«Мы не берем на работу хакеров — у них нет принципов»

— Сразу хотел бы предупредить, что я не хочу разглашать названия компаний, с которыми мы работаем, и рассказывать о тонкостях нашей технологии, — объяснил в начале интервью Алиханов.

— Представьте, что люди зарабатывают в даркнете гигантские деньги, и тут появляется какой-то стартап, который хочет с ними бороться. Как считаете, нам нужна большая публичность? Вы не найдете о DeepHound информацию в интернете. Чем меньше о нас знают, тем лучше.

— Интернет, которым мы все привыкли пользоваться, составляет лишь 4% от всего веб-пространства. Это открытый интернет, то есть то, что мы видим: разнообразные сайты, соцсети, «Википедия» и многое другое. Остальные 96% интернета — это его невидимая часть.

Половину ее занимает дипвеб (Deep Web — прим. Rusbase) доступные, но не индексируемые поисковиками сайты, а также страницы, куда можно попасть только с помощью пароля. Нижняя часть интернет-айсберга — это даркнет (Dark Web или Darknet — прим. Rusbase). Туда заходят уже с помощью специальных программ, например, Tor. Общение в даркнете предполагает полную анонимность.

— Да кто угодно, ведь это не противозаконно. В основном, это технически подкованные люди, которые умеют использовать нужный софт. По американским данным, в мире 40 миллионов пользователей даркнета. Думаю, что в России счет идет на десятки тысяч (по данным Tor Metrics, в России на данный момент используют Tor около 215 тысяч человек, при этом лишь часть из них посещает с помощью него даркнет — прим. Rusbase). Из-за того, что в даркнете все происходит анонимно, он превратился в площадку для общения и совершения различных сделок между киберпреступниками и мошенниками.

— Если говорить о финансовой сфере, то это продажа краденых или потерянных кредитных карт вместе с пин-кодами, слив информации от сотрудников банков, торговля данными о богатых клиентах и многое другое.

— С помощью нашего поиска мы находили сайты, где продают оружие — в любых количествах. Автоматы Калашникова, пистолеты «Глок», боеприпасы... Это не единичные случаи, а вполне сформированные черные рынки. Видели множество форумов, где продают наркотики. То еще зрелище.

— Эпизодически у них получается. Можно вспомнить историю площадки Silk Road, которую в 2013 году прикрыли агенты ФБР. Проблемой преступности в даркнете занимаются все ведущие страны. Лидеры в этой области — США и Израиль. В этих странах существует несколько проектов поиска в даркнете. В Штатах это Flashpoint и Palantir. Последний, насколько мне известно, сыграл ключевую роль при поимке террористов. У израильтян есть Sixgill.

— По моей информации, ничего. Все проекты, о которых мы слышали — например, что-то пытались сделать в Сколково — оказывались пустышками. Возможно, существует какой-то поиск у спецслужб. Мы о нем ничего не слышали.

— Мы сделали платформу DeepHound, с помощью которой можно мониторить весь интернет — открытый, глубокий и даркнет. Так как мы специализируемся на финансовой кибербезопасности, то поиск в основном касается банковской сферы — мы можем предупредить банк о наиболее актуальных внешних угрозах, например, утечке информации.

— Представим, что банк — это дом, в котором кто-то открыл форточку. И наружу потекли конфиденциальные данные о клиентах, платежах, счетах, номерах кредитных карт. Всю эту информацию можно продать в даркнете. Ее покупатели — хакеры, которым нужно точно знать, кого атаковать, чтобы не тыкать пальцем в небо. Задача DeepHound — собрать статистику, сделать скоринг угроз, проанализировать их и оповестить клиента.

— Конечно, мошенники не общаются на обычном языке. Дураков там нет, IQ у этих ребят очень высокий. У них существуют и специальная терминология, и шифрование, чтобы если дело вдруг дойдет до суда, было невозможно ничего доказать. В этом и суть нашего поиска — понять, что угроза касается именно этого конкретного банка, даже если его название не упоминается, а авторы всех объявлений анонимны.

Когда планируются финансовые махинации на миллионы долларов, преступники не сидят все вместе в кафе, ломая голову, как провернуть дело, а работают из разных стран. Их роли распределены: есть исполнители, заказчики, посредники и даже финансовые гаранты. Планируя атаку, они ищут человека, который расскажет, где точка уязвимости банка. То есть сотрудника безопасности банка или просто человека «изнутри». Во многих банках самая большая угроза связана именно с угрозой инсайда.

