Pull to refresh

Кейс Group-IB: Как Илья Сачков за 10 лет построил лидера в области информационной безопасности

Reading time 8 min
Views 19K

Илье Сачкову 29 лет, что сравнимо со многими из нас, однако за последние 10 лет ему удалось развить собственный бизнес на специфическом рынке, став глобальным игроком за прошлый и текущий годы вопреки всему.

Начав на втором курсе вместе с друзьями, к сегодняшнему дню Group-IB выросла до трёх офисов (штаб-квартира в Москве, технологический кампус в Лондоне и открывающийся в «Иннополисе») и 117 человек в штате.

Мы попросили Илью поделиться собственным опытом, навыками и знаниями с читателями «Мегамозга» – получилось много и родился очередной «кейс».

— Илья, мы знаем, что ты учился в университете им. Н. Э. Баумана и именно там тебе в голову пришла идея создать собственную компанию. Она существует уже значительное время, у вас крупные проекты и серьезные результаты работы, как ты можешь охарактеризовать текущее состояние?


Путь был правильный. Как и любой, он содержал в себе ошибки, которые в момент совершения казались критическими, а сегодня это основа нашего опыта и то, чем мы руководствуемся в будущем. Пусть это ненаучно и не связано с бизнесом, но мы совершили все свои ошибки «вовремя», как в какой-то сказке.

Главный урок, вынесенный из всех ошибок: «Семь раз упал – восемь раз встань». Если что-то не получается – попробуй еще раз. Самая большая ошибка: бросать, или не начинать.

— Дополнительный вопрос – насколько это связано с уверенностью в собственных решениях?


Я, опять же, как, наверное, любой другой человек, не всегда уверен в собственных решениях, но, выбирая между «делать» и «не делать», выбор всегда в пользу первого варианта. И здесь же стоит добавить и собственную интуицию. Многие мои решения, основанные на «ощущениях», были верными (в выборке из 100, я бы сказал, что верными оказались 75-80%), часть ошибочными, но в любом случае я считаю, что результат хороший.

— Перейдём ко второму вопросу: что можно назвать главной ошибкой, или трудной задачей, или несколькими, возникшими на пути построения компании? Ведь мало кто знает, что это индустрия, отдельно существующий срез рынка. А для нас «инфобезопасность» по-прежнему в области какой-то фантастики. Изнутри это ощущается?


Да, есть такая проблема. Мы с ней сталкиваемся чуть иначе: большинство людей и предприятий воспринимает «информационную безопасность» странно. Но так как мы начинали с расследований, потребность у людей в наших услугах возникала, к сожалению, по аналогии с тем, как в случае серьезного заболевания мы идём ко врачу.

Когда у организации крадут большую сумму денег или корпоративные секреты (прим. ред.: речь идёт, конечно же, не о физических деньгах или данных) и она хочет восстановить последовательность действий злоумышленников, узнать, кто они, и, наконец, привлечь к ответственности, а также исправить собственные недостатки – у неё нет выбора, кроме как заняться «информационной безопасностью». Это то, что мы делаем.

В целом, конечно, рынок сложный. Но сейчас гораздо легче работать с людьми, спустя 10-12 лет, по сравнению с тем, как всё обстояло, когда мы начинали. На западном рынке всё очень просто, потому что это некий стандарт того, что должна делать любая уважающая себя компания – иметь некого подрядчика или подразделение внутри, занимающееся подобным, и это просто не обсуждается.

Сложности в России на данном рынке и его небольшой объем заставляют нас работать в других странах. Плюс, наше специфическое отношение к «безопасности» как к «опасности», которая, в свою очередь, пока не наступит, никого не волнует. Однако, многие компании стали уже гораздо более зрелыми – в первую очередь это банки, конечно.

— А можно ли углубиться до каких-то возможных пределов и рассказать о расследованиях? Это же очень интересно, как всё устроено изнутри?


В целом я, конечно, могу рассказать.

В нашей команде три блока: предотвращение, разработка, расследования.

Сначала о последнем – расследованиях. Этот блок нашей работы, в свою очередь, состоит из трёх разделов: (1) отдел расследований, (2) лаборатория компьютерной криминалистики и исследования вредоносного кода и (3) аналитический отдел.

Если у клиента есть проблема и нам необходимо провести расследование, для начала необходимо определить её тип.

