Илья Сачков
Бурный рост IT-сектора в России имеет не только положительную, но и негативную сторону, проявляющуюся в беспрецедентном расширении рынка киберпреступности. Компьютерный криминал становится все более изощренным, глобальным, захватывая новые сегменты рынка и опережая реакцию законодателей. Как бороться с этими тенденциями и что должно быть сделано по линии международного сотрудничества и реформирования национального российского законодательства? Специально для бюллетеня Пульс кибермира на эти вопросы ответил Илья Сачков, генеральный директор компании Group-IB, лидера российского рынка по оказанию услуг в области расследований инцидентов информационной безопасности и компьютерных преступлений.
ПУЛЬС КИБЕРМИРА: Насколько совершенна и актуальна существующая сегодня в России нормативно-правовая база в части противодействия киберпреступности? Какие изменения могли бы повысить ее практическую эффективность и в чем основная проблема развития законодательства в сфере борьбы с киберпреступностью? Насколько оправдано и целесообразно было бы присоединение РФ к Конвенции Совета Европы «О киберпреступности»?
САЧКОВ: Существует распространенное мнение о том, что российское законодательство в области противодействия преступлениям в сфере компьютерной информации является крайне слабым и несовершенным. На самом деле в нашей стране используются те же правовые механизмы, что и на Западе. Например, девять составов преступлений, которые в большинстве стран признаны как киберпреступления, у нас отражены в трех статьях главы 28 Уголовного кодекса РФ в совокупности с другими составами. Это, кстати, дает российскому УК больше пространства для маневрирования, так как в данном случае — в отличие от Будапештской конвенции «О киберпреступности» — отсутствует жесткая привязка к конкретным составам преступлений. Будапештская конвенция была составлена более 10 лет назад и сегодня не учитывает некоторые современные виды киберугроз. Соответственно, она уже не является столь актуальной, как на момент своего принятия. Нашему же Уголовному кодексу такой модернизации не требуется.
Однако это не означает, что никаких изменений проводить не следует. В 2011 г. в главу 28 УК РФ были введены дополнительные квалифицирующие признаки, удалены некоторые узкие понятия, добавлены меры ответственности. Эти изменения в целом носили положительный характер. Но не следует останавливаться на достигнутом. Необходимо еще доработать понятийный аппарат, расширить квалифицирующие признаки по существующим составам преступлений и внести новые – например, рассылку спама, которая во многих странах обоснованно признана уголовным преступлением. Все это поможет актуализировать российскую нормативно-правовую базу.
Но заниматься решением проблем киберпреступности исключительно на национальном уровне было бы непростительно. Хакеры не имеют национальности и могут нанести удар из любой точки мира. Поэтому необходимо развивать всеми возможными способами международное сотрудничество в данной сфере. Однако это не означает, что России нужно бездумно принимать правила игры, предлагаемые другими странами. Положения Будапештской конвенции — а именно, статья 32 — позволяют правоохранительным органам одного государства проводить оперативно-разыскные мероприятия на территории другого государства, что является неприемлемым нарушением принципов государственного суверенитета. В таких условиях я считаю присоединение России к Конвенции Совета Европы нецелесообразным. Только в случае ее изменения в части вопросов, затрагивающих суверенитет государств, и модернизации с целью отражения имеющихся на сегодня угроз возможна будет ратификация этого документа со стороны Российской Федерации.
ПУЛЬС КИБЕРМИРА: Каковы на сегодняшний момент основные тенденции российского рынка киберпреступности? Какие виды кибермошенничества и киберпреступности могут стать угрозой для граждан РФ в ближайшем будущем и какие решения Group-IB предлагает в рамках борьбы с ними?
САЧКОВ: Российский рынок киберпреступности нацелен исключительно на получение сверхприбылей. Именно с этим связано увеличение количества компьютерных преступлений в кредитно-финансовой сфере. В 2011 г. интернет-мошенникам в России удалось похитить 942 млн долл. Чтобы совершать столь масштабные хищения, компьютерные злоумышленники стали создавать устойчивые группы с централизованной системой управления. При этом киберпреступники активно сотрудничают с представителями традиционной преступности, которые помогают первым обналичивать похищенные средства. Таким образом, приходится говорить о постепенном сращивании двух преступных миров — реального и виртуального, что не может не вызывать опасений.
В рамках задачи сдерживания дальнейшего расширения российского рынка киберпреступности Group-IB выступает за проведение активных мероприятий по идентификации личности злоумышленника и его привлечению к ответственности. Наши специалисты оказывают содействие пострадавшей стороне при расследовании любых инцидентов в сфере компьютерной информации. Благодаря активной позиции и постоянным нововведениям нам удалось завоевать определенный авторитет среди экспертного сообщества, что помогает взаимовыгодно обмениваться данными и услугами. И нам приятно, что эту позицию заметили на самом высоком уровне. Так, в конце 2011 г. нас аккредитовал Координационный центр национального домена сети Интернет (КЦ доменов RU/РФ) в качестве компетентной организации для противодействия незаконному использованию доменов в целях фишинга, распространения вредоносных программ и управления бот-сетями.
Полагаю, что в ближайшем будущем наиболее распространенным видом киберпреступлений станут так называемые сетевые атаки на популярные бренды. Все чаще в интернете злоумышленники, прикрываясь известными торговыми марками, атакуют обычных пользователей. В итоге компании теряют репутацию, а их клиенты — деньги. Мы уже разработали и активно применяем инструменты противодействия таким угрозам, причем наши услуги в этом направлении строго дифференцированы и позволяют учитывать специфику и запросы компаний из разных отраслей экономики.
