Генеральный директор компании Group-IB Илья Сачков– На всех конференциях по безопасности банкиры заявляют, что давно пора начать официально обмениваться информацией о фактах компьютерного мошенничества в системах дистанционного обслуживания. Почему же банки этого не делают?

– Потому что это незаконно. Нарушаются законы, касающиеся банковской тайны и персональных данных. Прогрессивные банки идут на эти небольшие нарушения. Но они поступают по справедливости, и я готов вместе с ними разделить ответственность.

Идея обмена информацией очень правильная, мы ее полностью поддерживаем и по мере сил помогаем пополнять «черный список». Есть группа банков, которая обменивается данными по так называемым дропперам. Это люди, на чье имя зарегистрированы пластиковые карты, через которые обналичиваются деньги в случаях мошенничества. Банк в случае поступления платежного поручения на вывод денежных средств физическому лицу эту операцию может приостановить и дождаться, пока дроппер не придет в отделение. Нескольким банкам совместно с правоохранительными органами удавалось таким способом мошенников задержать. Плюс существует обмен IP-адресами устройств, с которых совершаются мошеннические операции, названий юридических лиц, с помощью которых происходит обналичка в случаях, если украденные средства поступают не на карту.

Банковские ассоциации и сообщества в области информационной безопасности планируют лоббировать изменения законодательства, позволяющие информационный обмен. Потому что иначе получается, что банки, умалчивая об инцидентах, формально участвуют в легализации преступных доходов, а это уже противоречит другому закону. Словом, банки находятся меж двух огней.

– Сколько банков заключили негласный союз по ловле мошенников?

– Позиции банков по этому вопросу очень различаются. Есть три очень крупных банка, которые вообще не хотят слышать об обмене информацией, есть те, кто работает только «на прием», а сам ничем не делится, и есть активные участники обмена. Сейчас в этом негласном союзе активных борцов с киберпреступностью участвует около 30 банков.

– Если проанализировать зарубежную практику, то там колоссальная статистика компьютерного мошенничества объясняется тем, что компании по закону обязаны публично заявлять об утечке информации. А у нас статистики по инцидентам минимум, как будто компьютерных преступлений и нет, как проституции в Советском Союзе.

– Все верно. Но у нас есть и другой закон, о котором все забывают. Он касается сокрытия преступлений. Что сейчас происходит на рынке? Когда банк видит, что поступило платежное поручение, похожее на мошенническое, он его блокирует. Деньги останавливаются, а банк звонит клиенту и сообщает: на компьютер вашего бухгалтера была осуществлена атака, но деньги удалось спасти, примите меры по усилению средств информационной защиты. Однако факт, что банк спас деньги клиента, вовсе не означает, что против него не было совершено преступления. Неправомерный доступ к компьютеру уже был, распространение вредоносной программы тоже. Получается, что особо опасное преступление вместо расследования оканчивается лечением компьютера от вирусов, которые, между прочим, далеко не всегда можно найти, и настройкой технических средств защиты.

Государство об этой проблеме знает. И если оно уделит этому внимание и примет закон, чтобы все компании, которые стали свидетелями компьютерных преступлений, были обязаны сообщить об этом в правоохранительные органы, то будет и у нас статистика. За любым вирусом кроется серьезная преступная группировка, крутятся колоссальные деньги, сравнимые с оборотом наркотиков. Но если по наркотикам есть устоявшаяся уголовная практика, то по компьютерным преступлениям ее нет. Многие судьи до сих пор думают, что это какое-то баловство, детские шалости.

– Говорят, что многие банковские «айтишники», оставшиеся в кризис без работы и вооруженные инсайдерской информацией, встали на путь компьютерных преступлений. Это правда?

– Не сказал бы, что ряды преступников серьезно ими пополнились, но могу сказать точно, что там действительно появились люди из банковской среды. В двух известных нам хакерских группировках есть бывшие сотрудники банков. А в экономических группировках, которые занимаются обналичиванием ворованных денег, работают не только бывшие, но и действующие сотрудники банков. Они очень хорошо владеют такой информацией, которой никто не может знать, за исключением банка. К примеру, в последнее время злоумышленники отправляют платежные поручения за двадцать минут до рейса. Это означает, что они знают узкое место данного конкретного банка, ведь даже в круглосуточных банках это происходит в определенное время и у всех по-разному. Поскольку в Интернете эту информацию найти нельзя, значит, в группе, которая отвечает за экономическую часть преступления, есть осведомленный человек.

После кризиса действительно увеличилось количество преступлений, потому что люди увольнялись из банков, но в основном эти преступления носили характер мелкой пакости в отместку за увольнение. Люди уносили с собой информацию, к которой не имели права доступа, оставляли себе лазейку, чтобы подложить бывшему работодателю на прощание «кота в мешке». А в хакеры пошли десятка два человек со всей России. Несмотря на то, что технически очень просто воровать деньги, люди, которые честно работают системными администраторами много лет, вряд ли смогут одномоментно перекинуться на «темную сторону».

– Вы же тоже теоретически можете украсть деньги? Как бороться с таким соблазном?

