19.11.2009    Москва, КВЦ "Сокольники", конференц-зал павильона №2
Организаторы:        
Поддержка:             
Партнеры:                          

или

Юлия Карцева, icq-консультация по программе и вопросам участия

Илья Сачков, генеральный директор Group-IB

11.11.2009 Пока в наши умы не внедрится понимание, что нарушение информационной безопасности – это преступление, которое неминуемо должно быть расследовано и наказано, внедрение новых средств ИБ похоже на бесконечную гонку вооружений Интервью с генеральным директором Group-IB (Группа информационной безопасности) Ильей Сачковым

Почему ваша компания решила принять участие в конференции?
Не смотря на то, что информационная безопасность и бюджеты на нее в России развиваются в геометрической прогрессии, количество компьютерных преступлений и инцидентов информационной безопасностью растет еще более прогрессивно. Бюджеты, технические и организационные меры не решают проблемы компьютерной преступности и инцидентов. Решиться она сможет только при появлении ответственности за совершение незаконного действия — преступления. Пока этого в России нет. Злоумышленники привыкли к полной безнаказанности и к тому, что единственная проблема, стоящая перед ними, — это обход очередного технического решения, а не возможность попасть на судебную скамью.
С другой стороны, сила, которая могла бы помочь бороться с киберпреступностью, а именно — компании, занимающиеся информационной безопасностью, по большей части нацелены сейчас только на одно – на получение прибыли (в принципе, как и киберпреступники). Получается своеобразное бизнес-партнерство: все зарабатывают деньги и никто никому не мешает. При этом киберпреступность обеспечивает сверхприбыли. Если ситуация не изменится, то через пару лет мы увидим новый мир информационных технологий, который будет полностью поглощен преступными элементами. Это не громкие слова, а действительность. Не секрет, что во властные структуры определенных округов РФ входят бывшие ДДОСеры и СПАМеры.
Популяризация темы правового и правильного проведения расследования компьютерных инцидентов позволит хотя бы немного отвлечь наших безопасников от классической информационной безопасности без ответственности. Глобальная задача — создать в России культуру расследований. Это поможет увеличить ответственность и снизить число преступлений, и, следовательно, увеличить эффективность отрасли информационной безопасности.

Кому ваш семинар адресован?
Семинар рассчитан на руководителей служб информационной и экономической безопасности, а также на технических специалистов.
Сейчас проблема компьютерной преступности актуальна для всех отраслей бизнеса. Для финансового сектора – особенно. Истории про хакеров, крадущих деньги со счетов компаний, – это не легенды. Это самый актуальный тип мошеннический действий. Например, в последнее время часто происходят DDoS-атаки на системы Интернет-банкинга, которые на самом деле являются прикрытием для вывода средств со счетов клиентов, что, в свою очередь, стало возможным благодаря краже электронных ключей. Т.е. речь идет о цепочках реальных и разнообразных преступлений, которые приводят к одному — прямым финансовым потерям. Для банков это еще и репутационные потери.
Если говорить о DDoS-атаках, то это сейчас одна из  самых актуальных проблем. Многие думают, что защищены от них. Это миф. Мы видели, как падают защищенные сервера и толстые каналы от действий шестнадцатилетних ребят.
Для страховых компаний DDoS-атаки — означают  простой Интернет-продаж и работы филиалов. Для трейдерских компаний — простой работы биржи… Стоимость таких видов атак — около 200 евро в день.(Это стоимость организации подобных видов атак) Что несоизмеримо со стоимостью защиты.
Только за первую половину 2009 года к нам поступило 85 запросов от банков и их клиентов на расследование крупных инцидентов информационной безопасности и сопровождение уголовных дел по связанным с ними компьютерным преступлениям.
На основе данной статистики мы выделили наиболее часто встречающиеся инциденты ИБ:
Мошенничество с использованием систем ДБО. Хищение и незаконное использование данных аутентификации: паролей, криптографических ключей, одноразовых паролей и т.п. для неправомерного списания денежных средств со счетов клиентов, использующих системы ДБО.
Распределенные атаки на отказ в обслуживании (DDoS-атаки), на системы ДБО, Платежные системы, Интернет-представительства банков чаще всего как прикрытие для мошеннических операций в системах ДБО, или же в целях причинения неудобства клиентам как способ конкурентной борьбы.
Мошенничество с данными пластиковых карт и персональной информацией клиентов в Интернете, оплата товаров и услуг за счет клиентов банка.
Внутреннее мошенничество с использованием компьютерных технологий, изменение платежных документов и финансовой информации, хищение массивов данных, компрометация конфиденциальной информации.

