не попал в сеть компании или чтобы сотрудник не подцепил фиш (не зашел на фишинговый сайт — Inc.). Первое и самое очевидное: использовать лицензионное ПО, чтобы вовремя проходили обновления и закрывались уязвимые места в системе безопасности, которыми потенциально может кто-то захотеть воспользоваться. Второе: надо знать врага в лицо. Для этих целей компании нужно внимательно изучить, что с ней может сегодня произойти, какие угрозы для нее актуальны. Эти знания доступны в интернете — их много и на русском, и на английском. Начать нужно с них. Третье: неплохо было бы обучить персонал хотя бы элементарным правилам цифровой гигиены. Надо понимать, что какие бы ни были технологии — даже если компания может потратить деньги — все становится бессмысленно, если сотрудники открывают подозрительные файлы и кликают на фишинговые ссылки, админ не обновляет прошивку роутера, и у всех везде одинаковые пароли.
— С чего начать? Посоветуйте что-то базовое и фундаментальное, что способен понять предприниматель без технического образования.
— Читать Dark Reading например. Есть куча Ted’ов на тему кибербеза. Это для тех, у кого сжатые сроки на изучение. Есть книжки об основах информационной безопасности, но они достаточно скучные. Я бы начал с подписки на RSS-фиды о компьютерной преступности: Business Insider, на BBC хорошие обзоры выходят. Можно почитать Security Affairs или блог Брайана Крэбса. В России — securitylab.ru, am.ru. Все это нужно хотя бы периодически читать.
— Можете привести цифру, наглядно демонстрирующую, что вероятность киберпреступления действительно высока?
— Есть интересная статистика, показывающая ваши шансы быть жертвой преступления в оффлайне и онлайне. За полторы минуты в Европе проходит одно ограбление (это данные Европола) и приблизительно 2 920 тыс. утечек, вследствие которых данные были украдены или потеряны (Breach Level Index). В деньгах: $117 млн было украдено в России за вторую половину 2016 года и первую половину 2017 года (по данным компании, год назад киберпреступники в среднем похищали 6,8 млн рублей в день, — Inc.). Это только то, что мы видели как частная компания. При этом, речь идет о хищении денег в системах интернет-банкинга и результаты «деятельности» Android-троянов. Сюда не входят кардинг, целевые атаки на банки и тому подобные вещи.
— А какова доля компаний, которые когда-либо сталкивались с киберпреступлениями?
— По закону, если компания сталкивается с любым видом преступления, она должна сообщить об этом в полицию. Но в России из-за менталитета и исторически сложившегося отношения к полиции, естественно, никто об этом не заявляет. Поэтому полицейская статистика не отражает реальной картины дел (например, Генпрокуратура подсчитала, что в 2016 году в России было совершено 66 тыс. преступлений с использованием ИТ, с 2013 года эта цифра выросла в 6 раз, — Inc.).
Бизнес Group-IB: от расследований к продуктам
Илья Сачков основал Group-IB в 2003 году студентом Бауманки. До 2010-х годов бизнес компании был сервисным: расследования, криминалистика и Incident Response (быстрый сбор данных в ответ на сообщение о преступлении). В 2010-2011 годах компания начала создавать продукты, автоматически защищающие клиентов от киберпреступников до нанесения ущерба, —например систему киберразведки Threat Intelligence (выявляет угрозы и утечки до нанесения вреда), систему раннего предупреждения киберугроз TDS (предотвращает проникновения, утечки, целевые атаки и промышленный шпионаж), Secure Bank и Secure Portal (защита клиентов банков и пользователей порталов от мошенничества), продукты для защиты интеллектуальной собственности.
Сейчас доля продуктов в общей выручке компании — 60%, остальные 40% приносят сервисы (причем расследования приносят всего 7% от сервисной выручки). Сачков прогнозирует, что к 2021 году доля сервисов в общей выручке Group-IB станет меньше 10%, хотя компания продолжит развивать их и рассчитывает на рост дохода в этом сегменте. По словам Сачкова, рост выручки компании за прошедший финансовый год составил 62% (абсолютные цифры он не раскрывает, — Inc.).
— Антивирус ставить обязательно? Есть разница между платными и бесплатными вариантами?
— Антивирус можно ставить бесплатный. Сейчас есть, например, Windows Defender от Microsoft, который встроен в операционную систему, есть бесплатные версии Avast. Этого более чем достаточно. Антивирус нужен, но от любой нормальной атаки он, естественно, не защитит. Он защищает от того, что уже известно. Если мы считаем, что преступники тупые, то, конечно, можно надеяться на антивирус. Киберпреступность это тоже понимает, она инвестирует немалые деньги в свой «бизнес», разработка любого нового типа вредоносной программы — это небольшой IT-стартап. Если злоумышленники делают так, что их сразу обнаруживают антивирусы, они полностью продалбливают свои деньги. И они не дураки — их вредоносный код работает так, чтобы на конечном компьютере антивирус его не находил.