– Просто меня воспитывали, что я должен зарабатывать себе на хлеб честным трудом. А разбогатеть при помощи компьютерных преступлений действительно очень легко, но вот как преступить моральные принципы, привитые родителями, школой и университетом? Мы не случайно в прошлом году вошли в состав Leta Group, которая приобрела 50% нашей компании Group-IB. На развитие такой сложной отрасли, как компьютерные расследования, требуются серьезные инвестиционные деньги, а красть я с детства не приучен.

Я за себя и своих сотрудников ручаюсь. Раз в год мы все обязательно проходим тестирование на детекторе лжи, и я как создатель компании в том числе. Результаты этого тестирования у нас являются общедоступными для всего коллектива.

– А как вас занесло на стезю расследований компьютерных преступлений?

– Когда мне было 18 лет, я лежал в больнице и читал американскую книжку – агент ФБР писал про расследование компьютерных преступлений. И я так захотел тоже этим заниматься! Стал искать, кто в России это делает, и оказалось, что никто. Тогда я и решил создать специализированную компанию, что и сделал в 2003 году, оставив должность руководителя департамента аудита и безопасности в одном из иностранных банков. А вообще я с 14 лет работаю, еще когда в школе учился, помогал в компьютерных расследованиях Министерства образования.

– Кто ваши заказчики? Банки, которые сами не могут поймать преступника, или правоохранительные органы? В каких случаях вас привлекают к расследованиям?

– Есть распространенный миф, будто мы заменяем службу информационной безопасности банка или правоохранительные органы. Мы – независимые помощники. У нас есть лаборатория компьютерной криминалистики, отдел расследований, аналитики. Наша цель – собирать базу данных, и мы это делаем уже девять лет. Эта база включает в себя описание инцидентов, их различные технические параметры. И когда поступает сообщение об инциденте, мы вбиваем эту информацию в нашу базу и ищем похожий «почерк» преступления.

В нашу лабораторию ежедневно «приходит» 20–30 скомпрометированных компьютеров и серверов, в отдел расследований – по 10–15 пострадавших компаний, так что база у нас очень богатая. Ни одна служба безопасности подобную базу собрать не может, потому что она замкнута в рамках только своей организации.

Эксперты, которые работают в области аналитики компьютерных преступлений, ежедневно сталкиваются с различными их типами в разных отраслях. Наша задача – понять, как именно произошел инцидент. Возьмем банки. Допустим, у клиента произошло несанкционированное списание средств. Первый вопрос: это сделал хакер или свой собственный бухгалтер? Вопрос закономерный, потому что пошла волна мошенничества, когда бухгалтеры клянутся и божатся, что виноват вирус, а на самом деле преступление совершили они, предварительно договорившись обналичить эти деньги. Наша задача – доказать, как было дело. Всегда остаются следы, и хороший компьютерный эксперт может с уверенностью проследить все, что делалось на этом компьютере за все время его использования.

Мы не можем, да и не стараемся заменить правоохранительные органы, потому что не имеем права заниматься оперативно-розыскными мероприятиями. Наша задача – провести интеллектуально-аналитическую работу в интересах клиента, чтобы оперативным сотрудникам полиции было проще по нашим материалам начать расследование и собрать доказательства.

– Сколько времени длится расследование?

– Это непредсказуемо. Можно справиться и за один день, а можно распутывать преступление годами. В Америке, где объемы рынка расследований компьютерных преступлений составляют $60 млрд., принята почасовая оплата. В России мы получаем деньги за результат и держимся на плаву только на объемах инцидентов. Словом, антивирусы продавать гораздо проще и прибыльнее. У нас потому и конкурентов в России нет, что несколько сотен миллионов рублей оборота в год никого не устраивает, когда те же антивирусы приносят миллионы долларов. Но зато все наши сотрудники, кроме зарплаты, получают еще и моральное удовлетворение от того, что они работают на благо общества.

До 70% экспертиз для правоохранительных органов наша лаборатория делает бесплатно, разгружая экспертно-криминалистический центр МВД. Также мы бесплатно рассылаем по банкам украденные злоумышленниками ключи от систем дистанционного банковского обслуживания, если обнаруживаем их в ходе своей аналитической работы. В прошлом году мы 7000 ключей разослали, то есть именно столько компаний были спасены от хищений. У нас две стены в офисе завешаны благодарственными письмами.

– Почему банки не могут адекватно ответить на атаку злоумышленников? У них ума не хватает?

– Во-первых, как правило, атакуется не банк, а клиент. А во-вторых – все дело в финансовых возможностях. Посудите сами: всего одна группировка злоумышленников из шести, действующих в России, имеет доход больше, чем все бюджеты безопасности российских банков вместе взятые. Ни один банк не может противопоставить техническое средство против тех денег, которые тратятся на разработку вредоносного программного обеспечения.

– Вы говорили, что часто встречаете мошенников на профильных конференциях по безопасности. Значит, вы их знаете в лицо и по именам? Вам не обидно, что они на свободе?

