«Бизнесу пришлось экстерном проходить проверку на прочность»

Гендиректор Group-IB в России и СНГ Валерий Баулин о киберсыщиках и киберпреступниках

После начала военных действий на Украине многие российские IT-компании, которые работали на глобальном рынке, столкнулись с рисками из-за западных санкций. Для сохранения международного присутствия одна из крупнейших российских компаний в области кибербезопасности Group-IB в июле создала в РФ автономную структуру, управление которой передала локальному менеджменту. Гендиректор Group-IB в России и СНГ Валерий Баулин рассказал “Ъ”, как компания адаптируется к новым условиям и как сказался на ее репутации арест основателя Ильи Сачкова.

Валерий Баулин

Фото: Дмитрий Духанин, Коммерсантъ

— Как начало военных действий на Украине изменило картину киберпреступности в России и СНГ?

— В РФ рекордно растет число кибератак, в некоторых сегментах — на порядок с начала года. С февраля бизнесу в России и СНГ пришлось экстерном проходить проверку на прочность, и могу сказать, что не все оказались готовы. Подтверждение тому — выложенные в открытый доступ базы данных компаний: в мае мы фиксировали рост таких инцидентов втрое по сравнению с мартом.

Не все утечки были на самом деле свежими и настолько опасными, как о них говорили. Но факт остается фактом — защиту компаний «пробивали».

За лето выложили 140 баз данных против 73 весной.

Также к финансово мотивированным злоумышленникам добавились проправительственные группировки, как русскоязычные, так и иностранные, для которых стала целью дестабилизация деятельности тех или иных организаций. Это происходит по всем регионам страны. Подняли головы и хактивисты, как всегда на фоне геополитических конфликтов.

— Как изменилась структура и цели атак?

— С большим отрывом сохраняется тренд атак вирусов-шифровальщиков, а также DDoS-атак. Но если DDoS — временная опасность, которая на какой-то небольшой период дестабилизирует компанию, но не убьет, то вирусы-шифровальщики могут полностью остановить бизнес компании. Могут возникнуть проблемы с выплатами зарплат, исчезнут данные заказчиков. Сначала казалось, что эта угроза направлена скорее на большие корпорации для дестабилизации экономики страны. Но сейчас тренд выглядит как причинение вреда любым российским организациям, независимо от масштаба.

— Образ хакера с определенной национальностью, будь то русский или украинский,— реальность или мифология?

— Мы всегда говорим «русскоязычный», потому что «русский хакер» привязывает его к стране проживания, что может не соответствовать действительности. Понятие «русский хакер» скорее медийное, а вообще «талантливых» и нечистых на руку хватает везде. И атаковать они могут откуда угодно, киберпреступность трансгранична.

— Как за последние месяцы изменились те, кто стоит за инцидентами?

— Если раньше портрет киберпреступника — это технически подкованный гик, зачастую самородок, который смог разобраться, как работает BIOS (basic input/output system, «базовая система ввода-вывода».— “Ъ”), как разработать вредоносное ПО, как выявить уязвимость в инфраструктуре, далее разобраться во внутренних системах и украсть деньги, то теперь все иначе. Сегодня портрет злоумышленника размыт, киберкриминал слишком разношерстный. В этой сфере как никогда низкий порог входа и высокое разнообразие ролей.

— Потому что появились скрипты для атак?

— Да, максимально готовый набор решений, при помощи которых можно взломать инфраструктуру и зашифровать ее, с подробной технической инструкцией. Это напоминает франшизу, благодаря которой чуть ли не школьник мог совершить атаку.

Есть второй новый тип злоумышленников, которые объединяются в целые стартапы, группировки. У них свой HR, R&D, отпуска, система мотивации — все как положено. Причем кто-то шел на риск сознательно, а иногда люди, работающие в «компании», даже не знали, что совершают преступление. Например, человек приходил устроиться на должность пентестера (тестирование на проникновение,— “Ъ”), проверяет компанию на предмет ее устойчивости, а по факту взламывает реальную инфраструктуру, а его «коллеги» совершают преступление.

— Такие «компании» работают удаленно?

— У русскоязычной группировки Conti (обнаружена в 2020 году, специализируется на вымогательстве путем шифрования и публикации данных компаний, в апреле спровоцировала введение чрезвычайного положение в Коста-Рике,— “Ъ”) были офисы, причем дорогие — их условиям могут позавидовать многие. Именно сотрудники, которые не подозревали, чем реально занимаются, чаще сидели в офисе: это была на вид достойная работа с высокими зарплатами. В таких «компаниях» есть сотрудники, которые разрабатывают вредоносное ПО, пишут код, есть ребята, которые занимаются проникновением и взломом, есть часть команды, которая занимается только финансами, когда деньги уже украдены и их надо обналичить. Это полноценный бизнес с разделением ролей, долей и ответственности.

