Современные преступники не утруждают себя нападениями. Чтобы завладеть чужими средствами, в XXI веке достаточно уметь пользоваться ИТ: деньги становятся безналичными, а атаки — информационными. В ноябре МВД РФ объявило о создании подразделений по борьбе с преступностью в сфере высоких технологий. Ведущий эксперт по кибербезопасности Group IB Сергей Никитин рассказал «Хайтеку» о киберпреступности, а также о том, почему в этой сфере у правоохранительных органов не хватает кадров, и о способах защиты от мошенников.
Сергей Никитин — ведущий эксперт по кибербезопасности, заместитель руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB. Компания сотрудничает с МВД РФ в расследованиях киберпреступлений. По словам Никитина, 80% резонансных дел в сфере информационной безопасности раскрыто с участием лаборатории Group-IB.
Без частной ИТ-экспертизы не обойтись
— Киберпреступления уже караются действующими законами. Почему частные компании занимаются тем, чем должна заниматься полиция?
— Есть два аспекта. Первый — уголовные статьи и законы, которые определяют оперативно-розыскную деятельность. Заниматься ею может только полиция. Забрать у них эту функцию невозможно. Но, когда мы говорим о киберпреступлениях, основной источник доказательств — это цифровые доказательства. Отдельно они пока не прописаны, попадают под определение «другие». Основное доказательство, и часто единственное — заключение эксперта по какому-нибудь жесткому диску, мобильному телефону, то есть по их содержимому. Именно на этапе качественного сбора, анализа и предоставления доказательств в формате заключений могут подключаться частные компании. Потом все передается правоохранителям, которые имеют право делать запросы, в том числе содержащие какую-то тайну. Например, запросить биллинги, переписки, изъятия или данные по провайдерам.
Киберпреступления регулирует Уголовный кодекс РФ. Глава 28 «Преступления в сфере компьютерной информации» в настоящей редакции включает 4 статьи:
По этой статье можно получить штраф, принудительные работы или лишение свободы на срок от 2 до 7 лет.
В зависимости от тяжести последствий реальный срок по статье 273 составит от 4 до 7 лет лишения свободы.
За копирование, повреждение или уничтожение охраняемой информации можно получить штраф до 500 000 рублей и лишение свободы на срок от 2 до 5 лет.
По статье УК 274.1 сесть в тюрьму можно на срок до 10 лет в зависимости от тяжести причиненного вреда.
Правоохранители не могут всю работу взять на себя в основном из-за того, что такие преступления очень сложные. Технических специалистов, хорошо обученных и высоко мотивированных, там не очень много. Это связано и с размером оплаты труда, и с нагрузками. Поэтому в сложных резонансных делах без частной компании не обойтись.
— Насколько тесно Group-IB взаимодействует с полицией в ходе расследований? Подразумевается ли какая-то оплата за экспертизу и участие?
— Бывает по-разному. У следствия есть определенный бюджет на экспертизы, когда им приходится обращаться к независимым экспертам. Бывает, что мы провели расследование для клиента, а потом наш отчет передался в правоохранительные органы. Следователь проверяет, есть ли основание доверять нашему отчету. По нему могут назначить судебную компьютерную экспертизу.
— Какие интересные расследования из практики вы можете назвать?
— Их было достаточно много. Все преступные хакерские группы, которые работали по дистанционному банковскому обслуживанию, продолжают работать. Раньше они крали деньги через клиент-банки у физических лиц. Теперь похищают деньги через мобильные банки. 80% резонансных дел о таких кражах проходило с нашим участием. Нас привлекали потерпевшие, привлекало следствие для экспертизы.
В 2016 году МВД задержало 16 участников преступной группы хакеров CRON, в расследовании правоохранителям помогала компания Group-IB. Мошенники заражали смартфоны вредоносной программой — банковским трояном. Это приложение после установки на смартфон автоматически переводило деньги пользователей на счета хакеров. Жертвы устанавливали троян на устройство, переходя по ссылкам из СМС-сообщений вроде «Ваши фото опубликованы тут». Другой способ — маскировка вируса под мобильные приложения банков. Общий ущерб от действий группировки CRON достигает 50 млн рублей.
Группа киберпреступников Carberp похитила более $250 млн с банковских счетов россиян в 2010-2011 годах. Мошенники взламывали сайты и популярные сервисы, а затем устанавливали программы для скрытого удаленного доступа. После чего одни участники Carberp переводили средства с удаленных банковских клиентов пользователей, другие их обналичивали. Также хакеры занимались DDoS-атаками.
Совместное расследование Group-IB и МВД позволило привлечь к ответственности всех восьмерых участников преступной группы.
— Еще в 2011 году госсекретарь США Хиллари Клинтон заявляла об успехах правительственных хакеров в борьбе с Ираном. Вы не опасаетесь выйти в своих расследованиях на какое-нибудь государство и повторить судьбу, например, Сноудена?
— Правительственные хакерские группы существуют, это не секрет. Но шанс их раскрыть в расследовании не очень велик. Такие группы работают в основном по зарубежным странам. Наверное, этого стоит опасаться каким-нибудь сотрудникам действующих правоохранительных органов. Если этим занимается независимая международная консалтинговая фирма, которая предоставляет независимый отчет, и если кто-то оставил следы, это, скорее, говорит о низком качестве их работы. Сами виноваты. Поэтому каких-то опасений или проблем с этим не должно быть. Переживать по этому поводу не стоит.
