78% всех компаний в России за последние три года хотя бы раз сталкивались с экономическими преступлениями. К такому выводу пришли специалисты компании Group-IB. Чтобы помочь бизнесу, криминалисты разработали новый продукт — «Финансовые расследования». Что это такое? И какие виды криминала чаще всего реализуют мошенники? Об этом в программе «Цели и средства» ведущий “Ъ FM” Рамаз Чиаурели поговорил с руководителем Лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB Валерием Баулиным.
Фото: Group-IB
— Прежде всего давайте поговорим о видах криминала, с которыми вам чаще всего приходится иметь дело. Что это за киберпреступления?
— Во-первых, это связано с атаками вирусов-шифровальщиков, с утечками информации и финансовыми мошенничествами. Причина вполне понятная: многие либо уже ушли на «удаленку», либо уходят на нее, либо уже были на ней и уходят второй раз. Из-за этого многие, скажем так, конечные пользователи, которые подвергаются атаке и при этом связаны с корпоративной инфраструктурой, становятся менее безопасными. Потому что по разным причинам они стали меньше подконтрольны корпоративной структуре, у них появилось больше возможностей и связей с личной безопасностью, они стали более пугливы по отношению к тематикам, которые используют злоумышленники в части COVID-19 и социальной инженерии. То есть они с большей долей вероятности откроют письмо с темой «Результаты теста на COVID-19», либо СМС-сообщение, содержащее, опять же, фишинговую ссылку или что-то еще. Многие сотрудники, к сожалению, потеряли работу, либо у них была урезана часть заработной платы, из-за этого тоже количество утечек и финансовых преступлений существенно выросло. Поэтому, наверное, тренды такие — это целевые атаки вирусов-шифровальщиков, и, несмотря на простоту атаки, ущербы колоссальные, это утечки и это финансовые преступления.
— Давайте подробнее остановимся на вашем новом продукте для банков и корпоративных клиентов — на финансовых расследованиях. Что это такое? В чем его уникальность?
— Финансовые расследования — это такой вид услуги на стыке компьютерной криминалистики и финансовой аналитики, которые позволяют раскрывать мошенничества, связанные как раз таки с экономикой и финансами. То есть мошенничества на бирже, кражи и вывод активов, прочие махинации, направленные на обогащение, как правило, людей, которые являются сотрудниками компаний. Вторая категория — это внешние контрагенты, которые могут оказаться недобросовестными в части взаимоотношений и также нанести ущерб нашим клиентам. Исторически мы как раз занимались расследованием киберпреступлений, очень сильно прокачались как технические специалисты. Мы прекрасно понимаем, каким образом информация хранится, обрабатывается, удаляется, понимаем источники хранения тех или иных сведений — переписки, почта, мессенджеры, разных документов и так далее. И понимаем, что, опять же, все, что связано с финансовой деятельностью компании, структуры, представлено в электронном виде. Это могут быть поддельные договора, которые, например, в рамках корпоративной структуры пересылаются с одной почты на другую, при этом происходит параллельное согласование между участниками группы злоумышленников с помощью корпоративных, личных мессенджеров, адресов почты и так далее. Это могут быть телефонные переговоры, любые цифровые следы, которые могут открыть нам глаза на инцидент. Получается, что в современной структуре ни один инцидент не обходится без какого-либо цифрового следа. Чтобы эффективно провести финансовое расследование, необходимо получить максимально большое и полное количество данных, которое уже в дальнейшем будет передано на аналитику нашим финансистам и экономистам, которые, используя эти источники, будут искать те самые схемы махинаций, вывода денег, каких-то нарушений.
— Изучая материалы компании Group-IB, наткнулся на статистику, согласно которой подавляющее большинство компаний, практически четыре или пять раз за последние три года становились жертвами экономических преступлений. С помощью финансового расследования есть ли шанс исправить каким-то образом эти цифры?
— Сокращать эти цифры можно и нужно. Люди, которые совершают данные преступления, не до конца понимают ответственность. Даже, может быть, сотрудник, принимая участие в какой-либо махинации, всего лишь выполняет какую-то маленькую роль, при этом он понесет полную ответственность и получи вполне реальный срок, но он не понимает, что он совершает серьезное правонарушение. И с этим, например, мы боремся методом проведения обучения, то есть мы проводим корпоративные тренинги, связанные с тематикой защиты, обеспечения безопасности, и доносим ту самую ответственность до каждого рядового сотрудника, чтобы он понимал, что любые его действия потенциально могут привести к реальному ущербу, рискам, в том числе к реальным срокам. Это первая история.
Вторая история связана с тем, что довольно-таки во многих компаниях — это касается даже, например, IT-компаний — возможно, слабая база в части режима коммерческой тайны, в части приказов сотрудников о том, что они будут нести ответственность за распространение информации, составляющей коммерческую тайну. Это, на самом деле, очень важный момент, потому что, по сути, только на основе этого можно привлечь сотрудника к ответственности. Вторая категория — это как раз-таки аудиты финансово-хозяйственной деятельности, потому что зачастую инциденты, с которыми мы встречаемся, связанные с финансовыми махинациями, не разовые, они носят такой довольно-таки длительный характер. То есть мы видим, когда, например, из компании на протяжении трех-пяти лет проходили хищения небольшими суммами, но в итоге ущербы достигали сотни миллионов рублей.
Последний момент, наверное, самый суровый — очень важно любой инцидент расследовать. К сожалению, в России, наверное, в большей степени инциденты у нас не расследуются, не доводятся до логического завершения, до суда, до реального срока. А это должно быть очень показательным. В одно время мы боролись с некоторыми хакерскими группировками, в отношении, например, одного из наших клиентов — он довольно часто подвергался атакам разных компаний. После, скажем так, нескольких публичных кейсов совместно с нами, нескольких успешных задержаний, злоумышленники поняли, что в отношении этого банка, этого клиента работать не стоит, потому что он заботится о безопасности и вкладывается в безопасность и в расследования. Примерно то же самое должно быть в любой компании. Начиная от этапа найма и заканчивая этапом реального расследования кейса, все должно быть выстроено от и до. Если такие механизмы, такие регламенты, такие функции будут в компании реализованы, конечно же, это очень поможет снизить ту самую пугающую цифру.
— Финансовые расследования так или иначе должны привести к возбуждению уголовных дел, к переходу в некое правовое поле? Какая у вас позиция по этому вопросу?
— Любой кейс необходимо расследовать. Есть, конечно, ряд клиентов, которые, понимая, что суды — это долго и очень дорого, надеются на досудебное разбирательство. При этом понимая, что они все-таки понесут некий ущерб, возможно, рассчитывают, что договорятся со злоумышленником, который, к примеру, является бывшим акционером, топ-менеджером, который украл деньги из компании, что он вернет им хотя бы часть денег, но все же большинство доводят подобные кейсы до конца. Например, когда крадут деньги из компании, выводят эти активы, их выводят, как правило, за рубеж. Для того чтобы эффективно за рубежом эти деньги найти, арестовать счета и уже потом вернуть, необходимо иметь хороших партнеров-юристов, адвокатов на месте, учитывая понимание юрисдикции каждой страны в отдельности. Такие контакты налаженные есть. Конечно же, очень многие кейсы не обходятся без взаимодействия с правоохранительными органами — тут тоже есть определенное преимущество. Потому что, учитывая наше прошлое, многолетний наработанный опыт, есть люди, способные, понимающие, каким образом эти преступления расследуются, каким образом работают механизмы поиска и возврата активов и украденных денег. Любое злоупотребление должно быть наказано.