“Рост потерь заставляет компании переходить от формальной ИБ к практической”

Расследование компьютерных преступлений (РКП) все чаще воспринимается как необходимый этап в создании комплексной системы обеспечения информационной безопасности, который, с одной стороны, закономерно завершает этот процесс, а с другой — запускает процедуры анализа ИБ-системы.

LETA IT-company принадлежит к малому (пока) числу компаний, специализированно занимающихся оказанием услуг в области РКП на российском рынке. О накопленном ею опыте, о проблемах развития РКП в России и о путях их решения научному редактору еженедельника PC Week/RE Валерию Васильеву рассказывают генеральный директор LETA IT-company Андрей Конусов и директор департамента продуктов и услуг этой компании Алексей Медведев.

PC Week: Какие обстоятельства обуславливают повышение интереса к РКП?

Андрей Конусов: Согласно данным “Лаборатории Касперского”, ESET и Group IB, суммы краж, совершаемых кибер-преступниками в России, исчисляются миллиардами рублей в год. Масштабы хищений таковы, что могут доводить до банкротства средние компании, которые должны формировать костяк экономики страны. К тому же для российского бизнеса прошла пора экстенсивного развития, конкуренция становится все более жесткой, что тоже заставляет искать способы сокращения расходов и потерь.

По этим причинам вопросами ИБ стал интересоваться топ-менеджмент компаний, вынуждая тем самым и ИБ-специалистов руководствоваться прежде всего интересами бизнеса. Расследование компьютерных преступлений дает им шанс вернуть украденное или хотя бы создать злоумышленникам препятствия для повторных хищений, хотя сам факт возникновения повода к РКП, мягко говоря, для ИБ-службы нежелателен. То есть рост потерь заставляет предприятия переходить от формальной ИБ к практической.

Алексей Медведев: В России быстрыми темпами растет электронная коммерция. Рост объемов электронных денег, циркулирующих по сетям общего пользования, привлекает кибер-преступников к цепочке взаимодействия финансово-кредитных учреждений с клиентами. С другой стороны, во многих странах, в том числе и в России организуются электронные правительства, подразумевающие создание крупных ИКТ-инфраструктур для взаимодействия как правительственных организаций между собою, так и госорганов с населением. Они тоже могут стать объектами атак, которые кибер-преступники выполняют по чьему-либо оплаченному заказу. Кибер-преступникам сегодня вполне можно заказать техногенную катастрофу на предприятии конкурента. Они готовы работать на тех, кто платит, независимо от происхождения денег и характера заказа.

PC Week: О чем говорит опыт борьбы с кибер-преступлениями в развитых странах?

А. К.: В государствах с развитыми экономиками налажены способы борьбы с преступностью в ИКТ-области, под это отстроено законодательство. Так, в США, где расследованием компьютерных преступлений в масштабах страны занимаются уже лет десять, наказывают каждого десятого кибер-преступника. Вроде немного, но уже достаточно для того, чтобы начался отток преступников из этой сферы.

Вероятность быть наказанным за кибер-преступление в России сегодня не превышает сотых долей процента. Легкий, практически безнаказанный криминальный заработок развращает молодых талантливых ребят, которые могли бы работать в области ИТ на благо страны. Безнаказанность привлекает к России и иностранных кибер-преступников, что еще более усугубляет ситуацию.

PC Week: Куда же кибер-криминал направляет украденные средства?

А. М.: Прежде всего в организацию новых краж. Создаются лаборатории по разработке инструментальных наборов средств для атак на системы дистанционного банковского обслуживания [ДБО], на содержимое адресных книг и календарей устройств, работающих на популярных мобильных платформах, и т. д. Эти инструменты выставляются на продажу, их покупатели даже получают услуги поддержки — всё как в легальном ИТ-бизнесе.

Кибер-преступность за счет украденных средств превращается во всемирную теневую отрасль. Если этому не мешать, то через три-пять лет украденных средств будет достаточно, чтобы организовать лоббирование интересов криминальной отрасли на законодательном и правительственном уровне. Движение крупных криминальных денег во власть — классический путь. Обществу будут навязываться условия, выгодные преступникам, и блокироваться те, которые полезны лояльному большинству граждан.

PC Week: Что же нужно сделать в первую очередь, чтобы остановить кибер-преступность?

А. К.: Первое, что должно сделать государство, это обязать все предприятия и организации информировать общество о фактах утечки данных и кражи денежных средств. На основании этого общество получит информацию, которая позволит точно оценить масштабы бедствия. Государство не сможет игнорировать кражи, когда о них будут заявлять публично и массово. “Вскрытие нарыва” стимулирует инвестиции в РКП. Как только начнется инвестирование, за пару лет появятся и поставщики услуг по РКП (кстати, первые ласточки уже есть).

PC Week: Что препятствует развитию РКП в России по этому сценарию?

А. К.: Заинтересованность в РКП (о чем уже было сказано) и платежеспособный спрос — не одно и то же. Спрос на РКП вместе с осознанием проблемы стал появляться в нашей стране в 2010 году, когда начали публично говорить хотя бы о некоторых инцидентах ИБ. Но если переход от единичных случаев расследования к системе РКП в масштабах страны будет и дальше отставать от лавинообразного роста компьютерных преступлений, мы можем не успеть именно потому, что криминальные деньги пойдут во власть. Реально изменить ситуацию и резко ускорить процесс развития РКП может принятие закона, обязующего информировать общественность обо всех ИБ-инцидентах, связанных с утечкой критической информации и хищением денег.