Первый тип: в компании произошло нечто, повлёкшее за собой ущерб, и задачи компании, в первую очередь, минимизировать ущерб (вернуть деньги), найти виновного и, в случае, если человек или группа виновных лиц находятся в зоне юридической доступности (не в Африке), чтобы они понесли наказание в соответствии с законодательством той страны, где они находятся.

Первую часть работы выполняют компьютерные криминалисты либо аналитики. Тут нагляднее всего будет привести пример из реальной жизни – на место преступления, например, убийства, приезжают криминалисты (ищут отпечатки пальцев, части одежды и так далее), собирающие информацию с места преступления. Они же забирают тело, после получают информацию о вскрытии и расследуют дело. Это криминалистика, в нашем случае – компьютерная криминалистика. Основная работа происходит на месте преступления: дата-центр, сервера, и дополнительно в нашей лаборатории – сбор и анализ информации.

Криминалист отвечает на вопрос: «Что это было?» и даёт много аналитических данных. Всё это поступает в отдел расследований, в реальном мире правоохранительных органов информация попадает к человеку с хорошими аналитическими способностями, способному восстановить всю цепочку событий и привести это к некоторому итогу. Похоже на работу следователя, у нас этот человек называется «цифровой расследователь». Это аналитик высокого уровня, с большим опытом работы, в том числе и в поле.

В подчинении этого человека находится отдел аналитики, задача которого – найти в нашей «базе знаний» и в открытых источниках недостающие факторы: никнеймы, IP-адреса, примеров таких данных множество.

Если идёт DDoS-атака на интернет-издание, аналитик должен восстановить и полноту картины: какие издания еще (помимо «пациента») атаковались, как долго, и так далее, видны ли отличительные признаки атаки (возможно, она связана с темами, освещаемыми изданием).

Например, в РФ был случай атаки нескольких медиа-ресурсов, и объединяющим фактором была рекламная площадка (баннерообменная сеть). После этого мы узнали, что действительно шёл крупный тендер, в котором атакуемая сеть была участником конкурса, и таким образом её пытались «выкинуть».

— Илья, ты рассказал о работе изнутри, и это очень интересно, а какой совет ты можешь дать тем компаниям, которые находятся «в зоне риска»? Или это абсолютно все компании?


Изменить образ мышления и образ действия. Оценить собственные риски – вы работаете в определённой сфере, каковы её риски? От чего вы должны защищаться?

Хипстерский магазин, продающий бабочки – какие у них могут риски? Ну, вроде никаких. Однако в интернет-магазине есть интернет-банкинг, из которого можно украсть деньги, а не будет денег – не будет бабочек. В их случае зоной риска является компьютер, на котором работает генеральный директор либо главный бухгалтер, часто это одно лицо или один компьютер. Нужно понимать, что может произойти.

У крупного интернет-проекта совершенно другие риски, то есть в первую очередь нужно о них знать и правильно их оценивать.

— Профилактика исключает лечение?


Кроме профилактики важно знать также правильную последовательность действий в случае неблагоприятного развития какой-то ситуации.

Вот происходит момент «Х» – что мы делаем? Какие конкретные действия?

И вопрос не в подрядчике. Процесс реагирования на инциденты – основной способ избежания ущерба. В большинстве ситуаций у компании есть дни, а порой и считанные часы для того, чтобы решить проблему, и если бы она знала порядок действий, то всё могло бы быть в порядке.

— Паралич?


Все бегают, ссорятся, никто ничего не понимает. Последствия ущерба будет сложно восстановить (деньги ушли — обналичены), цифровые доказательства потеряны, «социальные» цепочки и доказательства утеряны или разрушены. У серьезной компании есть документ не больше 1-й страницы, который подробно отвечает на вопрос: «Что мы делаем, если у нас происходит Х?»

— Илья, теперь вопрос другой – что бы ты «передал» будущим конкурентам, тем, кто сейчас хотел бы только заниматься инфобезопасностью?


Все эти годы мы видели большое количество стартапов: европейских, американских, даже российских в области информационной безопасности. Чтобы стартапу выжить в этой области нужно сделать две простых вещи:

1. Внимательно смотреть на мировой рынок. Это из собственного опыта, так как прежде, чем начинать заниматься новым направлением деятельности, мы детально анализировали конкурентов, еженедельно. При этом мы не копировали модели работы отдельной компании, пытаясь адаптировать её к нашим реалиям – мы проанализировали рынок, поняли различия и начали работать.

