Журнал "Information Security/ Информационная безопасность" #6, 2020

Частную практику рас- следования компьютерных преступлений в России соз- дали мы. Надеюсь, что скоро мы увидим на рынке информа- ционной безопасности гораздо большее число игроков, которые занимают- ся не просто реагированием на инциденты, а еще и рас- следованием. Существует негласное правило “не работать по ру” т.е. не атаковать Россию и страны СНГ, чтобы при- влекать меньше внимания. ны. Вот оттуда мы тоже черпали определенные знания. Но тем не менее частную практику расследования ком- пьютерных преступлений в Рос- сии создали мы. А конкуренты начали появляться приблизи- тельно в 2010–2011 гг. Они про- бовали оказывать услуги по криминалистике, однако сейчас у нас конкурентов как таковых нет, то есть вся практика сосре- доточена в руках Group-IB. Но можно сказать, что ситуация меняется, мы видим, что все больше людей начинает про- являть интерес к теме, и это здорово! Надеюсь, что скоро мы увидим на рынке информа- ционной безопасности гораздо большее число игроков, кото- рые занимаются не просто реа- гированием на инциденты, а еще и расследованием. Для нас реагирование на инциденты и их расследование было ядром бизнеса, до 2012 г. мы только этим и занимались. Начиная с 2012 г. мы начали создавать собственные продук- ты – технологии обнаружения и предотвращения кибератак, финансового мошенничества. И вот из-за этого количество конкурентов начало расти, пото- му что продукты – чуть более конкурентная среда. – Какие угрозы на сего- дняшний день являются наиболее опасными и актуальными? – Сейчас актуальной угрозой являются программы-шифро- вальщики. Они распространены во всем мире, но Россию затра- гивают в меньшей степени. Все- таки всегда есть определенный набор угроз, который России почти не касается, но актуален для остального мира. Россия живет, скажем так, в небольшом вакууме. И хотя инциденты тут происходят достаточно серьез- ные, количественно их заметно меньше, чем в остальном мире. Прежде всего это связано с исполнителями атак: как прави- ло, раньше основной угрозой были банковские трояны, а сей- час это программы-шифроваль- щики. Причем совершают атаки организованные группы, которые разрабатывают так называемые партнерские программы, где соз- дается некая платформа, а даль- ше начинается набор людей с необходимыми навыками, им дается работа. Сейчас не очень удачное время с экономической точки зрения, и многие специа- листы, в том числе с навыками проведения атак, ищут работу. Они охотно вступают в кибер- криминальные группы, многих объединяет русский язык, появляется отдельный микромир русскоговорящей киберпреступ- ности. И существует негласное правило “не работать по ру”, то есть не атаковать Россию и страны СНГ, чтобы привлекать меньше внимания. К тому же, например, на Западе больше богатых, платежеспособных ком- паний. Поэтому инцидентов Рос- сии меньше, чем в других стра- нах. Но, к сожалению, находятся люди, которые проводят атаки в том числе на территории и России, и стран постсоветского пространства. Взять те же программы-шиф- ровальщики: с их помощью можно заработать не меньше, чем в случае успешной целевой атаки на банк, а техническое исполнение – значительно проще. К операторам шифро- вальщиков присоединяются новые группировки, появляются коллаборации с другими пред- ставителями киберкриминаль- ного мира, например с теми, кто продает доступы в скомпро- метированные сети компаний. В целом суммарный ущерб от атак программ-шифровальщиков составил минимум $1 млрд. Основными их целями были США, Великобритания, Канада, Франция и Германия. В топ-5 наиболее пострадавших от шиф- ровальщиков отраслей вошли: промышленное производство (94 жертвы), ритейл (51), госуч- реждения (39), здравоохранение (38), строительство (30). – Бытует мнение, что в России происходит меньше инцидентов, поскольку здесь компании более ответственно под- ходят к вопросам инфор- мационной безопасности. Вы согласны с этим? – Конечно же нет. Я не могу сказать, что уровень информа- ционной безопасности в России катастрофически низкий. Опре- деленно, есть страны, где ситуа- ция хуже. Но иногда приходишь компа- нию и видишь, что как таковой информационной безопасности просто нет. Но при этом в ответ всегда слышишь, что и инци- дентов в компании нет. Но с чего вы это взяли?! Ведь вы можете просто не видеть атаки. Вполне возможно, если это круп- ный бизнес или госструктура, что в сети сидит какая-нибудь иностранная спецслужба, соби- рает всю необходимую инфор- мацию и по-тихому последние лет семь ее сливает. А в компа- нии просто не видят этого и счи- тают, что инцидентов нет. Другой пример: есть опреде- ленная проблема, особенно в государственном сегменте. Допустим, вы приходите на пози- цию руководителя службы информационной безопасности и теперь, все, что связано с ком- пьютерными атаками, – это ваша зона ответственности. Вы пробуете некое решение по информационной безопасности, оно вам сигнализирует о том, что требуется срочно решить ряд проблем. Но оперативно эти проблемы вы решить не сможе- те, потому что у вас еще нет бюджета, еще нет специалистов и т.д. Если речь о госструктуре, то еще и система закупок не дает оперативно решать подоб- ные проблемы. А дальше этот специалист по информационной безопасности вынужден жить в состоянии, когда он знает, что его инфраструктура скомпроме- тирована, что из его сетей, ско- рее всего, утекают документы, которые он призван защищать. И очевидно, он еще несет за это уголовную ответственность, но решить проблему не может. Честно говоря, таких специали- • 17 ПЕРСОНЫ www.itsec.ru