Охотники на хакеров. В Вологде появилась новая компания, специализирующаяся на комплексной защите бизнеса от IT-угроз
В августе Центробанк направил российским банкам письмо с рекомендациями, которые должны помочь им защититься от потенциальной атаки с использованием вируса-шифровальщика. Ранее о возможной атаке предупредили в энергокомпании ФСК ЕЭС. Вирусы-шифровальщики блокируют доступ к компьютерам и шифруют содержащиеся на них данные, после чего хакеры требуют у жертв оплату за восстановление доступа к информации. За последние три месяца по миру прокатились две крупные волны кибератак с использованием таких вирусов — 12 мая компьютеры по всему миру атаковал вирус WannaCry, а 27 июня — вирус Petya.
И словно бы в ответ на эти угрозы в Вологде немедленно появилась новая компания, специализирующаяся на комплексной защите бизнеса от IT-угроз. «Логасофт Безопасность» — дочерняя структура известного вологодского предпринимателя Алексея Логанцова, основателя и руководителя группы компаний «Бизнес-Софт».
С заместителем гендиректора «Логасофт Безопасность» Виталием Исаковым мы встретились в тихом вологодском кафе «Красный мост».
Исаков, пока нам несут кофе, рассказывает, что компания лишь в июле получила статус юрлица и представляет своего шефа — Алексея Замятина, гендиректора «Логасофт Безопасность» и бывшего начальника отдела «К»** управления внутренних дел...
Безопасности «много» или «мало»?
— Сотрудничаете с силовыми структурами?
— Скорее стараемся от них дистанцироваться. Мы предоставляем услуги безопасности коммерческим компаниям, физическим лицам, и если появится информация, что мы сотрудничаем с кем-то из «силовиков», то последствия для нас могут быть фатальными. Мы же предоставляем комплексную услугу, а не какое-то разовое решение. А если мы не дай бог, скомпрометируем себя...
— А что? Сотрудничество с «органами» — это всегда компрометация?
— Не обязательно. Какие-то элементы своей работы мы можем выполнять и для них. Причём, бесплатно. Например, в сегменте «социальная ответственность бизнеса». Можем, показать им, где у них слабые звенья, чтобы они могли защититься, чтобы информация, связанная с бюджетными деньгами, к примеру, никуда не ушла.
— Странно. Всегда казалось, что у них хватает своих специалистов...
— Приведу простой пример. У нас есть бюджетное учреждение «Центр информационных технологий». Из правительства была выделена структура, которая занимается обеспечением всех IT-потребностей правительства области и ряда других бюджетных учреждений. Зарплата там ниже средней по городу. Соответственно, идет отток квалифицированных кадров. А нагрузка у них запредельная. Может просто не хватать времени, чтобы обеспечивать безопасность. Тем более, что от них в первую очередь требуют, чтобы они обеспечивали функционирование систем, которые находятся под их контролем. И они это делают, потому что для них это приоритет. А вопросы безопасности, как правило, остаются на втором плане. И еще потому, что здесь требуются несколько другие компетенции, а проверить результат никто не может. Нельзя же сказать, что безопасности «много» или «мало». Как это можно проконтролировать? Только, если случается какой-то негативный инцидент. Поэтому возникает парадоксальная ситуация: IT-сегмент и безопасность могут находиться вообще по разные стороны. Когда бухгалтер говорит директору, что мы, мол, из-за недостатков ПО не можем провести, например, транзакцию — он это понимает. А вот, когда IT-специалист говорит, что надо обновить версию программы, потому что она уязвимая — для руководителя это звучит достаточно абстрактно. На что, кстати, злоумышленники и рассчитывают.
— Психология?
фото СамолётЪ
— Да. Часто приходится буквально на пальцах людям объяснять, где и какие последствия могут быть, если не заниматься безопасностью. Мы провели анализ клиентов и поняли, что в России очень плохо следят за безопасностью. Есть фундаментальные ошибки в конструировании системы безопасности и в отношении к этой проблеме людей. Мы столкнулись с забавной ситуацией: злоумышленников у нас воспринимают как «очкариков», которые сидят за компьютерами и «работают». Но преступный мир шагнул далеко вперед. Сегодня это бизнес, сродни крупным корпорациям. Там все выстроено по аналогичной схеме: есть директор, юридическая служба, бухгалтерия, существует разделение по направлениям, работает своя служба безопасности, поставлена конфиденциальность. Одна такая группа может состоять человек из пятиста, которые «ведут» клиента — от разработки каких-то его уязвимостей до обналичивания уже похищенных у него денежных средств. И представьте теперь, что такой машине в конкретной компании-жертве пытаются противостоять «полтора айтишника»?
Прямая и явная угроза
— А кто, кстати, является объектами таких злоумышленников?
— По сути все. Целью скорее является не конкретный человек, а некий субъект, у которого есть финансовые средства. Цель — это всегда деньги.
— Насколько актуальна эта проблема?
