Вологодская область, 13 сен 2017, 11:15

Виталий Исаков — РБК: «Цель киберпреступников всегда — деньги»

Редактор РБК побеседовал с заместителем гендиректора компании «Логасофт Безопасность» о проблеме IT-безопасности компаний, о том, есть ли в Вологодской области рынок для таких услуг и за что в США ценят русских «айтишников».
Читать в полной версии
Виталий Исаков, заместитель генерального директора «Логасофт Безопасность»
(Фото: СамолётЪ)

В августе Центробанк направил российским банкам письмо с рекомендациями, которые должны помочь им защититься от потенциальной атаки с использованием вируса-шифровальщика. Ранее о возможной атаке предупредили в энергокомпании ФСК ЕЭС. Вирусы-шифровальщики блокируют доступ к компьютерам и шифруют содержащиеся на них данные, после чего хакеры требуют у жертв оплату за восстановление доступа к информации. За последние три месяца по миру прокатились две крупные волны кибератак с использованием таких вирусов — 12 мая компьютеры по всему миру атаковал вирус WannaCry, а 27 июня — вирус Petya.

И словно бы в ответ на эти угрозы в Вологде немедленно появилась новая компания, специализирующаяся на комплексной защите бизнеса от IT-угроз. «Логасофт Безопасность» — дочерняя структура известного вологодского предпринимателя Алексея Логанцова, основателя и руководителя группы компаний «Бизнес-Софт».

С заместителем гендиректора «Логасофт Безопасность» Виталием Исаковым мы встретились в тихом вологодском кафе «Красный мост».

Исаков, пока нам несут кофе, рассказывает, что компания лишь в июле получила статус юрлица и представляет своего шефа — Алексея Замятина, гендиректора «Логасофт Безопасность» и бывшего начальника отдела «К»* управления внутренних дел…

Безопасности «много» или «мало»?

— Сотрудничаете с силовыми структурами?

— Скорее стараемся от них дистанцироваться. Мы предоставляем услуги безопасности коммерческим компаниям, физическим лицам. 

И если появится информация, что мы сотрудничаем с кем-то из «силовиков», то последствия для нас могут быть фатальными.

Мы же предоставляем комплексную услугу, а не какое-то разовое решение. А если мы не дай бог, скомпрометируем себя…

— А что? Сотрудничество с «органами» — это всегда компрометация?

— Не обязательно. Какие-то элементы своей работы мы можем выполнять и для них. Причём, бесплатно. Например, в сегменте «социальная ответственность бизнеса». Можем, показать им, где у них слабые звенья, чтобы они могли защититься, чтобы информация, связанная с бюджетными деньгами, к примеру, никуда не ушла.

— Странно. Всегда казалось, что у них хватает своих специалистов…

— Приведу простой пример. У нас есть бюджетное учреждение «Центр информационных технологий». Из правительства была выделена структура, которая занимается обеспечением всех IT-потребностей правительства области и ряда других бюджетных учреждений. Зарплата там ниже средней по городу. Соответственно, идет отток квалифицированных кадров. А нагрузка у них запредельная. Может просто не хватать времени, чтобы обеспечивать безопасность. Тем более, что от них в первую очередь требуют, чтобы они обеспечивали функционирование систем, которые находятся под их контролем. И они это делают, потому что для них это приоритет.

А вопросы безопасности, как правило, остаются на втором плане. И еще потому, что здесь требуются несколько другие компетенции, а проверить результат никто не может. Нельзя же сказать, что безопасности «много» или «мало». Как это можно проконтролировать? Только, если случается какой-то негативный инцидент.

Поэтому возникает парадоксальная ситуация: IT-сегмент и безопасность могут находиться вообще по разные стороны. Когда бухгалтер говорит директору, что мы, мол, из-за недостатков ПО не можем провести, например, транзакцию — он это понимает. А вот, когда IT-специалист говорит, что надо обновить версию программы, потому что она уязвимая — для руководителя это звучит достаточно абстрактно. На что, кстати, злоумышленники и рассчитывают.

— Психология?

— Да. Часто приходится буквально на пальцах людям объяснять, где и какие последствия могут быть, если не заниматься безопасностью. Мы провели анализ клиентов и поняли, что в России очень плохо следят за безопасностью. Есть фундаментальные ошибки в конструировании системы безопасности и в отношении к этой проблеме людей. Мы столкнулись с забавной ситуацией: злоумышленников у нас воспринимают как «очкариков», которые сидят за компьютерами и «работают».

