Масштабы нелегального кибербизнеса трудно оценить, поскольку, как отметил Ник Росситер, глава российского представительства Symantec, киберпреступники не отчитываются о своих доходах, но ясно, что они не меньше объемов убытков; при этом далеко не обо всех преступлениях становится известно.

По информации, приведенной Ильей Сачковым, генеральным директором компании Group-IB, в 2009 году доход создателя среднего качества бот-сети составлял более 1,7 млн долл. в год. По данным Symantec, стоимость реквизитов одной кредитной карты на черном рынке достигает 30 долл. Соответственно, объемы бизнеса на краже личных данных могут достигать сотен миллионов долларов, например, в 2009 году из процессингового центра Heartland Payment Systems в Нью-Джерси и ряда торговых компаний было украдены данные на 130 млн карт. (В данном преступлении, помимо Альберта Гонсалеса, приговоренного по этому делу к 20 годам тюрьмы, согласно обвинительному заключению, участвовало, возможно, двое россиян.) Неудивительно, что компании, которые борются с киберпреступностью, сталкиваются с вполне реальными угрозами.

«У нас по определенным причинам нет аналитиков в Москве, — сообщил технический директор Trend Micro Раймунд Генес. — Ради уменьшения рисков наши ребята, русские или русскоговорящие, находятся в европейских офисах, в США, в Азии и других регионах». В США несколько сотрудников Trend Micro вынуждены были воспользоваться программой защиты свидетелей, после того как дали показания в суде против киберпреступников. Им пришлось изменить имя и место жительства.

«Люди, которые сейчас занимаются противоправными делами в сети, — это настоящие бандиты, — заявил Сачков. — Если вы рушите им бизнес, который приносит миллионы доларов, то, естественно, они готовы вам отомстить». Компании Group-IB выбивали стекла в офисе, ее сотрудникам разбивали окна в машинах и угрожали по телефону.

Слабая инфраструктура безопасности

В нашей стране борьбус киберпреступностью в цифровом поле, помимо слабого технического оснащения российских правоохранительных органов, по словам Сачкова, затрудняет практическое отсутствие центров реагирования на случаи нарушения информационной безопасности. В России существует единственный подобный центр — RU-CERT, который, по информации Group-IB, работает неэффективно. Для сравнения, в США насчитывается более 50 такого рода центров. При обращении в любой из них даже из-за рубежа информация проверяется и меры (например, по блокировке вредоносного ресурса) принимаются при наличии возможности в течение нескольких минут. Эти центры работают круглосуточно. Единственный отечественный CERT открыт для обращений с 10 до 18 часов по рабочим дням, однако, по словам Сачкова, инциденты, о которых туда сообщала Group-IB, не были обработаны в принципе. На неэффективную работу RU-CERT пожаловался и аналитик Trend Micro Максим Гончаров.


Сотрудничество с условием

Тесное сотрудничество компаний информационной безопасности с полицией и спецслужбами не исключает расхождений во взглядах на то, какие средства следует, а какие не следует применять при расследовании деятельности преступников. Для сбора компьютерной информации полиция и спецслужбы могут применять скрытое программное обеспечение, однако в Trend Micro, по словам ее технического директора Раймунда Генеса, существует определенная политика на этот счет.

«Меня журналисты часто спрашивают: 'Станете ли вы обнаруживать используемую властями программу Bundestrojaner?' или: 'Станете ли вы сотрудничать с германскими правоохранительными органами?' — рассказал Генес. — И я отвечаю: 'Если германские правоохранительные органы настолько глупы, что будут создавать многоцелевую вредоносную программу, мы ее обнаружим и заблокируем, даже не зная, что это Bundestrojaner, поскольку в нашей системе Smart Protection Network этот процесс полностью автоматизирован. В том случае если правоохранительные органы не будут использовать обычные шпионские программы, а разработают программы для слежения за конкретными людьми, Trend Micro не станет их обнаруживать. Если же программа глупая, применяет стандартную структуру командных серверов и IP-адреса, использовавшиеся 'плохими парнями', мы ее обнаружим, удалим и заблокируем. И такое уже случалось'», — сообщил Генес.