— Вы отметили, что распространяются скрипты и инструкции для шифровальщиков. С февраля их стало больше?

— За последние полгода выросло все, что касается киберкриминала. Появилось гораздо больше желающих атаковать российскую инфраструктуру, увеличилось количество баз данных, которые сливают в результате взломов любых компаний. Даже неважно, насколько критичны те или иные данные, важен сам факт того, что компании хорошо и успешно «пробиваются», а следовательно — контролируются. И это подстегнуло рынок к проактивной деятельности.

— К вам чаще обращаются до или после инцидента?

— В первом полугодии количество реагирований Group-IB на инциденты выросло в четыре раза. Например, эпидемия вирусов-шифровальщиков добралась до малого и среднего бизнеса. Новых обращений было много всегда, но сейчас еще больше. Компании стали больше внимания уделять защите от цифровых рисков — атак на бренды, защите от мошенничества с использованием их названий, различных скам-схем, количество которых всегда растет в кризисные периоды.

— Спрос выше со стороны государства или бизнеса?

— Выручка от государственных структур, то есть тех, где единственным владельцем является государство, у нас в общем объеме не превышает 1%. Коммерческий сегмент всегда был главным приоритетом.

— У вас были контракты по киберкриминалистике с МВД и с Департаментом информационных технологий Москвы. Соотношение работы с государственными и частными структурами изменилось после ареста Ильи Сачкова?

— Киберкриминалистика — это поиск «цифровых следов» совершения преступления, проведение компьютерной экспертизы с помощью наших технологий и знаний. Представьте, что в компании было совершено хищение, финансовая махинация, в результате которой были выведены деньги. Компания обращается в полицию, грубо говоря, «пишет заявление».

Представители полиции могут обратиться к нам для исследования цепочки, которая привела к хищению: анализируются цифровые носители, исследуются журналы событий, выявляются, допустим, факты захода под чужими паролями, с чужих устройств, и так далее. Так формируется доказательная база о том, что Иван Иванович причастен к преступлению. Пример примитивный, для того чтобы было понятно, о каком взаимодействии идет речь и на что может быть заключен контракт: в итоге бенефициаром этого криминалистического исследования является бизнес, то есть пострадавшая от мошенничества компания.

Такие обращения у нас были и есть.

Для нас это форма частно-государственного взаимодействия — единственный возможный вариант для того, чтобы не только установить личность преступника, в чем помогаем мы, но и привлечь его к ответственности, что является полномочиями исключительно правоохранительных органов.

— Речь идет только о Москве или о регионах тоже?

— Мы сотрудничаем и в Москве, и в регионах. Люди, которые хотят бороться с киберпреступностью, есть везде. Так, небольшие частные компании, которые занимаются у себя в регионе кибербезопасностью, могут обращаться к нам за поддержкой. Например, мы оказываем услуги реагирования на инцидент, более серьезную экспертную поддержку на уровне взаимодействия с правоохранительными органами.

— Весной были случаи, когда зарубежные партнеры и клиенты останавливали взаимодействие?

— Были примеры, когда в России с нами работало представительство с головной компанией за рубежом, но они довольно быстро пришли к диверсификации, и локальная часть зарубежной компании была продана российскому менеджменту, и их инфраструктура осталась на месте. А зарубежные компании продолжили работать с нашим международным бизнесом.

— Разделение бизнеса Group-IB на «внешний» и «внутренний» закончено?

— Этап диверсификации завершен: Group-IB в РФ выведена из международной структуры финансово и юридически. Международный холдинг, куда входят активы в Азии, Европе и на Ближнем Востоке, не включает Россию. Отечественная структура полностью самодостаточна и операционно ни от кого не зависима.

— Вы будете взаимодействовать с «внешним» офисом?

— Безусловно. Group-IB исходно строилась по принципу автономии: каждый офис был максимально независимым, со своей экспертизой, технологиями, инфраструктурой и так далее. Невозможно эффективно бороться с киберпреступностью в каком-либо регионе, не имея там экспертов, которые занимаются сбором локальных данных и реагированием на инциденты.

Но важно понимать, что киберпреступность не имеет границ: каждый наш продукт и каждый сервис имеет одну цель — остановить злоумышленников. Поэтому обмен экспертизой на уровне специалистов по реверс-инжинирингу, компьютерной криминалистике, техническим индикаторам, тактикам должен сохраниться, и мы поддерживаем эту связь.