Но преступный мир шагнул далеко вперед. Сегодня это бизнес, сродни крупным корпорациям.

Там все выстроено по аналогичной схеме: есть директор, юридическая служба, бухгалтерия, существует разделение по направлениям, работает своя служба безопасности, поставлена конфиденциальность. Одна такая группа может состоять человек из пятиста, которые «ведут» клиента — от разработки каких-то его уязвимостей до обналичивания уже похищенных у него денежных средств. И представьте теперь, что такой машине в конкретной компании-жертве пытаются противостоять «полтора айтишника»?

Прямая и явная угроза

— А кто, кстати, является объектами таких злоумышленников?

— По сути все. Целью скорее является не конкретный человек, а некий субъект, у которого есть финансовые средства. Цель — это всегда деньги.

— Насколько актуальна эта проблема?

— Не обязательно тащить деньги из кошелька или с банковской карточки. Можно, к примеру, собирать компромат на компанию или человека и потом шантажировать. Можно зашифровать все жесткие диски компании, а потом потребовать выкуп, как недавно было с вирусами WannaCry и Petya.

Даже «Роснефть» признавалась, что пострадала. И это ведь одна из самых защищенных отраслей — нефтянка. Тем не менее вирус прошел их систему безопасности и зашифровал.

Да, у них была резервная система, удалось быстро восстановить работу. Но есть информация, не могу утверждать, правда, что она на 100% достоверная, что на добывающих вышках у Роснефти датчики тоже пострадали. И, если бы, к примеру, давление резко возросло, то увидеть отклонения можно было бы только по печальным последствиям…

— Что заставило вас превратить это в бизнес?

— Это было наше давнее намерение. Это очень интересный сегмент рынка. Он интересен как комплексная система формирования безопасности компании. Проблема была в наборе необходимых компетенций, чем мы и занимались. С другой стороны, это вопрос популяризации проблемы безопасности в сознании людей, понимания того, что этим необходимо заниматься. Мы пришли к этому пониманию. По сути, ты приходишь в компании, каждая из которых уникальна, и в каждой из них делаешь что-то новое. Какой-то элемент творчества в этом присутствует.

«Поликлиника» для малого бизнеса

— У нас уже сложился рынок подобных услуг?

— Существуют конкуренты по отдельным элементам. Но серьезных конкурентов, способных выстроить систему безопасности компании так, чтобы она могла адекватно реагировать на угрозы, нет. Проблема остаётся только в том, чтобы грамотно донести до людей то, что мы можем делать. Не все понимают, зачем им это надо. Приходишь, начинаешь рассказывать, человек говорит: у меня есть «айтишник», давайте его пригласим. Сотрудник приходит и говорит: я в этом ничего не понимаю, расскажите. Приходится людей убеждать: мы не враги, мы не хотим выжить вас их компании, просто хотим взять на себя непрофильные для вас функции. Пример: заболел глаз. Человек пойдет к терапевту или окулисту? Конечно, к окулисту. Почему же, когда возникает угроза безопасности, люди идут к «айтишнику»? А не к специалисту по безопасности?

— Значит, надо целую «поликлинику» заводить?

— Зачастую да. Почему мы и имеем преимущество, потому что у нас есть специалисты по разным узким профилям.

— Сколько человек у вас работает?

— Более 20. Собирали их «с бору по сосенке». Очень сложно. Квалифицированных специалистов очень мало. Мы их привлекаем под проекты. Но есть и те, кто работает у нас постоянно.

— Насколько «Логасофт Безопасность» уникальна в масштабах России?

— В Москве есть структуры, которые занимаются аудитами IT-безопасности, есть те, кто занимается экономической безопасностью, социальной безопасностью… Но в комплексе всё не делает никто. Мы надеемся, что мы уникальны в этом плане. Может, потом появятся желающие. Но чаще бывает так, что компания, к примеру, провела аудит безопасности, составила отчет, а что дальше, — это уже головная боль заказчика. У нас есть опыт по защите IP-телефонии, когда бизнесу предлагают решения, самые дешевые из которых стоят на рынке от 15000 долларов. Понятно, что малый и средний бизнес их покупать не будет — для них это безумные деньги и решение избыточное. А решений, которые были бы индивидуальными, нет.