Именно поэтому сегодня изменилась сама парадигма защиты: сейчас главная идея — не допустить преступления вообще. Эта логика заложена в основу философии раннего предупреждения кибертак, на чем специализируемся мы и еще несколько крупных компаний США, Израиля. Наши системы «запоминают» инфраструктуру злоумышленника, используемую им в каком-либо инциденте, и автоматически начинают за ней следить, фиксируя все изменения. Как только он начнет готовить следующую атаку, любое его действие попадет к нам на мониторы и мы помешаем ему осуществить задуманное.
— А как пользователю, компании понять, хорошо ли защищен банк и стоит ли иметь с ним дело?
— Пользователю, в свою очередь, неплохо бы спрашивать банк: а какие средства защиты используете для моей безопасности? Если банк говорит, вот мы вам даем USB-токен, то это плохой банк. Особенно если это единственное предлагаемое средство защиты. Токен и sms, двухфакторная аутентификация, не спасают от вредоносного кода. Представьте, что вирус находится у вас на телефоне. SMS будет перехвачена, и вы не узнаете о том, куда ушла транзакция с вашего счета. И для банка, и для вас гораздо безопаснее сделать так, чтобы сам банк понимал, что вы заражены, и не разрешал бы злоумышленнику, который выдает себя за вас, провести транзакцию.
— Расследования киберпреступлений подразумевают активное взаимодействие с государством. Но заказчиком ваших расследований по-прежнему выступает только бизнес, так?
— Мы взаимодействуем не с государством, а с правоохранительными органами той страны, где происходит инцидент. Когда компанию взламывают, она обращается к нам, то есть заказчик этой истории — бизнес. Но после того как проведена аналитическая и криминалистическая работа, нужно обратиться в правоохранительные органы, чтобы подготовиться к возбуждению уголовного дела.
— А каков объем киберпреступлений?
— Одна из наших систем мониторинга занимается отслеживанием действий вредоносного кода в режиме реального времени. Мы наблюдаем за всем интернетом, сенсоры стоят в разных точках анализа трафика, мы видим, когда вирус передает что-то своему владельцу, и можем это детектировать. Вот смотрите (показывает интерфейс одной из систем компании — Inc.). Вот статистика: более 4 млн успешных заражений вредоносным кодом, которые привели к хищению данных на территории России за 2 дня, — это не так много. Бывает и хуже.
Полиция берется в основном за крупные преступления, потому что там мало кадров, которые занимаются расследованиями. Почему вообще существуют частные компании, которые занимаются криминалистикой? Потому что в момент совершения инцидента вам нужна моментальная скорость сбора данных и координация действий. Если вам поломали сайт — вам нужен кто-то, кто подключится в момент звонка, юридически верно соберет логи (чтобы их можно было использовать для ведения уголовного дела), восстановит вам доступ. Ни одно государство мира сейчас этого не может, и поэтому существуют частные компании, которые делают на этом бизнес.
Лучшие расследования Group-IB по версии Ильи Сачкова
В 2010 году группировка братьев Дмитрия и Евгения Попелышей сняла 13 млн рублей со счетов более 170 клиентов банков из 46 регионов страны. Преступники получили условные сроки. Наказание не остановило их — позже они похитили более 11 млн рублей с 7 млн счетов. В мае 2015 года в ходе совместной спецоперации МВД и ФСБ в Петербурге Попелышей снова задержали (сотрудники Group-IB присутствовали при обыске в качестве экспертов). А в июне 2018 года хакеров приговорили к 8 годам лишения свободы (их подельники получили от 4 до 6 лет).
Название этой группировки стало известно в 2015 году: за 1 год она установила троян почти на 1 млн смартфонов на Android, чтобы списывать деньги с банковских счетов пользователей. К ноябрю 2016 года правоохранительные органы при участии Group-IB смогли установить 20 членов группы, в 6 регионах России были задержаны 16 преступников.
В 2015 и 2016 годах хакеры атаковали международный сервис онлайн-знакомств AnastasiaDate и спровоцировали многочасовые перебои в работе, требуя деньги за устранение неполадок. Эксперты Group-IB установили личности злоумышленников — ими оказались граждане Украины, которые вымогали деньги у нескольких международных интернет-компаний. В начале 2018 года суд приговорил преступников к условным срокам.
— За время работы на рынке у вас увеличился аппаратный вес в том плане, что ваши обращения в полицию сейчас рассматриваются быстрее, чем раньше?