— Были сотрудники, которые после начала военных действий на Украине или в ходе разделения компании решили эмигрировать и работать за рубежом?

— Нет, никакой новой миграции не произошло. У нас программа релокации действует с 2019 года. У сотрудников всегда была возможность переехать. Но то, на что рассчитывал российский рынок,— нанять дополнительно тех, кто работал на зарубежные компании, ушедшие с рынка, не удалось: многие уехали за рубеж вместе с уходящими фирмами.

— Цены на ваши продукты и услуги будут расти из-за нагрузки?

— Цены у нас практически не увеличились, по отдельным сегментам были скорректированы в связи с тем, что стоимость работы людей начала меняться, и это завязано на себестоимости продуктов.

Но мы понимаем, что многие компании ввиду неопределенности на рынке и так несут массу внебюджетных расходов, и поднятие цен на продукты и услуги по кибербезопасности не привлечет новых клиентов.

— Вы намерены привлекать дополнительные инвестиции, например, через биржу?

— Нет.

— Почему?

— Это не самоцель. В России у нас нет таких планов. Моя ключевая задача на текущий момент — обеспечение органического роста компании в РФ и СНГ и усиление ее позиций на рынке. IPO российского актива и прочие долгосрочные финансовые стратегии мы пока не обсуждаем.

— С момента ареста вашего основателя Ильи Сачкова по подозрению в госизмене прошел почти год. Если у вас не изменился портрет клиента и вы продолжили взаимодействие с госсектором, то какие изменения все же произошли?

— Мы приложили все усилия, чтобы для клиентов и партнеров не изменилось ничего. С того момента мы вывели на рынок два новых продукта, один из которых — по управлению поверхностью атаки — не имеет аналогов в России. Как оказывали технологическую поддержку клиентам на должном уровне, так ее и оказываем. В плане работы компании тоже ничего не поменялось. Для Ильи главное — это Group-IB, и мы стараемся сохранить ее в любых условиях и пишем ему об этом письма.

— То есть вы полагаете, что репутация компании не пострадала?

— Group-IB — достаточно яркое явление на рынке кибербезопасности страны. Отношение к компании изменилось даже в лучшую сторону, хотя и недоброжелателей прибавилось. Но люди стали поддерживать нас за независимость, а Илью — как непримиримого борца с киберпреступностью. И мы продолжаем нести его миссию — защищать от киберпреступников.

— Илья знает, что компания разделена?

— Да, и согласен с этим решением. Конечно, если бы кто-то спросил его об этом год назад, ответ был бы отрицательным, для него компания была неделима. Но в текущих условиях это единственно верное решение.

— Есть мнение, что для развития бизнеса лучше «отделить господина Сачкова от компании». Вы с этим не согласны?

— Даже не обсуждается. Он всегда будет ее основателем.

— Вы сами раньше занимались киберкриминалистикой. Что это за работа?

— Еще до Group-IB у меня был опыт проведения компьютерных экспертиз, накоплен технический бэкграунд. Несколько лет занимал должность заместителя руководителя лаборатории компьютерной криминалистики.

Исходно это была чисто техническая позиция, дальше мы немного сместились в сторону бизнеса, я начал формировать и выводить на рынок новые услуги: так появился ретейнер по реагированиям на инциденты, услуги по поиску следов компрометации в инфраструктуре, услуги по восстановлению инфраструктуры после инцидента, eDiscovery (криминалистическая процедура, при которой эксперты анализируют миллионы файлов и отбирают лишь небольшую часть релевантных данных, связанных с инцидентом.— “Ъ”). Мы перешли от реактивного формата услуг к проактивному, то есть научились предотвращать инциденты, в том числе повторные, а не расследовать их уже после случившегося.

Затем стал руководителем Лаборатории компьютерной криминалистики, первой в России и крупнейшей в Восточной Европе. За 2019–2021 годы ее выручка в структуре доходов Group-IB удвоилась, а от направления обучения кибербезопасности — выросла более чем в пять раз.

— Какие у вас KPI на должности гендиректора?

— Мои основные KPI: увеличить число клиентов на 125%, выручку — более чем на 50%. В разрезе продуктов и сервисов, что называется, сохранить и приумножить. Например, по реагированиям на инциденты Group-IB уже номер один на российском рынке. Мы создали это направление здесь с нуля и сейчас занимаем более 40%, планируя нарастить долю.

В сегменте киберразведки моя задача укрепить лидерство — долгое время у нас здесь не было конкурентов. В этом году появились, но их умение видеть угрозы и объем данных пока очень далеки от наших. Мы формировали свою базу уникальных знаний об угрозах, отдельных атакующих и группах более 15 лет. Мы занимали в прошлом году более 60% этого рынка и видим все основания для увеличения доли в этом году.

