Журнал "Information Security/ Информационная безопасность" #6, 2020

В главном мы определи- лись: мы хотели ловить пло- хих парней, которые зани- маются взломом. Для нас было очень важным наработать эту практику и клиентскую базу, и в итоге подход по принципу сарафанного радио сработал. На нас свалился большой вал запросов от пострадав- ших компаний, и мы резко начали расти, нанимать людей, наши знания стали приносить большую практи- ческую пользу. – Дмитрий, расскажите, пожалуйста, о вашем образовании и начале карьеры. – Я специалист по информа- ционной безопасности, у меня техническое образование. В 2003 году я учился в МГТУ им. Баумана, тогда же и позна- комился с Ильей (Илья Сачков, основатель и генеральный директор Group-IB. - Прим. ред.), идея создать компанию при- надлежала именно ему. – С чего начиналась ком- пания Group-IB? И на каком этапе развития она сейчас? – Все началось с идеи. Илья прочитал книгу о компьютерной криминалистике и расследова- ниях киберпреступлений, вдох- новленный этой книгой, начал искать единомышленников, которые могли бы разделить его интерес к созданию компа- нии. На тот момент подобная идея казалась невероятной, потому что в России не было абсолютно никакой частной практики по компьютерной кри- миналистике и уж тем более реагированию на инциденты. Но в главном мы определились: мы хотели ловить плохих парней, которые занимаются взломом. Эта определенность пришла уже в первый год обучения, и тогда же мы поняли, что учат нас, наверное, не совсем тому, что необходимо. Поэтому мы стали искать материалы, всту- пать в различные исследова- тельские сообщества, прохо- дить курсы, которые нам давали больше необходимой информа- ции на интересующую тему. Но, к сожалению, чуда не случи- лось, универсального источника знаний мы не нашли. Поэтому пришлось проходить весь путь с нуля, методом проб и ошибок. Повезло, что наша кафедра в МГТУ им. Баумана поддержала нас, дала нам помещение, где мы могли собираться и прово- дить первые эксперименты. Потому что все равно на первых этапах необходимо было раз- местить оборудование и пробо- вать что-то, исследовать, а не сидеть по домам. Кафедра нас поддержала, и в таком режиме мы работали несколько лет, совмещая обычную учебу и работу, которая давала практи- ческие знания. На тот момент наша иссле- довательская деятельность не приносила никакого дохода, хотя уже тогда мы знали, что хотим на ее основе создать компанию. Рынка компьютерной криминалистики и расследова- ний киберпреступлений тогда совсем не существовало. Соот- ветственно, и криминалисты были не нужны, а к студентам относились со скепсисом. Но для нас было очень важным наработать эту практику и кли- ентскую базу, и в итоге подход по принципу сарафанного радио сработал. Где-то в году 2008-м начались большие проблемы у россий- ского бизнеса, связанные с бан- ковскими троянами, когда у юрлиц начали воровать очень большие суммы. И мы оказа- лись единственной компанией с опытом проведения компью- терной криминалистики, с воз- можностями устранить пробле- му, с навыками поиска зло- умышленников, которые стоят за кражами. Вдруг на нас свалился боль- шой вал запросов от пострадав- ших компаний, и мы резко нача- ли расти, нанимать людей, наши знания стали приносить боль- шую практическую пользу. Тогда же мы стали активно работать с правоохранительными органа- ми: к ним обращались постра- давшие компании, а они шли к нам за экспертизой. Конечно, поначалу к нам относились с определенной долей недове- рия: приходят студенты и начи- нают что-то рассказывать опыт- ному оперативнику, это, понятно, вызывает скепсис у последнего. Приходилось и эти стереотипы ломать тоже. Но проблема с теми же банковскими троянами начала принимать колоссальный масштаб, и к нам стали обра- щаться сами банки. В работе с банками сложи- лась следующая схема сотруд- ничества: с одной стороны, есть специалисты, собирающие тех- нические доказательства, арте- факты, устанавливающие людей, которые стоят за пре- ступлением; с другой стороны, есть сотрудники банков, видя- щие цепочку с отмыванием денежных средств и самих пострадавших; а третья состав- ляющая – сотрудники право- охранительных органов, кото- рые принимают обращения со стороны пострадавших компа- ний и со стороны банков. И такая совместная работа в определенный момент стала приносить хорошие результаты. – Вы стояли у истоков развития рынка ИТ-кри- миналистики. А сейчас ситуация изменилась, учи- тывая повсеместное раз- витие цифровых техноло- гий, проблемы информа- ционной безопасности актуальны как никогда. Появилось множество компаний, которые пред- лагают решения по инфор- мационной безопасности. Наверное, у вас достаточ- но много конкурентов? – В России частной практики компьютерной криминалистики, естественно, не существовало, мы создали этот рынок в Рос- сии. Но при этом был и госу- дарственный орган, Экспертно- криминалистический центр МВД. Там работала небольшая группа сотрудников, которую было бы правильно назвать группой энтузиастов, учитывая те условия, в которых они тру- дились. Этот центр занимался обработкой запросов для пра- воохранительных органов. Инцидентов было очень много, с географией по всей России, была колоссальная очередь, специалистов в центре работа- ло мало, они были перегруже- 16 • В ФОКУСЕ Threat Intelligence выходит на новый уровень преддверии Нового года мы задали Дмитрию Волкову, техническому директору и сооснователю Group-IB, несколько вопросов о технических новинках Group-IB, об актуальных киберугрозах, хакерских группах, а также уровне информационной безопасности в России. В Дмитрий Волков, технический директор, руководитель департамента Threat Intelligence & Attribution, сооснователь Group-IB