— У нас имеется такая статистика, но я не могу ее озвучить. Есть и перечень уязвимости различных банков с точки зрения кибербезопасности. В нашем архиве сейчас 12 миллионов записей, связанных с самыми разнообразными угрозами в банковской сфере на территории России. Это данные по отмыванию денег, инсайдам, продаже дубликатов карт ведущих банков и многое другое. Другими словами, мы знаем о многих угрозах — и вчерашних, и завтрашних.

— Я один из партнеров компании Locus Private Equity, которая занимается консалтингом и фандрайзингом для инновационных компаний. В нашем портфеле — несколько российских и зарубежных проектов, в том числе компания, которая занимается производством возобновляемой энергии. В какой-то момент мы решили, что тоже хотим приложить руку к созданию стартапа. Мне повезло с моим партнером с Алексеем Авраменко — бывшим топ-менеджером крупнейшей госкомпании, который долгие годы своей карьеры занимался серьезными разработками в области кибербезопасности.

Думаю, что сегодня Алексей — один из самых продвинутых и информированных людей в этой сфере в стране. Когда мы познакомились и начали общаться, стали думать, что можем вместе сделать. Для нас было важно, чтобы проект был инновационным, технологичным и решал фундаментальные проблемы, актуальные в любой точке мира.

— Потому что я много лет проработал в большом финансовом бизнесе — в группе компаний «Ренессанс Страхование» и швейцарской группе Zurich. Мы понимали, что есть много проблем, связанных с фродом (от англ. Fraud — мошенничество — прим. Rusbase), что финансовые махинации могут быть внутренними и внешними и что ущерб от них только растет. Вот вам цифра: по официальным американским данным, потери банковского бизнеса в США из-за кибермошенничества составили в 2016 году более 500 миллиардов долларов.

— Нет, Центробанк их не публикует. В Штатах закон заставляет банки отчитываться. У нас это серая зона.

— Существующие решения что-то умеют и что-то отсекают. Но это процентов 25–30. Главная проблема заключается в том, что существующие подходы не дают должного эффекта. Лидером на рынке с точки зрения борьбы с фродом является американская компания SAS, но она отвечает только за внутренний периметр. «Касперский» решает проблему кибератак на банковскую систему, но не занимается мониторингом внутренних угроз.

Group-IB помогает расследовать кибермошенничества, у нее есть компетенции, специалисты и лаборатории. Ни у кого нет платформы, которая в автоматическом режиме позволяет мониторить угрозы, касаемые отдельно взятых банков.

— Технология состоит из нескольких частей. Это и машинное обучение, и система скрытого мониторинга и обработки данных. По отдельным кускам информации, которую DeepHound находит в открытом интернете, дипвебе и даркнете, мы собираем определенный пазл. Это непросто и требует много серьезного программирования. Поисковик собирает информацию автоматически, по ключевым словам. При этом он не должен себя выдавать — мы ведь тоже должны защищать себя от хакеров.

— Мы ничего не взламываем. Если мы сами боремся с мошенниками, то не можем опускаться до их уровня. Во-первых, о любом взломе все равно станет известно, и наша репутация будет испорчена навсегда. Во-вторых, поверьте, в публичном интернете тоже можно найти много всего интересного. Нажатием одной кнопки специальные алгоритмы ищут профили пользователя в соцсетях, выстраивают социальный граф человека, анализируют его поведение и так далее.

— Людям очень сложно изменить свой социальный граф, они всегда ведут себя одинаково — и в публичной сети, и в Tor. DeepHound умеет сравнивать поведение пользователей и сопоставлять мельчайшие сходства. Всю технологию, как мы вычисляем мошенников, я рассказать не могу. Есть много тонкостей. Иногда нам может помочь сам банк — если человек уже под подозрением, нам могут сообщить, например, в какое время сотрудник находился в отпуске. Это сильно облегчает поиск, и мы с вероятностью до 95 процентов можем вычислить человека по датам и перемещениям.

— Три банка — два российских и один западный. Не могу их назвать из-за соглашения о конфиденциальности (по информации Rusbase, иностранный клиент входит в «большую четверку» банков Британии).

— В российском банке мы совсем недавно вычислили двух сотрудников, которые сливали информацию на сторону.

