Создатель известного антивируса - компания McAfee - опубликовала доклад о нападениях на жизненно важные объекты национальной инфраструктуры. Речь идет о системах газового, электрического и водяного снабжения в 14 странах мира. Согласно результатам, 80% из них в прошлом году были атакованы хакерами. Большинство нападений исходит из Китая. Однако на втором месте находится Россия. Как расследуются такого рода кибератаки? Об этом мой коллега Анатолий Кузичев беседовал с генеральным директором компании Group IB Ильёй Сачковым в студии радио "Вести ФМ".
Кузичев: Итак, я приветствую в студии "Вестей ФМ" Илью Сачкова, генерального директора компании Group IB. Так ее правильно по-английски говорить?
Сачков: Да, все верно.
Кузичев: Group IB. Если верить, так сказать, Ильей же составленным представлениям компании, то Group IB – первая в СНГ компания, которая комплексно занимается расследованием обстоятельств компьютерных преступлений, нарушением информационной безопасности и компьютерной криминалистикой, что, наверное, некоторым все-таки преувеличением вашей значимости на этом рынке является, нет? Ну, мне кажется, много же компаний этим занимаются.
Сачков: Информационной безопасностью – много, а мы занимаемся расследованием.
Кузичев: То есть, у вас есть лицензия, что ли, еще и частного детектива?
Сачков: Нет, эта деятельность не лицензируется сейчас в России, несмотря на то, что на зарубежном рынке это достаточно хороший…
Кузичев: Тогда нам нужно, видимо, о терминах договориться, наверное, я чего-то недопонимаю. Значит, информационной безопасностью занимаются многие.
Сачков: Все верно.
Кузичев: Факт. А что такое расследование?
Сачков: Смотрите, у вас кто-то взломал почту.
Кузичев: Тьфу-тьфу-тьфу!
Сачков: Например, нужно понять, как это могло произойти, с помощью чего, и предоставить, перед тем как этим будут заниматься правоохранительные органы, определенную логику действий для того, чтобы они успешно смогли дойти до цели. Вот это называется расследование.
Кузичев: К слову, разве не сами правоохранительные органы в специальных подразделениях, как там он там называется…
Сачков: Оно сейчас называется Бюро специальных технических мероприятий, а там находится управление "К".
Кузичев: Управление "К", конечно, компьютерное. Разве не они должны этим заниматься – то, что сейчас вы сказали?
Сачков: Они занимаются оперативно-розыскной деятельностью, а мы занимаемся аналитикой и компьютерной криминалистикой. Это две разные вещи.
Кузичев: Ага, так, интересно. На каком этапе вы даете полицейским информацию? И какую именно информацию? Итак, еще раз. У кого-то там вскрыли почту, вы подключаетесь к этому. И что делаете? Давайте прямо еще раз подробно.
Сачков: Мы делаем аналитику того, как наиболее эффективно подойти к расследованию.
Кузичев: То есть, соответственно вы пытаетесь предположить, откуда (это ваша задача?) произошел этот взлом?
Сачков: Откуда, с помощью чего, с помощью вредоносного…
Кузичев: Какой программы, какого кода, да?
Сачков: Все верно. Пример с электронной почтой – достаточно простой пример. На самом деле в основном в последнее время мы занимаемся расследованиями краж из систем дистанционного банковского обслуживания, потому что там ущерб больше во много раз, ну и общественная значимость этого действия гораздо…
Кузичев: Безусловно. Слушайте, а в вашей совместной работе с правоохранительными органами инициаторами были вы? Вы пришли к полицейским и сказали: вот, мы это можем. Или они к вам обратились, понимая, что у них не хватает средств, сил или просто навыков компьютерных, чтобы этим заниматься?
Сачков: Даже не знаю, как получилось. Получилось постепенно. Сначала мы начали этим заниматься, потому что этим в России никто не занимался.
Кузичев: А "мы" – это кто?
Сачков: Мы – это те, кто создал Group IB.
Кузичев: Кто это такие – это молодые хакеры, это пожилые безработные? Кто это такие?
Сачков: Нет, это люди, которые занимаются информационной безопасностью, выпускники в основном Бауманки, которые поняли то, что на российском рынке пора заниматься компьютерной криминалистикой. Потому что информационной безопасностью можно заниматься бесконечно, ею занимаются с 1995-1996 года в России, и при этом количество преступлений каждый год растет в два раза. Задача компьютерной криминалистики и аналитики – доводить дела до того, что человек, который совершил преступление, будет наказан. Соответственно, добавляя вектор ответственности, количество инцидентов просто снижается.
Кузичев: Понятно. Были какие-нибудь уже громкие резонансные дела, которыми вы гордитесь, которые вы можете сейчас предъявить?
Сачков: Конечно. В сентябре 2010 года была привлечена к ответственности группа хакеров, которая распространяла вирус WinLock, который блокировал компьютер и просил отправить SMS. Это была достаточно распространенная проблема в России, которая продолжает развиваться. Это был первое успешное дело, мы его делали с городским УБЭП и как раз отделом "К" города Москвы, то есть Управления специальных технических мероприятий.
Кузичев: И что, ребята сели?
Сачков: Ребята готовятся к суду. Сейчас идет следствие.
Интервью с Ильёй Сачковым слушайте в аудиофайлах
Слушайте интервью на другие актуальные темы на сайте радио "Вести ФМ"