— Нет, они для всех рассматриваются одинаково. Но увеличился наш вес в голове у следователя, который понимает, что если аналитика составлена Group-IB, то растет вероятность завершить уголовное дело обвинительным приговором, а не закрыть его из-за того, что он просто не сможет кого-то найти. Мы гарантируем, что все доказательства будут собраны в полном объеме.
— А российская полиция может неформально направить к вам клиента?
— Лид от полиции, который попадает в Group-IB, — это что-то нереальное. В целом, у любых правоохранительных органов — а особенно российских — ревностное отношение к качественной экспертизе. Иногда расследования, которые силовики ведут по 2-3 года, мы могли бы провести — именно технически и аналитически — в течение нескольких дней. Очевидно, что назрела острая потребность наладить взаимодействие между правоохранительными органами и компаниями, занимающимися защитой от киберугроз. Пока у нас отношения с органами не такие классные, как многие думают, но мы работаем над этим.
Кто-то из правоохранительных органов может попросить неофициально передавать информацию об инцидентах — мы жестко пресекаем это. Кто-то может попросить сделать работы без договора. Пытаются установить неформальные отношения с сотрудниками. Наезжают на нас за публикацию наших исследований и отчетов. Это правоохранительные органы РФ, а не только полиция, — туда попадают все. Кто знает, о ком я говорю, — передаю им привет.
Последняя возмутительная вещь, из-за которой я реально полдня был вне себя, — недавно на совещании в одном государственном ведомстве нам сказали, что русские компании не могут заниматься компьютерной криминалистикой за рубежом. Если в России есть понятие «завербованные агенты влияния», то этот человек точно подпадает под него. По всему миру летают криминалисты и занимаются исследованием атак, реагированием на инциденты, а русским нельзя? Формулировка была такая: «Потому что ЦРУ вас купит и вы в своем отчете напишете то, что нужно американцам».
— Это было предложение не работать за рубежом или претензия? Что вы ответили?
— Это было не предложение. Это произнесли за столом в присутствии представителей нескольких министерств. Я ничего не сказал, потому что не был на этом совещании (информацию мне передало доверенное лицо), но если бы я там был, сказал бы что-то нецензурное. (Сачков не согласился рассказать, о каких ведомствах идет речь, — Inc.)
— Вы говорили о низком уровне конкуренции в своем секторе на российском рынке. Как вы с этим живете?
— Нормально с этим живем. Благодаря этому мы делаем огромное количество RnD, которое позволяет создать крутые технологии на мировом рынке. За прошлый год финансово мы выросли в объемах на 62%, а международный рынок — на 50%. В ближайшее время мы должны получать 50% выручки не в России — к этой цифре мы близки. Россия для нас важна по двум причинам. Во-первых, потому что это наша родина. Во-вторых, это очень хорошая площадка для RnD: много талантливых людей, которые могут делать очень сложные исследования. И как бы Азия и Ближний Восток ни хвалились своими аналитиками, по-прежнему самые лучшие компьютерные аналитики — это русские. В топ-3 они входят вместе с американцами и англичанами.
— Помимо России, в каких странах вы уже работаете?
Наши решения продаются в 60 странах. Активно сейчас развиваются Азия и Ближний Восток — это два самых интересных и адекватных региона для нас. Хорошо идет Латинская Америка. Топ-рынки по интересу и адекватности — это Сингапур, Таиланд, Южная Корея. Безусловно, стабильно развивается Европа и США.
— Вы раньше говорили, что выручка от продаж в госсектор у вас равна нулю. Это уже не так?
— Скажем, она начала немного отличаться от нуля. Процент выручки от госвласти в России — это 0.0001%. С недавнего времени у нас появились разовые договоры на криминалистику с полицией и следственным комитетом. В основном, мы оказываем услуги на проведение криминалистических исследований. Это трудоемкая работа, которая раньше делалась за счет клиента. Теперь же за криминалистику может заплатить государство, а клиент может снять с себя финансовую нагрузку. И это большой плюс. Объясню почему.
Раньше вы, как клиент, которого взломали или данные которого зашифровали и вымогают за это деньги, попадали в очередь, чтобы ваш компьютер бесплатно исследовался государством. Очередь эта достигала трех лет. С весны этого года ситуация начала меняться. Государство начало выделять бюджеты на экспертизу в частных компаниях, что существенно ускоряет расследование и делает возможным задержание по «горячим следам». Проверить компьютер стоит от 50 тыс. рублей до 1 млн рублей. В зависимости от экспертизы.
— Где законодательство лучше всего защищает от киберпреступности?
— Лучше всего в Америке. Также классно в Нидерландах. Ключевой [фактор] — понимание государством, что если оно лучше защищает население и бизнес от компьютерных преступлений, то экономика страны развивается более динамично.
— Где вам проще работать — здесь или на Западе?
