"Компьютерные преступления можно и нужно расследовать" (интервью с И. Сачковым, генеральным директором компании Group-IB) (А. Минайчев, "Риск-менеджмент", N 9-10, сентябрь-октябрь 2008 г.)

"Компьютерные преступления можно и нужно расследовать"
(интервью с И. Сачковым, генеральным директором компании Group-IB)

Интенсивному развитию информационных технологий неизбежно сопутствует рост числа киберпреступлений. О специфике мошенничества в информационных системах нам рассказал генеральный директор компании Group-IB Илья Сачков.

- Как давно существует российский рынок компаний, специализирующихся на противодействии мошенничеству в информационных системах? И каково соотношение в данном сегменте IT западных наработок и уникального отечественного опыта?

- К сожалению, нельзя сказать, что рынок компаний, занимающихся в России противодействием мошенничеству и расследованием IT-инцидентов, уже сформирован. Сегодня усилия его участников в основном направлены на продажу соответствующих решений - на интеграцию. Это выгодно, поскольку приносит прибыль. Но количество мошенничеств растет с каждым днем. Получается, что данный рынок не выполняет своей основной функции. В 2003 году, когда наша компания только начинала расследовать IT-инциденты, в России этого не делал никто. Тогда как на Западе - в США, Великобритании - уже существовал целый ряд компаний, специализирующихся на расследовании IT-преступлений. Борьба с кибертерроризмом требует перестройки российского менталитета: многие даже не подозревают, что компьютерные преступления можно и нужно расследовать. Кроме того, отрасли не хватает хороших специалистов - не просто людей, которые знакомы со стандартами информационной безопасности или обладают сертификатом CISA, и на этом основании считают, что могут расследовать IT-мошенничества или проводить компьютерную экспертизу. Такая работа требует огромной ответственности и колоссальных знаний. Что же касается методик, то, конечно, 80% из них пришли к нам с Запада. Российские, мягко говоря, не соответствуют реалиям современной IT-инфраструктуры. Например, в одном издании по компьютерной криминалистике, которое продается во всех крупных книжных магазинах, содержится следующая рекомендация: "Чтобы узнать системное время, посмотрите в правый нижний угол экрана". И это не шутка. С западными методиками тоже не все так просто. Их нужно адаптировать под российские условия ведения бизнеса. Во многих случаях проще самим что-то разработать.

- Чем вызвана активизация интереса крупных консалтинговых холдингов к сотрудничеству с компаниями, работающими в сфере IT-безопасности? Недостаточностью их собственных профессиональных ресурсов? Или подобное разграничение сфер деятельности наиболее функционально само по себе с точки зрения предотвращения и расследования IT-инцидентов?

- Из-за острой нехватки специалистов и специфичности этого направления крупные консалтинговые компании предпочитают привлекать в качестве подрядчика для расследования инцидента или же для своих текущих нужд отечественные компании. Это проще и дешевле, чем содержать сотрудников в штате или обращаться к иностранцам. Ведь в подобных ситуациях рекомендуется прибегать к помощи независимых экспертов, а не собственной службы безопасности, которая может оказаться некомпетентной или замешанной в мошенничестве. А услуги специалиста по компьютерной экспертизе, к примеру, из Англии, стоят около 1500-2000 фунтов стерлингов в день, и это без учета оплаты гостиницы и питания. Кроме того, приезд западного гуру не гарантирует успеха.

- Какие шаги предпринимаются в данный момент для оптимизации законодательного регулирования информационной безопасности в России и можно ли вообще надеяться на существенное улучшение правового поля, непосредственно связанного с вашей деятельностью?

- Наше законодательство - это тема, которая меня, мягко говоря, расстраивает. В Уголовном кодексе есть три соответствующие статьи*(1), однако судя по беспределу, царящему в области IT, реально они не работают. Например, я могу с помощью любого поискового сервера за 20 с найти человека, который взломает e-mail или продаст мне номер кредитки, которого вполне достаточно для проведения оплаты через интернет.