Как начали работать? Как сложилась команда? Сколько выполненных расследований?
Компания образовалась в 2003 году как сообщество безопасников, занимающихся расследованиями инцидентов.
В  США такие компании, как наша, работали уже с середины 1990-х. Они по сути — промежуточное звено оперативного реагирования между пострадавшими и правоохранительными органами. Свою компанию мы создавали по аналогии с американскими — этакие детективы на информационном поле.
Я считаю, что нам удалось создать сильную команду профессионалов в области информационной безопасности, компьютерной криминалистики и аудита информационных систем. Большинство наших сотрудников имеют по несколько международных сертификатов и большой опыт в области ИБ.
Выполненных расследований — около двухсот. Примерно 2-3 серьезных расследования в месяц. Есть успешные уголовные дела по всем статьям компьютерных преступлений УК РФ. Рекомендательные письма по закрытым кейсам можно без особых проблем у нас посмотреть или получить копию. Неоднократно нашими специалистами делались независимые экспертизы. Ведем и некоммерческие проекты, например, по исследованию бот-сетей.
Бывали ситуации, когда мы не брались за заказы вообще: все они связаны с попытками под видом расследования получить незаконную информацию.

С какими сложностями приходится сталкиваться в работе?
Основная сложность – это трансконтинентальность киберпреступности. Участники преступной группы могут находиться в разных уголках земного шара. При этом в разных странах — разное законодательство в отношении компьютерных преступлений. Разные подходы к компьютерной экспертизе. Злоумышленники этим пользуются. Но даже такие ситуации не являются тупиковыми – просто приходится тратить больше времени на расследование.
Другая сложность — менталитет наших безопасников. Они думают, что могут все разрешить сами, да еще только техническими и организационными средствами. А в итоге — потеря времени и доказательств. Взять, например, закон о ПД. Закон существует, бюджеты тратятся огромные, но утечки как были, так и есть. Закрытые базы данных до сих пор в продаже. Почему? Потому что закон жестко направлен против организаций, а по-хорошему должен быть направлен против злоумышленников. Об этом в законе ничего нет.


Какой основной вывод можно сделать из всего вышесказанного?
Уже давно финансовый сектор в целом, да и любые финансовые отношения между организациями или физическими лицами стали основными мишенями для отечественной и международной киберпреступности. А в периоды экономических кризисов количество случаев такого рода мошенничества увеличивается многократно.

При расследовании большинства инцидентов, мы сталкиваемся с несоответствием ИТ-инфраструктуры и процедур безопасности требованиям общепринятых стандартов и рекомендаций, что в итоге и становится причиной ущерба, понесенного организациями. Отсутствие и неверная конфигурация систем протоколирования, игнорирование принципов разграничения обязанностей и минимизации привилегий, отсутствие программ по обучению пользователей основам ИБ и правилам работы – вот основные причины инцидентов.

Традиционно внимание специалистов приковано техническим методам обеспечения информационной безопасности. Однако никакие средства безопасности не позволят эффективно управлять рисками, если процедуры и политики не выстроены должным образом и не применяются повсеместно. И до тех пор, пока в наши умы не внедрится понимание, что нарушение информационной безопасности – это преступление, которое немунуемо должно быть расследовано и наказано, внедрение новых средств ИБ превращается в бесконечную гонку вооружений.
Только расследование инцидентов ИБ способно привлечь к наказанию как внутренних «вредителей» (инсайдеров), так и сторонних лиц, и, в конечном счете, снизить число этих инцидентов.