— Везде одинаково. После работы в России везде кажется одинаково просто. Я уже столько всего повидал, что могу сказать: в любой стране русский предприниматель точно сильнее, чем любой другой, не видавший того, что происходит здесь, — бюрократии, глупости, преступности, зависти.
— Неужели в Великобритании меньше бюрократии?
— Там все достаточно понятно — есть правила, которые известны. У нас правила есть не везде, а иногда, когда говорят, что правила есть, они оказываются совершенно другими.
— Вы говорили, что рынку информационной безопасности мешает политика, имея в виду, что из-за геополитических противоречий между странами вам бывает тяжело получать нужную информацию. Все правильно?
— Нет, здесь две разные вещи, и их важно не смешивать. Первая: политика мешает рынку информационной безопасности. Вторая: политика мешает государствам бороться с преступностью. Это как раз связано с методами обмена информацией правоохранительными органами. Сейчас страны друг с другом не кооперируются, если находятся в политическом конфликте, — соответственно, невозможно расследование преступлений, совершенных распределенными группами на территории этих государств, когда жертва в одном месте, а преступник в другом.
Про рынок информационной безопасности: есть примеры, когда она конкретно мешает. Например, компания Digital Security попала под санкции. А у Касперского, как вы знаете, в этом году вообще пропал американский рынок. Рынку это мешает — нам не сильно.
— Потому что вы не попадали под санкции?
— Потому что мы не попадем под санкции. Чтобы попасть под санкции, компании, которая занимается кибербезопасностью, например, нужно взять на работу бывшего хакера, не зная, что он бывший хакер. Нельзя брать на работу людей, которые в прошлом совершали противоправные действия. Никогда. Какие бы талантливые программисты или аналитики они ни были. Можно влететь под санкции или потерять доверие клиентов, и все. Основа бизнеса кибербезопасности — это доверие
— Вы проверяете сотрудников на полиграфе?
— Да, проверяют полиграф и психолог — при приеме на работу, ежегодно, и еще внезапно ежегодно. Это касается любого сотрудника.
— Какая ваша стратегическая цель?
— Построить компанию по кибербезопасности нового типа, которая не зависит ни от одного государства. Компанию, в офисах которой практически в каждой стране полностью дублируется вся инфраструктура, которая есть здесь, в России. Моя задача — сделать огромную структуру географически распределенных точек (в моей модели их должно быть не меньше 40), где полностью продублирована логика российского офиса Group-IB. Лаборатория компьютерной криминалистики, подразделение, которое занимается расследованиями, Security Operation центр, локальные ресерчеры, структуры мониторинга за преступниками. Так не делает никто. Для чего это нужно? Чтобы бороться с преступностью, — это моя основная мотивирующая цель.
— Чтобы не было этих трансграничных проблем, которые связаны с тем, что государства не выдают друг другу информацию?
— Кибербезопасность не может быть связана с политикой, поэтому мне нужна распределенная компания, офисы которой настолько не зависят друг от друга, что если мне завтра придет приказ закрыть офис, допустим, в России, то на моих клиентах ни в одной точке мира это не отразится. И так должно быть в любой стране.
— Это же практически бесконечный процесс. Вы связываете всю свою жизнь с этой компанией?
— Да, бесконечный. В моем таймлайне это до конца моей жизни. А потом дальше кто-то продолжит это дело.
Брал топ-менеджеров без тестовой работы, полагаясь на опыт, рекомендации и имидж
Ряд топов, которых мы нанимали в разные годы, не удовлетворяли ожиданиям. Есть большие компании, в которых топ-менеджеры привыкли, что все делают за них, а у нас каждому нужно много работать руками. Теперь перед тем как начать с нами сотрудничать, топы делают предварительную работу, показывая себя в деле по-настоящему. Мы можем оформить это как консалтинговый договор. Но до того как человек покажет себя в деле, я ничему не поверю.
Первое время не умел говорить «нет»
Клиенту, сотруднику, кому угодно. Умение говорить «нет» — важное качество для предпринимателя. Я его развил в себе не сразу. Хотелось быть добрым и всем помогать, но многие люди начинают узурпировать, вешаться на шею, и это заканчивается нехорошо.
Не делегировал задачи
Раньше я любил проверять вообще все — смотрел, что происходит в каждом проекте. Это возможно сделать, когда в компании 15 человек, но невозможно — когда 300. Можно просто разорваться. Сейчас у меня хорошая команда, но все-таки некоторые процессы я люблю контролировать до мелочей. Например, рассматриваю все наши интерфейсы до релиза, читаю тексты на нашем сайте и приглашения на конференцию. Иногда люблю залезть в CRM и прямо по сделке очень глубоко поговорить с сейлом. Сейчас я не считаю это ошибкой — это всех держит в тонусе.