— Не обязательно тащить деньги из кошелька или с банковской карточки. Можно, к примеру, собирать компромат на компанию или человека и потом шантажировать. Можно зашифровать все жесткие диски компании, а потом потребовать выкуп, как недавно было с вирусами WannaCry и Petya. Даже «Роснефть» признавалась, что пострадала. И это ведь одна из самых защищенных отраслей — нефтянка. Тем не менее вирус прошел их систему безопасности и зашифровал. Да, у них была резервная система, удалось быстро восстановить работу. Но есть информация, не могу утверждать, правда, что она на 100% достоверная, что на добывающих вышках у Роснефти датчики тоже пострадали. И, если бы, к примеру, давление резко возросло, то увидеть отклонения можно было бы только по печальным последствиям...
— Что заставило вас превратить это в бизнес?
— Это было наше давнее намерение. Это очень интересный сегмент рынка. Он интересен как комплексная система формирования безопасности компании. Проблема была в наборе необходимых компетенций, чем мы и занимались. С другой стороны, это вопрос популяризации проблемы безопасности в сознании людей, понимания того, что этим необходимо заниматься. Мы пришли к этому пониманию. По сути, ты приходишь в компании, каждая из которых уникальна, и в каждой из них делаешь что-то новое. Какой-то элемент творчества в этом присутствует.
«Поликлиника» для малого бизнеса
— У нас уже сложился рынок подобных услуг?
— Существуют конкуренты по отдельным элементам. Но серьезных конкурентов, способных выстроить систему безопасности компании так, чтобы она могла адекватно реагировать на угрозы, нет. Проблема остаётся только в том, чтобы грамотно донести до людей то, что мы можем делать. Не все понимают, зачем им это надо. Приходишь, начинаешь рассказывать, человек говорит: у меня есть «айтишник», давайте его пригласим. Сотрудник приходит и говорит: я в этом ничего не понимаю, расскажите. Приходится людей убеждать: мы не враги, мы не хотим выжить вас их компании, просто хотим взять на себя непрофильные для вас функции. Пример: заболел глаз. Человек пойдет к терапевту или окулисту? Конечно, к окулисту. Почему же, когда возникает угроза безопасности, люди идут к «айтишнику»? А не к специалисту по безопасности?
— Значит, надо целую «поликлинику» заводить?
— Зачастую да. Почему мы и имеем преимущество, потому что у нас есть специалисты по разным узким профилям.
— Сколько человек у вас работает?
— Более 20. Собирали их «с бору по сосенке». Очень сложно. Квалифицированных специалистов очень мало. Мы их привлекаем под проекты. Но есть и те, кто работает у нас постоянно.
— Насколько «Логасофт Безопасность» уникальна в масштабах России?
— В Москве есть структуры, которые занимаются аудитами IT-безопасности, есть те, кто занимается экономической безопасностью, социальной безопасностью... Но в комплексе всё не делает никто. Мы надеемся, что мы уникальны в этом плане. Может, потом появятся желающие. Но чаще бывает так, что компания, к примеру, провела аудит безопасности, составила отчет, а что дальше, — это уже головная боль заказчика. У нас есть опыт по защите IP-телефонии, когда бизнесу предлагают решения, самые дешевые из которых стоят на рынке от 15000 долларов. Понятно, что малый и средний бизнес их покупать не будет — для них это безумные деньги и решение избыточное. А решений, которые были бы индивидуальными, нет.
Импортозамещение не панацея
— Сейчас в рамках импортозамещения государственные структуры побуждают переходить на отечественный софт. В плане безопасности это оправдано? И, с другой стороны, насколько безопасно пользоваться продуктами тех же, Microsoft, Apple и пр.?
— Это неоднозначный вопрос. Здравое зерно в призыве «покупать отечественное» есть. Поскольку то оборудование, которое нам поставляется «из-за бугра» — это некий «чёрный ящик», никто не знает, не является ли он «ящиком Пандоры». Но есть и обратная сторона. Зарубежные компании, которые поставляют программное обеспечение, работают на рынке давно, у них оборот в сотни миллиардов долларов (если триллионов). Это означает, что они в состоянии тратить на разработку и поддержание своих продуктов намного больше средств, чем может позволить себе вся наша экономика. Здесь даже сравнивать смысла нет. Мы в этих аспектах существенно отстаем. Кроме того, никто ведь не говорит о том, что те продукты, которые будут сделаны нами, не будут содержать в себе фундаментальной уязвимости. Никто этого проверить не сможет, пока злоумышленник не атакует. Никто не может поручиться также, что наши разработчики будут абсолютно честными и не украдут программный код и (или) не встроят туда нечто, что позволит им впоследствии обогатиться.
— То есть импортозамещение — не панацея?