Судьи не разбираются в сути рассматриваемых дел, юристов, специализирующихся в области "cyber-crimes", крайне мало, отделы МВД по компьютерным преступлениям испытывают нехватку кадров и финансирования. Возьмем, к примеру, Федеральный закон "О персональных данных"*(2). Это очень важный и нужный документ, призванный защищать интересы граждан в области обработки их персональных данных государственными органами. Подобные законы уже давно функционируют на Западе. А что получилось у нас? Закон разрабатывался Россвязьохранкультурой и Федеральной службой по техническому и экспортному контролю. К работе над текстом закона не был привлечен ни один из авторитетных специалистов по IT-безопасности. Закон и его требования получились устаревшими, сложными и совершенно оторванными от действительности. Многие положения закона просто каламбурны. Допустим, такое: "организация, которая обрабатывает персональные данные (а это, например, все фирмы, которые сдают сведения о своих работниках в Пенсионный фонд), должна иметь сертифицированные средства защиты информации". А чтобы иметь возможность работать с такими средствами, необходимо получить лицензию ФСБ.

Не думаю, что в ближайшее время что-нибудь изменится. Компаниям необходимо объединяться и самостоятельно разрабатывать отраслевые стандарты информационной безопасности, как это делает ЦБ РФ. Мы давно агитируем специалистов по информационной безопасности принять участие в разработке единого стандарта по реагированию на IT-инциденты, созданием которого мы сейчас занимаемся.

- На многих интернет-форумах активно обсуждаются так называемые "скимеры" - устройства, интегрируемые мошенниками в банкоматы с целью получения PIN-кодов банковских карт. Приходилось ли вам сталкиваться с данной проблемой? Что в связи с этим предпринимают сами банки?

- На сегодняшний день это все же не основной способ кражи денег с карточных счетов. Чтобы иметь возможность списать деньги с вашего счета, мне необходимо знать: номер карты, ССV-код, имя/фамилию владельца и дату окончания действия карты. Вся эта информация отражена на карте. Имея эти данные, я смогу перевести деньги куда угодно или сделать покупку в любом интернет-магазине. Это действительно очень просто, хотя обеспечить конфиденциальность операций сложнее. Для транзакций через интернет ПИН-код не нужен. Поэтому будьте внимательны, когда отдаете карту в чужие руки - в кафе, магазине. В банках я неоднократно замечал, как карту выдавали без конверта - в такой ситуации служащий банка теоретически мог скопировать необходимую информацию, а затем воспользоваться ею. Сегодня в России наиболее эффективный способ получения данных о картах - это "фишинг" - создание поддельных сайтов банка. Суть способа заключается в следующем: клиенту якобы от банка приходит письмо с просьбой пройти авторизацию на сайте, который в точности копирует корпоративный стиль настоящего сайта банка. Доверчивый клиент без раздумий вводит всю необходимую мошенникам информацию. Но банки и производители банкоматов предпринимают активные контрмеры: проводят обучение клиентов, ставят дополнительные камеры на банкоматы. Компания VISA, например, также требует ежедневный физический контроль банкомата.

- Какое-то время назад распространилась практика привлечения в сферу IT-безопасности специалистов, ранее работавших по ту сторону фронта, - пресловутых хакеров, разработчиков вирусных программ. Оправдала ли себя подобная стратегия?

- Да. В нашей компании такие люди тоже работают. Это очень сложная тема для разговора. Но я постараюсь объяснить нашу позицию. Во-первых, прошли времена, когда "хакингом" занимались из интереса, любопытства. Сейчас это бизнес. Во-вторых, зачастую хакер - это по-настоящему талантливый, свободолюбивый, образованный, молодой (бывает, что в душе) человек. А теперь посмотрим на нашу действительность. Сидеть в душном офисе, тратить время на проезд, пробки, суету, одеваться согласно дресс-коду, соблюдать корпоративные стандарты - все это ждет его в 90% российских компаний, занимающихся IT-безопасностью. А если это маленький город, то и такой работы может не быть. Нередко именно поэтому эти талантливые люди встают на путь нарушения закона.

- Насколько остро, на ваш взгляд, сегодня стоит проблема инсайдерства и соответствующей защиты от внутрикорпоративного мошенничества?