ПУЛЬС КИБЕРМИРА: Как осуществляется сотрудничество Group-IB с правоохранительными органами РФ по вопросам борьбы с киберпреступностью? Какие факторы препятствуют более конструктивному сотрудничеству российских компаний, работающих в сфере информационной безопасности, с правоохранительными органами РФ по вопросам борьбы с киберпреступностью?
САЧКОВ: Правоохранительные органы активно привлекают наших сотрудников в качестве специалистов при расследовании тех или иных преступлений. В основном это делают подразделения МВД и ФСБ России, специализирующиеся на противодействии компьютерным злоумышленникам. По их запросам мы проводим криминалистические исследования, исследования вредоносных программ, помогаем разобраться в технических особенностях совершенных преступлений, готовим аналитику. В итоге при нашем участии периодически удается ликвидировать крупные преступные группы. Например, весной 2011 г. при содействии Group–IB были нейтрализованы три группировки, специализирующиеся на хищениях денежных средств в системах интернет-банкинга.
Насколько я знаю, правоохранительные органы нашей страны конструктивно сотрудничают со всеми значимыми игроками российского рынка информационной безопасности. Проблема заключается в другом: нет диалога с представителями бизнеса. Например, сегодня в России редкий банк возьмется оказывать содействие полиции при расследовании мошенничества; при этом правоохранительные органы всячески критикуются якобы за бездействие. Только трехстороннее сотрудничество полиции, бизнеса и независимых криминалистических организаций будет способствовать привлечению киберпреступников к реальной ответственности.
ПУЛЬС КИБЕРМИРА: Какой позиции Вы придерживаетесь в отношении закона 139-ФЗ? Как скажется ли принятие закона и исполнение его участниками интернет-сектора на ситуации с киберпреступностью в РФ?
САЧКОВ: Государство должно принимать меры по защите пользователей — и в первую очередь детей — от вредоносного контента в интернете. Под словом «вредоносный» я подразумеваю любой контент, который так или иначе может навредить пользователю. Поэтому закон такого рода необходим. Однако я не увидел в законе решения центрального вопроса — наказание виновного. Ведь основная задача заключается не в том, чтобы заблокировать сайт, а в идентификации злоумышленника и привлечении его к ответственности.
Если говорить о технической стороне вопроса, то главное здесь — это создание единого интерфейса и формата обмена данными, описывающих ресурсы, которые содержат незаконный контент. Процесс унификации и стандартизации в этой сфере необходим для развития полномасштабной инфраструктуры, способствующей оперативному обмену информацией между техническими средствами связи ответственного ведомства и телекоммуникационными операторами.
Все разговоры относительно внедрения систем глубокой проверки сетевых пакетов (DPI) с моей точки зрения нецелесообразны. Черные списки интернет-ресурсов должны формироваться и утверждаться превентивно, то есть группой экспертов, а не интерактивно по причине многогранности данного вопроса как на нормативном, так и на организационно-техническом уровнях.
Трудно ответить на вопрос, как отразится 139-ФЗ на состоянии российского рынка киберпреступности. Для того чтобы эффективно противостоять правонарушениям в киберпространстве, запретительных мер недостаточно. Российские провайдеры должны обратиться к зарубежному опыту и перенять у коллег практику осуществления политики нулевой терпимости относительно любого случая нарушения. Не надо тратить силы на постоянные споры и критику правоохранительных и регулирующих органов; не надо ждать требований заблокировать вредоносный контент. Нужно проявлять инициативу и самостоятельно вычищать собственные сети. Вот это реально скажется на ситуации с киберпреступностью в нашей стране.
ПУЛЬС КИБЕРМИРА: Входят ли вопросы безопасности критической инфраструктуры, – включая инфраструктуру глобальной сети и ее российского сегмента, – в круг интересов Group-IB? Какие угрозы безопасности инфраструктуре интернета существуют в РФ в настоящее время?
САЧКОВ: Group–IB занимается расследованиями любых инцидентов информационной безопасности, и если подобные инциденты затрагивают критическую инфраструктуру, они также попадают в круг наших интересов. Это в полной мере касается и защиты инфраструктуры российского сегмента глобальной сети. Поэтому мы и получили статус компетентной организации при КЦ доменов RU/РФ.
Если говорить об организации деятельности по обеспечению информационной безопасности на государственном уровне, то я считаю, что в первую очередь необходимо обеспечить защиту энергетической инфраструктуры. Кроме того, особо пристально следует отнестись к защите транспортной инфраструктуры и опасных производственных объектов, где используются автоматизированные системы управления. К этой же категории я бы отнес жизнеобеспечивающие подсистемы городской инфраструктуры.
ПУЛЬС КИБЕРМИРА: Какое влияние оказывает распространение облачных технологий на ситуацию с информационной безопасностью в РФ и, в частности, на уровень киберпреступности? Использует ли Group-IB облачные технологии в своей деятельности?
САЧКОВ: Облачные сервисы действительно стали использоваться бизнесом более широко, чем раньше. Однако пока что в реальности критическая информация все же не выносится в облака, а остается внутри компаний. Поэтому взломов таких сервисов, работающих на рынке B2B (бизнес-бизнес), на данный момент зафиксировано крайне мало. Потери в основном несут обычные пользователи, так как их аккаунты взламываются так же легко, как ящики электронной почты. Если говорить о Group–IB, то мы не стесняем своих сотрудников в использовании облачных сервисов, но внимательно следим за тем, чтобы утечек конфиденциальной информации не происходило.
Выходные данные cтатьи:
Интервью И.К.Сачкова для бюллетеня “Пульс кибермира” 19 ноября 2012 г.