— Да. Возможно, здесь присутствуют некие политические аспекты, но всерьёз тягаться с мировыми лидерами... Достаточно посмотреть на мировые финансовые рейтинги компаний, где в 2015 году «локомотив» нашей экономики «Газпром» находился на 150-м месте по капитализации, а на первых были Apple и Google... Наших в лидерах даже близко не было. Как мы будем соперничать? У нас есть, конечно, отечественные разработки — материнские платы, чипы и т. д, но пока гораздо слабее зарубежных аналогов...
Полезный миф о «русских хакерах»
— Как обстоят дела с безопасностью в других странах?
— Когда в Америке или в Азии возникает вопрос безопасности, люди умеют считать риски. Понимают, что, если я, условно говоря, потрачу сегодня 10 000 долларов на закрытие уязвимостей, то в будущем сохраню миллион долларов. Они готовы тратить деньги, чтобы защитить себя в перспективе. К сожалению, в мире есть и обратная тенденция. Британские компании, к примеру, вместо того, чтобы вбухивать деньги в защиту информационных ресурсов, покупают биткойны, чтобы можно было откупаться от злоумышленников. Забавный процесс. А в России люди пока не готовы тратить деньги на безопасность. Возможно, это связано с тем, что многие всё ещё живут одним сегодняшним днем: «авось, пронесет»...
— Что можно сказать о шумихе, поднятой вокруг президентских выборов в США и участии в них «русских хакеров»?
— Это вопрос больших денег и целесообразности. Ведь независимо от того, кто президент Америки, её отношение к России не меняется. С одной стороны, она всегда политический противник, с другой, объект постоянных нападок — такая «мировая ось зла». В этой ситуации чем могло быть выгодно вмешательство российских спецслужб? Наверное, ничем. Трамп, Клинтон. Какая разница?! Всё равно политику там определяет не один человек. Есть ещё и сенаторы, и конгрессмены, и крупный бизнес. Поэтому я считаю наше участие маловероятным. Но, с другой стороны, это классная карта, которую можно разыгрывать. Есть враг — Америка. И наш президент дружит с врагом, который был выбран благодаря ему. А еще есть страх перед русскими хакерами. И благодаря этому многие IT-специалисты сейчас маскируются «под русских», для этого даже в код вируса вставляют комментарии на ломаном русском языке... Смех. Но «русский хакер» — это теперь мировой бренд. Кстати, один наш сотрудник рассказывал, что получил заказ на бирже фрилансеров в США, когда сказал, что он русский «айтишник». Ему сразу ответили: берем!
Лайфхаки от «Логасофта»
— Виталий, нет ли у тебя каких-то бесплатных советов, которыми можно было бы прямо сейчас поделиться с читателями «Самолёта»?
— Да, ради бога! Вот, пожалуйста, для обывателя из того, что мы увидели не так давно. Неприятная ситуация, потеряли банковскую карту. Ее нашли и вместо того, чтобы отнести в банк, сфотографировали и выложили ВКонтакте. Если квалифицированный злоумышленник находит эту фотографию, то даже без информации с обратной стороны карты он в состоянии увести с нее деньги. Есть новое направление «карж» — это когда с ворованной карточки заказывают в интернет-магазинах товары, получают, а потом перепродают. У некоторых карт, если несколько раз вводить неправильно код безопасности, в транзакции будут отказывать, но сама система не среагирует на то, что я ввожу неправильные цифры. И, в конце концов, возможно подобрать правильную комбинацию. Есть карты, которые это сделать не позволяют. Поэтому, совет, если вы карту нашли, не надо ее фото выкладывать в сеть. Отнесите ее в банк. Он сам найдет хозяина. Иначе вы можете человека просто поставить на деньги. А тому, кто потерял, просто надо сразу заблокировать карту и заказать новую.
Для юридических лиц в плане безопасности могу посоветовать следующее. Квалифицированные специалисты стоят дорого. И когда в компании айтишник получает копейки и при этом имеет доступ вообще ко всей информации, это большой соблазн. И большие риски для компании. Потому что в любой момент ему может прийти предложение от конкурентов или злоумышленников сделать так, что он будет не при делах, но поможет провести незаконную операцию. Большинство людей по причинам морального свойства откажутся, но достаточно одного, кто соблазнится предложением. А ведь IT-специалисты имеют доступ ко всему: к бухгалтерии, к логистике, к безопасности, к личным гаджетам руководства и пр. Поэтому на зарплату специалистов по IT-технологиям надо обращать внимание, чтобы они были верны компании. А если человеку платят мало, он не будет заботиться о финансовой безопасности компании. Здесь действует принцип: что ты мне, то я тебе. И если директор унижает сотрудников, орет на них, они ему верны не будут никогда. И еще. Даже если они верны директору, это не значит, что они верны компании: «я с тобой дружу, но деньги воровать буду». Как-то так...
**Управление «К» МВД России занимается пресечением фактов создания, использования и распространения вредоносного программного обеспечения, неправомерного доступа к компьютерной информации, незаконного оборота радиоэлектронных и специальных технических средств, а также нарушения авторских и смежных прав в сфере информационных технологий.
Беседовал Юрий Антушевич
СамолётЪ