Многие компании думают только в рамках «прикольной идеи», задумываясь о реализации во вторую очередь. Это типичная проблема, но факт в том, что если определенный рынок или ниша заняты компанией с оборотом в $12 миллионов, то вероятность, что вы займёте хотя бы малейшую долю этого рынка, тем более работая из России, крайне мала. У вас должно быть мощное технологическое преимущество, либо вы должны оперировать из другого места и не рассчитывать на внутреннего клиента, так как у нас 3% мирового рынка.

Делайте хороший анализ, due diligence конкурентов, прежде чем выходить с новыми продуктами и услугами.

2. Понятное дело – не сдаваться. С первого раза не получается ни у кого, у некоторых уходят десятки попыток. Но если вы сделали первый шаг верно (идея, сервис, технология, упаковка, продажи) и готовы конкурировать, ведь даже если вы уникальны — конкуренты быстро найдутся.

Но, согласно теории вероятности, пройдя определённое количество повторов, если вы не сдались – рано или поздно вы придёте к тому, к чему стремились.

— А каков твой прогноз относительно дальнейшего развития инфобезопасности в России в общем и вашей компании в частности? Скажем, на ближайший год.


— Сейчас у нас происходит то, что характеризуется неприятным мне словом «импортозамещение». Если компания строит свой бизнес исходя из этого тезиса, то я думаю, что глобально и на длинной дистанции она умрёт, так как, еще раз, мы — 3% мирового рынка.

Российские товары из разряда интеллектуальной собственности в области инфобезопасности крайне сложно продвигать из России, глобально. Размер компании не важен – у российских гигантов в этой области точно такие же проблемы.

— Такое ощущение, что ты подводишь к мысли, что глобальная конкуренция – это хорошо.


Это хорошо, но это и сложно. Мы делаем многое для того, чтобы не надеяться на «импортозамещение» и быть в состоянии адекватно конкурировать и на западе. К примеру, мы точно знаем, что не сможем продать своё железо в США или в Англию – кто поставит российское железо внутри сети? Мы можем продать что-то такое, что никуда ставить не нужно и что даёт клиенту весомую ценность с первой минуты использования – у нас такой продукт есть. В самый пик внешнеполитической напряжённости мы продали своё решение в Нидерланды, Германию, США и т.д. Как ни странно – именно в те страны, которые присоединились к санкциям против РФ, включая Австралию и Новую Зеландию. Это наш Cyber Intelligence.

Ну а если у вас железо, которое физически должно где-то присутствовать – то быть российской компанией безумно сложно и советов тут мало: whitelabel с крупным партнёром либо иностранная прописка. В случае SaaS’а, например, без доступа к корпоративной сети и установки на компьютер – то это пугает гораздо меньшее количество потребителей на Западе.


— И последний вопрос, Илья, мы не могли не задать его. Ты встретился с Владимиром Путиным на конференции и рассказал ему о собственном решении, по «Фейсбуку» до сих пор гуляют твои фотографии с президентом. Тебе что-то дала эта история и эта встреча?


Отвечу кратко. Во-первых, мне было приятно, что президент оценил нашу технологию. Во-вторых, я был искренне удивлён, что президент понимает то, чем мы занимаемся, с учетом того, что «сведущих» в принципе немного.

Владимир Путин свою осведомлённость выдал, задав очень специфический вопрос, который мог задать один из 2000 людей в мире. И я уверен, что его не готовили, так как вопрос был связан именно с данными. То, что первое лицо государства по достоинству оценивает твой продукт, конечно, приятно.

Во-вторых, из моего LinkedIn удалились 16 человек – в основном англичане и американцы, некоторые даже написали, что, мол, «будем на связи». Однако компания попросила убрать их логотип с нашего сайта из раздела «Клиенты». Пожалуй, это всё.

С точки зрения бизнеса встреча ничего не поменяла и мы идём по плану. Мы нацелены на использование преимуществ нашего продукта, никак не связей. Мы как врачи – мы за технологию, мы не можем быть за болезнь. То, чем мы занимаемся, вообще вне политики, так как мы за информационную безопасность, со всех сторон.
Tags:
Hubs:
+10
Comments 1
Comments Comments 1

Articles