Эдвард Сноуден — бывший технический сотрудник ЦРУ и АНБ. В 2013 году передал газетам The Guardian и The Washington Post секретную информацию Агентства национальной безопасности США. Сноуден мотивировал свой поступок принципами справедливости, так как информация касалась в том числе вопросов слежки за личной перепиской граждан.
Защита только на бумаге
— Насколько сейчас ощущается нехватка кадров, и где их взять? Можно ли молодому специалисту, который только выпустился из университета, доверить защиту предприятия?
— Вопрос сложный. Специалистов очень не хватает. Выпускники вузов не готовы расследовать реальные инциденты и угрозы. Я сам закончил МИФИ, факультет информационной безопасности. Университеты готовят академически грамотно, но сведения там устаревшие. Сегодня информация меняется каждые полгода. Ни один университет в мире не может так быстро менять утвержденную университетскую программу. Это нормально. Специалисты, которых мы берем на работу, всегда учатся на месте. Год-полтора работника нужно натаскивать.
В России было зарегистрировано 2 044 преступления в сфере компьютерной безопасности за период январь-сентябрь 2019 года, следует из отчета МВД «Состояние преступности в России». Это противоправные действия по статьям главы 28 УК РФ. Рост количества преступлений по отношению к прошлому году составил 11,4%. На дату публикации отчета не раскрыто 1 416 из них.
Наибольший рост киберпреступности показала Калининградская область. Здесь количество преступлений в этой сфере увеличилось в полтора раза за отчетный период. В Ямало-Ненецком АО прирост киберпреступности меньше всех — 3,8% к прошлому году.
Если мы говорим про защиту компаний, то дела обстоят хуже. Многие организации защищены только на бумаге. Люди отчитываются, что защищены, а потом случаются инциденты, крадут деньги.
Чтобы понимать, что происходит в отрасли, от каких угроз нужно защищаться, существует отдельный сервис. Можно посмотреть, как все работает. Поставщики таких услуг предоставляют данные о том, какие есть угрозы, как они осуществляются, распространяются, какие искать индикаторы. В компаниях, где ничего не происходит, люди расслабляются и теряют бдительность.
Цифровая гигиена
— Каковы особенности информационной безопасности с точки зрения технологий?
— Суть мошенничества базируется на тех же принципах, что и в XIX веке. Пирамиды из 90-х, зомбирующие цыгане, уличные мошенники используют те же методы.
Если говорить о краже денег, сейчас популярны телефонные мошенничества. Десять лет назад часто звонил человек, говорил: ваш сын сбил кого-то, нужно срочно принести денег. Мошенник торопит людей словами «срочно, нужно».
Такой сценарий действует и сейчас. Приемы лишь немного эволюционируют. Звонят из банка: списаны деньги со счета, сообщите данные карты роботу. Конечно, нельзя ничего говорить.
Страх, скорость, нагнетание обстановки по-прежнему работают, а ИТ — всего лишь новый инструмент на их службе. Преступность переместилась онлайн. Квартирный вор вроде не относится к ИТ. Но и они тоже ищут квартиры в соцсетях.
— Как же себя обезопасить?
— Это тоже проблема. В школах не преподают цифровую гигиену. А современные дети родились в эпоху интернета. Никто не объясняет, что человеку с рождения нужно задумываться о своем цифровом профиле, контролировать все аккаунты, почты, соцсети. Человек выложил в 14 лет фотографию с невероятной тусовки, а потом в 24 года его не приняли на работу. Полностью удалить ничего нельзя.
Цифровая гигиена не только об этом. Если кто-то присылает письмо с вложением, нужно относиться настороженно и не открывать. Необходимо обновлять операционную систему на компьютере и телефоне. Вас убеждают что-нибудь открыть и заражают вирусом. Поэтому цифровая гигиена всеобъемлюща, ее нужно соблюдать людям, чтобы не попасть в беду.
— Насколько можно доверять антивирусам? Нужен ли антивирус от антивируса?
— С точки зрения защиты на 2019 год антивирус необходим, но недостаточен. К сожалению, антивирус реагирует на прошедшую угрозу. Чтобы вирус появился в антивирусной базе, сначала он должен начать заражать. Учитывая количество вирусов, а это, возможно, сотни тысяч в день, эффективность антивирусов сильно падает. Они собирают большое количество данных. В большинстве случаев пользователи сами соглашаются, чтобы практически любой файл с компьютера был отправлен на облачные серверы антивирусов и проанализирован. И даже ставят галочку, что готовы всем делиться. Даже если не ставить подобные галочки, все равно огромное количество информации собирается и отправляется. Это прописано в лицензионных соглашениях. Антивирус для антивируса — немного абсурдно. Тут все зависит от того, чего больше боитесь и какая угроза. Если боитесь утечки данных больше, чем вирусов, не пользуйтесь им вообще.
— Настанет ли такое время, когда киберпреступность будет окончательно побеждена или, наоборот, она станет только более изощренной?
— Ни то, ни другое. На новые способы обмана и заражения находят новые средства защиты. Это будет бесконечно продолжаться. В будущем можно прогнозировать рост киберпреступников. Это связано с тем, что ИТ все больше проникает в нашу жизнь. Можно легко сравнить объемы безналичных платежей 10 лет назад и сейчас. С этой цифрой растет и киберпреступность. Победы одной из сторон я не вижу.