В условиях территориальной распределенности и трансграничности кибер-преступлений по действующим ныне законам трудно даже определить место возбуждения дела. Нужна новая законодательная основа, отработанные механизмы и процедуры действий для силовиков и судов, чтобы эффективность РКП отвечала реальным масштабам кибер-угроз.

PC Week: Но корректировка законодательства — это длительный путь, а проблемы нужно решать уже сейчас.

А. М.: Ситуация очень сложна, но пока не безнадежна. У бизнеса до сих пор бытует мнение, что задачи РКП в нынешних условиях невозможно решить в правовом поле, но на самом деле это уже не так, хотя от организаций при этом требуются заметные усилия. Опыт таких компаний, как LETA IT-company и Group IB, свидетельствует о том, что даже в рамках действующих законов в нашей стране есть реальная возможность компенсировать понесенный ущерб. То есть можно признать, что российским компаниям недостает информированности о практике РКП. Не хватает им и компетентности в этой области, как и культуры в области ИБ в целом. В США, например, действуют федеральные программы обучения граждан основам ИБ начиная с детских лет. Там людям с младых ногтей прививают понимание ценности информации и необходимости защищать ее.

Наши правоохранительные органы испытывают растущее недовольство со стороны пострадавших от кибер-преступлений юридических и физических лиц, которых становится все больше и отказывать в возбуждении дел которым все сложнее. Когда кражи денег в системе ДБО были единичными и некрупными, компании могли позволить себе не возбуждать уголовные дела и выводить эти небольшие суммы из правового поля, чтобы не отчитываться за них перед налоговой инспекцией. По мере роста количества хищений и украденных сумм поступать так становится сложнее и сложнее.

PC Week: Какие преимущества есть в проведении РКП по схеме внешней услуги?

А. М.: К счастью, инциденты ИБ происходят эпизодически. Содержать на постоянной основе узкоспециализированный квалифицированный персонал и специальную дорогую технику нет смысла. В то же время специфика РКП требует именно этого. Иначе не удастся даже собрать юридически значимые доказательства совершения преступления, особенно если учесть, что в РКП важен каждый час. Позволить себе содержать часть инфраструктуры для РКП на постоянной основе могут только очень крупные компании, но даже и они обращаются к внешних провайдерам, например, за компьютерной криминалистической экспертизой или восстановлением данных, поскольку для этого нужно специальное дорогое оборудование. Например, хорошо укомплектованная компьютерная криминалистическая лаборатория стоит полмиллиона долларов.

Специализированная компания, которая постоянно занимается РКП, поддерживает квалификацию и находится на острие проблем, нарабатывает опыт в отличие от эпизодически привлекаемого для РКП персонала. Взаимодействуя с антивирусными аналитиками, со специализированными сетями-ловушками, специалисты по РКП зачастую могут предсказывать атаки и вычислять преступников по почерку в организации атаки, в написанном и использованном злонамеренном коде. Стекающиеся в специализированные компании информационные потоки сокращают время РКП. Так, взаимодействуя с зарубежными центрами реагирования на инциденты ИБ в 48 странах по своим каналам, а не по линии силовых структур (что параллельно обязательно делается для соблюдения необходимых формальных процедур), Group IB сокращает время получения необходимой для РКП информации с двух месяцев до нескольких часов.

PC Week: А каковы недостатки в проведении РКП по схеме внешней услуги?

А. М.: Случаются и такие инциденты, о которых компании категорически не хотят никому рассказывать. Но эту проблему можно устранить, введя уже упомянутый закон об обязательном публичном уведомлении. Бытует также ложное мнение, что РКП-аутсорсер подменяет работу внутренней ИБ-службы, тем самым дискредитируя ее компетентность. На самом деле это не так. РКП — это один из этапов цикла обеспечения ИБ, заниматься которым по экономическим соображениям эффективнее другим специалистам. Тем не менее точкой входа к заказчику для РКП-аутсорсера является именно ИБ-служба, с ней идёт основное взаимодействие в процессе РКП, хотя, конечно, обязательно устанавливается и прямая связь с высшим руководством компании, — такова специфика РКП.

Есть и проблема доверия, которая решается соглашениями о конфиденциальности (NDA) и об уровне услуг (SLA). Нужно, однако, учитывать, что полностью формализовать процесс РКП и учесть в SLA все аспекты невозможно. Только по некоторым услугам (например, по защите от DDoS-атак) удается сегодня довести ответственность провайдера вплоть до выплаты штрафов, если предоставленная услуга оказалась низкого качества. Заказчики должны также помнить и о том, что для провайдера услуг очень важен имидж — пару раз оказавшись несостоятельным, он рискует лишиться бизнеса.

PC Week: Сколь часто РКП приводит к доработкам систем ИБ у пострадавших компаний?

А. К.: Практически всегда. Ведь об инцидентах, вызвавших РКП, обязательно становится известно первым лицам компаний, и они задаются вопросом, почему это стало возможным и как исправить ситуацию.

А. М.: РКП — самый правильный путь к выявлению ИБ-проблем в компании, потому что в них расследуются реальные ситуации, риски реализовавшиеся, а не гипотетические, прописанные консультантами в моделях угроз.

PC Week: Благодарю за беседу.