- Во многом проблема инсайдерства преувеличена поставщиками средств обеспечения информационной безопасности. Большинство IT-инцидентов происходят из-за случайности или недостатка внутрикорпоративного обучения. Настоящий коммерческий и промышленный шпионаж - довольно редкое явление в России. Такие факты имеют место в компаниях, которые действительно обладают ноу-хау или обширными базами клиентов или уникальных специалистов. Но в тех компаниях, где есть такие базы данных (сотовые операторы, банки), об этой проблеме знают. И насколько я вижу, ситуация постепенно улучшается. Но по сути это вопрос опять же государственного уровня. До тех пор, пока на улице или в интернете можно свободно купить конфиденциальную информацию, проблема инсайдерства в этой области актуальной быть не перестанет.

- Все большее число крупных отечественных компаний переходит на электронный документооборот. Не считаете ли вы, что с точки зрения информационной безопасности наш бизнес слишком торопится с этими инициативами?

- Все зависит от реализации системы документооборота. Если при ее интеграции среди приоритетов изначально нет безопасности, то проблемы возникнут очень быстро.

- Сегодня на российском рынке активно развиваются системы электронных платежей. Доводилось ли вам консультировать разработчиков непосредственно на этапе их продвижения и запуска?

- Да, мы проводили тесты на проникновение и осуществление мошенничества на этапе запуска подобной системы. Можно сказать, что на данный момент в России ситуация в целом стала нормальной, хотя еще год назад многие компании терпели убытки из-за того, что запускали в эксплуатацию системы с "дырявыми движками".

- Насколько проблематично взаимодействие компаний вашего сектора с государственными органами, занимающимися информационной безопасностью? Какие пути оптимизации работы госструктур вам представляются? И существует ли сегодня необходимость кардинальных реформ в данном направлении?

- Мы стараемся тесно взаимодействовать с отделами "К" МВД России. Я считаю, что там работают профессионалы своего дела. Но, к сожалению, как я уже говорил, существуют две проблемы: нехватка кадров и недостаток финансирования. Думаю, государству следует обратить на это внимание, ведь мы уже сегодня живем в новой эпохе информационных технологий, и закон и порядок должны быть и в виртуальном мире, без которого наша жизнь уже немыслима. Взаимодействовать с МВД сложно всем, так как этот процесс не урегулирован законодательно. Простому человеку, чтобы подать заявление о компьютерном преступлении, нужно сделать поистине невозможное. Так, нам специально пришлось создавать раздел на сайте, в котором доступны образцы заявлений о компьютерных преступлениях и описан порядок обращения в органы внутренних дел. Коммерческим организациям также неясно, куда обращаться, отделы "К" завалены работой. Да и многие пострадавшие просто их боятся в связи с тем, что у них самих нередко установлено нелицензионное программное обеспечение. В международной практике эффективным дополнением к государственным структурам являются CERT (Computer Emergency Response Team) и CSIRT (Computer Security Incident Response Team) - команды по реагированию на инциденты в области информационной безопасности. CERT занимаются сбором и анализом информации по фактам компьютерных инцидентов, то есть попыток или фактов нарушения законодательства страны или принятых международных нормативно-правовых актов при обработке информации в открытых телекоммуникационных сетях. Они не расследуют IT-инциденты, не имеют полномочий закрывать интернет-ресурсы или заниматься оперативно-розыскной деятельностью. Однако они способны координировать действия и обмениваться информацией на основе общего внутреннего стандарта по реагированию на инциденты. На данный момент в мире существует 195 подобных команд. В России - только одна. И, насколько мне известно, ее присутствие пока носит сугубо номинальный характер. Чтобы стать CERT, необходимо найти двух рекомендателей и пройти процедуру аттестации. Когда мы искали две команды, которые смогут рекомендовать нашу компанию, мы обратились в Ru-CERT, но, к сожалению, не получили ответа. Но осенью мы все же планируем пройти аттестацию.

Свои CERT есть у IBM, CISCO и ряда других компаний. Создание таких команд существенно упрощает обмен информацией и уменьшает время реагирования на инцидент. И главное, эта деятельность не является коммерческой - бесплатно обратиться в CERT может каждый.

Беседовал А. Минайчев

"Риск-менеджмент", N 9-10, сентябрь-октябрь 2008 г.

-------------------------------------------------------------------------

*(1) Статьи 272, 273, 274 УК РФ. - Прим. ред.

*(2) Федеральный закон от 27.07.2006 N 152-ФЗ. - Прим. ред.