Импортозамещение не панацея

— Сейчас в рамках импортозамещения государственные структуры побуждают переходить на отечественный софт. В плане безопасности это оправдано? И, с другой стороны, насколько безопасно пользоваться продуктами тех же, Microsoft, Apple и пр.?

— Это неоднозначный вопрос. Здравое зерно в призыве «покупать отечественное» есть. Поскольку то оборудование, которое нам поставляется «из-за бугра» — это некий «чёрный ящик», никто не знает, не является ли он «ящиком Пандоры». Но есть и обратная сторона. Зарубежные компании, которые поставляют программное обеспечение, работают на рынке давно, у них оборот в сотни миллиардов долларов (если триллионов). Это означает, что они в состоянии тратить на разработку и поддержание своих продуктов намного больше средств, чем может позволить себе вся наша экономика. Здесь даже сравнивать смысла нет. Мы в этих аспектах существенно отстаем.

Кроме того, никто ведь не говорит о том, что те продукты, которые будут сделаны нами, не будут содержать в себе фундаментальной уязвимости.

Никто этого проверить не сможет, пока злоумышленник не атакует. Никто не может поручиться также, что наши разработчики будут абсолютно честными и не украдут программный код и (или) не встроят туда нечто, что позволит им впоследствии обогатиться.

— То есть импортозамещение — не панацея?

— Да. Возможно, здесь присутствуют некие политические аспекты, но всерьёз тягаться с мировыми лидерами… Достаточно посмотреть на мировые финансовые рейтинги компаний, где в 2015 году «локомотив» нашей экономики «Газпром» находился на 150-м месте по капитализации, а на первых были Apple и Google… Наших в лидерах даже близко не было. Как мы будем соперничать? У нас есть, конечно, отечественные разработки — материнские платы, чипы и т. д, но пока гораздо слабее зарубежных аналогов…

Полезный миф о «русских хакерах»

— Как обстоят дела с безопасностью в других странах?

— Когда в Америке или в Азии возникает вопрос безопасности, люди умеют считать риски. Понимают, что, если я, условно говоря, потрачу сегодня 10 000 долларов на закрытие уязвимостей, то в будущем сохраню миллион долларов. Они готовы тратить деньги, чтобы защитить себя в перспективе. К сожалению, в мире есть и обратная тенденция.

Британские компании, к примеру, вместо того, чтобы вбухивать деньги в защиту информационных ресурсов, покупают биткойны, чтобы можно было откупаться от злоумышленников.

Забавный процесс. А в России люди пока не готовы тратить деньги на безопасность. Возможно, это связано с тем, что многие всё ещё живут одним сегодняшним днем: «авось, пронесет»...

— Что можно сказать о шумихе, поднятой вокруг президентских выборов в США и участии в них «русских хакеров»?

— Это вопрос больших денег и целесообразности. Ведь независимо от того, кто президент Америки, её отношение к России не меняется. С одной стороны, она всегда политический противник, с другой, объект постоянных нападок — такая «мировая ось зла». В этой ситуации чем могло быть выгодно вмешательство российских спецслужб? Наверное, ничем. Трамп, Клинтон. Какая разница?! Всё равно политику там определяет не один человек. Есть ещё и сенаторы, и конгрессмены, и крупный бизнес.

Поэтому я считаю наше участие маловероятным. Но, с другой стороны, это классная карта, которую можно разыгрывать.

Есть враг — Америка. И наш президент дружит с врагом, который был выбран благодаря ему. А еще есть страх перед русскими хакерами. И благодаря этому многие IT-специалисты сейчас маскируются «под русских», для этого даже в код вируса вставляют комментарии на ломаном русском языке… Смех. Но «русский хакер» — это теперь мировой бренд. Кстати, один наш сотрудник рассказывал, что получил заказ на бирже фрилансеров в США, когда сказал, что он русский «айтишник». Ему сразу ответили: берем!

*Управление «К» МВД России занимается пресечением фактов создания, использования и распространения вредоносного программного обеспечения, неправомерного доступа к компьютерной информации, незаконного оборота радиоэлектронных и специальных технических средств, а также нарушения авторских и смежных прав в сфере информационных технологий.