– Да, регулярно встречаю. Несмотря на наши неоднократные просьбы проверять списки участников конференций, организаторы относятся к этому легкомысленно. А ребята из тусовки хакеров не дураки, они ходят, смотрят и заранее знают, что будет через год в банковской среде.

Когда я был совсем молодым романтиком и только начинал заниматься своим любимым делом, думал, что сейчас всех выведу на чистую воду. Однако очень быстро стал реалистом. Хорошо, хоть особо тяжкие преступления правоохранительными органами расследуются. Но до реальных сроков для всех мошенников еще очень далеко, потому что законодательство, связанное с компьютерным правом, очень слабое и сложное. Оперативный состав работает хорошо, в органах следствия отличная команда профессионалов по компьютерным преступлениям, а вот правоприменительная практика так до сих пор и не сложилась.

– Что вы имеете в виду?

– Вот два недавних приговора. Господин Аникин, укравший $10 млн. получил пять лет условно, при этом пресса сделала из него чуть ли не героя, ведь он крал деньги в Америке. А господин Блинников, взломавший рекламный щит на Садовом кольце и показавший публике порнофильм, получил пять лет колонии, потому что экс-мэр Лужков сказал: надо посадить. Когда дают реальные сроки за мелкое хулиганство и фактически рекламируют безнаказанность преступлений с огромным материальным ущербом – разве это нормальная практика?

– Банки охотно идут на принцип, собирают доказательную базу, чтобы добиться для преступника реального срока?

– Все банки очень устали от мошенничества. Но проблема в том, что в некоторых банках топ-менеджмент вообще об этом не знает! У них воруют в таких колоссальных масштабах, а служба безопасности молчит. Есть банки, которые знают масштабы бедствия, но им все равно, неинтересно ловить мошенников. И есть немногие банкиры, кто не прячет голову в песок, а адекватно реагирует на брошенную мошенником перчатку. Эта смелая позиция мне очень импонирует. Потому что можно бесконечно совершенствовать систему информационной безопасности, покупать новое «железо», нанимать людей, но пока преступник не зарубит себе на носу, что атаковав этот банк, он непременно попадет в тюрьму, то будет нападать бесконечно.

– Были ли случаи, когда не клиент, а банк выступал заявителем в качестве инициатора уголовного дела?

– Пострадавшим все равно считается клиент. А банк в таких случаях помогает информацией. С сотрудниками таких банков приятно работать и обсуждать новости. Именно в таких банках инцидентов становится меньше, потому что хакеры любят совершать преступления, за которые им гарантированно ничего не будет.

Я наблюдал фишинговую атаку на три крупных банка, входящих в Top-10, и по материалам одного из банков преступников взяли с поличным. Потом хакеры перепродали свою бизнес-структуру другой группировке, и она использовала ту же технологию фишинга, но того банка уже не было в списках пострадавших. Хакеры понимают, что если банк смог организовать процесс расследования так, что людей поймали, и ведется следствие, они потом сто раз подумают, прежде чем нападать на сильный банк.

– Сколько людей сейчас «занято» в индустрии компьютерного финансового мошенничества?

– Около 150 человек, из них 50 активных хакеров, остальные «работают» в сфере обналичивания. Как мне сказал однажды глава безопасности одного из банков, входящих в первую десятку, «если бы было советское время, КГБ собрал бы следственную группу, и всех этих людей посадили за одну неделю». К сожалению, сейчас не те времена, но «посадки» есть. И радует тот факт, что они часто происходят именно по нашим материалам. На моей памяти посадили пять человек из «технарей», еще 20 находятся на этапе следствия, и я уверен, что они дойдут до суда. И около 15 человек село из экономического блока.

– У этого преступного сообщества есть какие-то понятия, моральный кодекс?

– Я не видел, чтобы крали деньги со счетов благотворительных фондов, детских домов и общеобразовательных учреждений, хотя их ключи к мошенникам в руки попадали. Но это вовсе не говорит ни о какой морали преступника. Разве обокрасть до нуля маленький цветочный магазин, доведя его хозяина до самоубийства – это высокоморально?

У преступника ощущение, что все можно купить. Когда их берут, первая идея – скинуть всем операм по 20 млн., чтобы отстали. У них даже не укладывается в голове, что раз уж их пришли брать, то перед ними наиболее морально устойчивые сотрудники правоохранительных органов. Когда у преступников в руках такие деньги, они могут очень быстро сменить имя, переехать в другую страну и даже сделать пластическую операцию – такие случаи бывали. Счастье в том, что все они известны и технически найти их можно легко.

– У банков вообще нет шансов достойно защититься?

– Банки никогда не догонят хакеров в полете технической мысли. Единственная надежда – ужесточение законодательства и количества реальных сроков для преступников. Мы настроены крайне пессимистично. Мой прогноз таков: если за два года всех мошенников не поймают, то эти люди со своими деньгами будут если не в правительстве, то смогут лоббировать свои законы. И будут строить «белый» бизнес. Есть же популярная поговорка про олигархов: «Я готов отчитаться за любой миллион, кроме первого».