Ежегодно в России фиксируется рост числа киберпреступлений: в 2020 году их стало почти в два раза больше по сравнению с 2019 годом. Это связано не только с быстро развивающимися технологиями, но и с тем, что "виртуальные" преступники придумывают все более изощренные схемы для своих ловушек. В марте 2020 года в Следственном комитете РФ был создан специальный отдел для расследования киберпреступлений, а год спустя региональный инжиниринговый центр (РИЦ) SafeNet Национальной технологической инициативы (НТИ) и Санкт-Петербургская академия СК РФ заключили соглашение, в рамках которого эксперты РИЦ SafeNet обучат российских следователей раскрывать преступления с использованием IT-технологий. О том, как проходит обучение силовиков, какие существуют уловки для расследования киберпреступлений, и какие новейшие программы для отслеживания преступников через соцсети могут появиться в России, рассказал в интервью корреспонденту РИА Новости Дарине Хануне эксперт инжинирингового центра SafeNet Игорь Бедеров.
– Эксперты РИЦ SafeNet в марте 2021 года подписали соглашение с представителями СК РФ, в рамках которого на безвозмездной основе обучат представителей власти расследованию преступлений с использованием IT-технологий. Как проходит обучение сотрудников СК РФ? Чему их обучают?
– В рамках научного сотрудничества с Санкт-Петербургской академией Следственного комитета РФ предполагается создание учебных материалов: лекций, вебинаров, обучающих видеороликов и методических пособий по нескольким темам. Это основы исследования криптовалют, инструментарий и приемы проведения расследований в Telegram, основы исследования интернет-сайтов, идентификация владельцев телефонных номеров по открытым данным и владельцев адресов электронной почты пользователей социальных сетей. Помимо этого, проходит обучение основам изучения фотоматериалов в сети, методикам получения данных о пользователях по геолокации и так далее.
За последние семь лет число преступлений, совершаемых при помощи современных технологий, выросло более чем в 45 раз. И эта статистика имеет тенденции к дальнейшему ухудшению. Постепенно становится ясно, что старыми средствами преступность в интернете победить не удастся. Основная идея нашего сотрудничества со Следственным комитетом в том, чтобы обучить большое число сотрудников правоохранительных органов практическим методам и приемам работы по предупреждению и расследованию преступлений, совершаемых с помощью информационно-телекоммуникационных технологий.
Мы специально отошли от скучных теоретических занятий. На наших лекциях решили давать только "соль" – то есть именно те методы и приемы, которые применяются в деятельности расследователей в частных компаниях и за границей.
Например, мы берем аспект изучения криптовалют и разбираем его именно в том ключе, который нужен следователю: как отследить транзакции, какие есть программные продукты для этого, как обойти дополнительные средства анонимизации транзакций, как наладить контакт и получение данных от представителей криптовалютных бирж. Мы рассказываем об альтернативных методах идентификации владельцев криптовалютных кошельков и перспективах развития криминалистической науки в этой области. Затем мы берем анонимный мессенджер Telegram и рассказываем о существующих четырех основных методах идентификации пользователей в нем: по телефону, по цифровому отпечатку, публичным пользовательским данным и геолокации. Даем ссылки на доступное программное обеспечение и рассказываем о различных лайфхаках. Это первые две лекции, которые мы уже даем на курсах повышения квалификации для сотрудников СК. По обеим готовы методические пособия – очень яркие и наглядные.
Наша основная идея в том, чтобы обучить широкие массы правоохранителей практическим методам и приемам работы по предупреждению и расследованию преступлений, совершаемых при помощи информационно-телекоммуникационных технологий. Кроме этого, мы хотели бы, чтобы государство направило работу институтов государственного развития на работу с технологиями и стартапами, которые можно использовать в правоохранительной деятельности. Создало реальные условия для сотрудничества последних с правоохранительными органами.
– Как проходит обучение выявлению потенциально запрещенного контента? Какой вид противоправного контента наиболее часто встречается в сети?
– К "популярному" противоправному контенту можно отнести материалы порнографического характера, в том числе с участием несовершеннолетних, базы данных, содержащие персональную информацию граждан, коммерческую тайну, рекламу запрещенных товаров и услуг (в 90% это касается незаконного распространения наркотиков) и иные материалы (террористического и экстремистского характера, суицидальные сообщества и так далее).