— Это уже внутреннее дело банка. Мы также не можем оценить ущерб, который нанесли два этих сотрудника, так как просто не видим цифры. Вообще же мы имеем кейс на каждый крупный российский банк — в виде выкладки угроз, существующих для каждого из них. Мы показываем эти данные топ-менеджерам банков во время встреч, когда договариваемся о сотрудничестве. Некоторые руководители банков хватаются за голову.

— Нет. Наша задача — предупредить банк о наиболее критичных угрозах для их бизнеса. Говоря простыми словами, мы сообщаем клиентам, что в такое-то время и на такой-то площади соберется народ, который хочет их ограбить. Наша платформа видит всю логику и механизмы и с большой вероятностью может предотвратить процессы, имеющие отношение к отмыванию денег и кардингу. Слышали об историях, когда сливаются данные кредитных карт, после чего мошенники снимают деньги? DeepHound способен это предотвратить.

— У нас был этап переговоров, они попросили показать кейс. Мы настроили систему, поискали актуальные для них угрозы, показали статистику. После некоторых раздумий и консультаций клиент сказал «да», скоро мы запускаем пилот.

Вообще с западными банками намного комфортнее и приятнее общаться, чем с российскими. Для них очень важен вопрос репутации, они на встречах прямо так и говорят. Представьте, к примеру, что произойдет с репутацией J.P. Morgan, если широкой публике станет известно о том, что из банка происходит утечка данных о персональных картах или паролей состоятельных клиентов. Для западных банкиров это страшный сон.

Со временем мы планируем открывать офисы в Нью-Йорке и Лондоне. 57 процентов рынка фрода находится в Северной Америке и только 16 процентов — в Европе. А российский рынок для нас совсем маленький — меньше 1 процента от глобального.

— У нас решение по модели SaaS: мы даем клиентам доступ к системе и настраиваем все интерфейсы. Стоимость обслуживания зависит от количества пользователей и тех модулей, которые они хотят использовать. Средний чек — $120 тысяч в год, что — для сравнения — меньше, чем годовая зарплата сотрудника по информационной безопасности крупного западного банка.

— Лишь то, что может иметь отношение к банку. Допустим, банк интересует все, что имеет отношение к инсайду. И поиск показывает всю информацию — ники, цифры и тому подобное. Система чаще всего настроена автоматически и выдает еженедельные отчеты, которые касаются тех или иных угроз.

— Нет, нам интересна вся финансовая сфера. Мы планируем начать сотрудничество со страховыми и консалтинговыми компаниями, платежными системами, заглядываемся на фондовый рынок, который страдает от инсайдов о котировках акций. Мы только начинаем свой разбег в общении с клиентами, думаю, скоро в нашем портфеле их будет гораздо больше.

— Если государство к нам обратится, мы поможем, это не вопрос. DeepHound способен мониторить угрозы, связанные с наркотиками, оружием и терроризмом. Но вообще это уже такая социальная история. А мы все же про деньги.

— Пока мы не привлекали инвестиции со стороны, развиваемся на собственные деньги. Сумма вложений измеряется сотнями тысяч долларов.

Базовый продукт у нас есть, но чтобы сделать скачок на следующий уровень, конечно, понадобятся инвестиции. Мы ищем не просто деньги, а правильного партнера, который будет понимать этот рынок. Если удастся договориться с фондами в ближайшее время, то через два года мы создадим уникальный продукт — российский Palantir, ничуть не хуже.

— Его нужно научить еще многим вещам. Например, раскрывать анонимы в даркнете — понимать, что за люди сидят там физически. Наша первая задача — доработать продукт и автоматизировать все бизнес-процессы. Система уже умеет искать на четырех языках. Мы бы очень хотели, чтобы DeepHound определял конкретное время атак, с точностью до дня. Хотим усовершенствовать прогноз вероятности наступления событий.

Для этого нам надо перейти на другой уровень машинного обучения. Сейчас мы ищем в команду сильного математика, который поможет нам доработать определенные алгоритмы. Таких людей на рынке единицы и стоят они очень дорого.

— Хорошие программисты, которые имеют опыт в криптографии и информационной безопасности.

— Мы очень внимательно смотрим, кого берем. Если запустим хакера к себе внутрь, то легко окажемся в ситуации, в которой уязвимы. Хакер — человек у которого нет принципов. Наши же ребята хотят не создавать, а решать проблемы. Фундамент команды — шесть ключевых сотрудников, которые знают друг друга очень давно. Это далеко не случайные люди.

— Не скажу про мир, но в России действительно много хороших хакеров. Но не меньше хороших специалистов по кибербезопасности.