Не все продуктовые KPI готов раскрыть, но часть из них касается системы предотвращения кибератак класса XDR (расширенное обнаружение и реагирование на сложные угрозы и целевые атаки.— “Ъ”). Последний квартал мы достигли рекордных 150% роста по количеству пилотов XDR. Мои KPI, скажем так, еще агрессивнее. По направлению защиты бренда и борьбы с пиратством — задача не только удержать, но и обеспечить рост продаж за счет выхода в новые сегменты.

Баулин Валерий Владимирович

Родился в 1986 году в Саратове. В 2009 году окончил Саратовский государственный университет имени Чернышевского по специальности «компьютерная безопасность», получил дополнительную квалификацию «переводчик в сфере профессиональных коммуникаций».

Работает в Group-IB с 2010 года. В 2012 году занял должность руководителя лаборатории цифровой криминалистики и исследования вредоносного кода. Принимал участие в анализе деятельности таких преступных групп, как Carberp, Anunak, Buhtrap, Corcow, Cobalt, MoneyTaker, Cron.

В 2021 году возглавил департамент Group-IB Cybersecurity Services, объединивший лабораторию цифровой криминалистики, отдел обучения и CERT-GIB. На этой должности создал направление по обучению киберпрофессиям будущего. В июле 2022 года был назначен региональным директором Group-IB по России и СНГ.

Group-IB

Group-IB основана в 2003 году, занимается разработкой решений для предотвращения кибератак, борьбы с мошенничеством и защиты брендов от цифровых рисков.

В 2010 году получила инвестиции от LETA Group в обмен на 50% компании. В 2013 году основатели выкупили акции обратно. В 2016 году для выхода на зарубежные рынки компания получила финансирование от фондов Altera Capital и Run Capital. Group-IB отдала каждому по 10% акций. В 2017 году Altera Capital увеличила свою долю в компании до 25%.

В июне 2019 года открылась новая глобальная штаб-квартира компании в Сингапуре. Он также стал первым государством-клиентом Group-IB. В ноябре 2020 года открылся офис компании в Амстердаме, в мае 2021 — в Дубае. 28 сентября 2021 года гендиректор и один из основателей компании Илья Сачков был арестован по подозрению в госизмене. С тех пор он находится в СИЗО. Пост главы Group-IB занял сооснователь компании Дмитрий Волков.

В июле 2022 года активы Group-IB в России и странах СНГ были переданы новому юридическому лицу — ООО «Адаптивные технологии безопасности». Среди его учредителей — основатель Group-IB Илья Сачков (37,5%), гендиректор и сооснователь Group-IB Дмитрий Волков (25%), ООО «Альтера Капитал» (25%) и ООО «Киберинвест» (12,5%). Российское ООО возглавил Валерий Баулин. Штаб-квартира ООО находится в Москве, компания является резидентом «Сколково» и «Иннополиса» (Татарстан). Число сотрудников в России — более 550 человек. Позже Дмитрий Волков продал свою долю.

20 апреля 2023 года компания Group-IB объявила о продаже своего российского бизнеса местному менеджменту. На отечественном рынке организация будет работать под брендом F.A.C.C.T.

В 2010 году компания проводила экспертизу DDos-атаки против платежного сервиса Assist, по обвинению в которой был арестован Павел Врублевский. В 2017 году Group-IB смогла связать хакерскую группу Lazarus Group с Северной Кореей. В 2021 году помогла поймать группу мошенников Италии, торговавших поддельными QR-кодами о вакцинации против COVID-19. Group-IB помогала в аресте участников группы Carberp в 2013 году, ТМТ/SilverTerrier в Нигерии в 2020 и 2022 годах, казахстанского хакера Fxmsp в 2020 году.

У компании более 550 корпоративных клиентов, среди которых: «Роскосмос», правительство Москвы, Сбербанк, ВТБ, «Тинькофф», «Ростелеком», МИД, МВД, СКР, МТС, «Билайн», ТАСС, «Первый канал» и многие другие. Кроме того, компания сотрудничает с ФСБ, МВД, является официальным партнером Интерпола и Европола.

У Group-IB более 120 патентов и заявок на них. Под управлением глобальной штаб-квартиры Group-IB Global Private Ltd (Сингапур) находятся центры исследования киберугроз в Европе, Азиатско-Тихоокеанском регионе и на Ближнем Востоке.

Интервью взяла Татьяна Исакова

Вся лента