Чтобы найти такой контент, необходимо обладать знанием того, как устроена работа популярных поисковиков, какие специальные формы запросов в них существуют, и как ими пользоваться. Это позволяет сотрудникам правоохранительных органов и волонтерам в ручном режиме мониторить сетевое пространство и выявлять запрещенный контент. Ручной труд непродуктивен, поэтому мы обязательно рассказываем о тех программных продуктах, которые сегодня способны выявлять опасные материалы в сети и пересылать их на блокировку. Кроме этого, мы говорим и о способности современных решений не только реагировать на появление запрещенного контента постфактум, но и предупреждать риски, связанные с отклоняющимся поведением отдельных граждан, массовыми акциями протеста.
Сегодня мы создаем внутри страны решения для структур безопасности, которые потенциально превосходят западные аналоги и являются уникальными. Именно поэтому наш опыт, как разработчиков, крайне важен для сотрудников правоохранительных органов, поскольку позволяет понять существенную разницу между тем, что есть сейчас, и тем, к чему следует стремиться.
– После трагедии в Казани планируется ли усилить контроль за размещаемой пользователями информацией о планируемых противоправных действиях и как?
– Да, планируется. Мы уже проговаривали эту необходимость с общественными организациями. Проблема в том, что сегодня нет средств для полноценного мониторинга сети. Общественные организации, как правило, не имеют средств на закупку дорогого программного обеспечения. Не хватает кадров и поддержки со стороны государства и институтов гражданского общества.
У правоохранительных органов ситуация обстоит примерно так же. Их функция по предупреждению преступлений работает слабо, а количество сотрудников не позволяет им справляться с "переезжающей в сеть" преступностью. Многие ОВД намерены закупать ПО для мониторинга сети. Бюджеты ОВД на инновации и сервисы в среднем составляют 200 000 рублей в месяц. Помимо этого, как это было в Петербурге год назад, всех учителей могут обязать контролировать аккаунты своих учеников в соцсетях и выявлять у них отклоняющееся поведение или иные деструктивные тенденции. О появлении последних учителя должны уведомлять ОВД. Кроме этого, есть общественники, которые уже делают эту работу. Например, Леонид Армер и его Молодежная служба безопасности при помощи наших сервисов выявляют потенциально опасное поведение в сети. К примеру, на днях они сумели предотвратить два суицида подростков.
– Что происходит с выявленной потенциально опасной информацией? Как дальше с ней работают правоохранители?
– Большая часть противоправного контента идет на блокировку. Это означает, что российские провайдеры услуг интернета обязаны будут запретить клиентам переход на веб-страницы, содержащие запрещенные материалы. Правда, чаще всего подобную блокировку пользователи обходят при помощи средств анонимизации своего сетевого трафика (VPN и VPS-сервисы). В отдельных случаях правоохранительные органы могут начать предварительную проверку или расследование по факту публикации тех или иных материалов.
На сегодняшний день вероятность запуска расследования зависит лишь от возможности, то есть наличия у правоохранителей возможности по идентификации распространителей запрещенного контента. Преступники не сидят на месте и каждый день совершенствуют свои навыки и технологии, тогда как используемое властями ПО не обновляется или не получает достаточного внимания. За 2020 год эффективность расследования кибермошенничеств и виртуального терроризма в России, например, не превысила 9%.
– Как происходит идентификация пользователей в сети? Как она позволяет сократить количество преступлений, совершенных через соцсети и связанные с криптовалютами? В целом, много ли таких преступлений выявляется ежегодно?
– Смотрите, несмотря на существующие проблемы, выявить факт преступления или подготовки преступления несложно. Есть методики и есть программное обеспечение. Их просто нужно совершенствовать и внедрять в оперативно-следственную деятельность.
Проблема возникает, когда из абстрактного пользователя мессенджера или социальной сети, связанного с противоправной деятельностью, нужно получить конкретное физическое лицо. Особенно, если мессенджер (социальная сеть, блог, форум, сайт) зарегистрирован за границей и не горит желанием отвечать на запросы из далекой России. Именно в этом состоит основная проблема низкой раскрываемости интернет-преступлений.
Важно понимать, что расследование "преступлений будущего" попросту немыслимо без сбора и анализа больших данных. В рамках научного сотрудничества с Академией СК мы предложили работающий прототип системы идентификации пользователя сети по его электронно-цифровому следу (digital fingerprint). Мы предположили, что, собрав в единый массив данные провайдеров услуг связи, а также данные логов пользователей популярных сайтов в рунете, можно успешно идентифицировать конкретное устройство пользователя – его телефон, планшет, компьютер. Причем внутри страны мы сможем идентифицировать даже тех пользователей, которые используют средства анонимизации.
– Как выявляется причастность закрытых аккаунтов к экстремистской и террористической деятельности?
– Правоохранительные органы традиционно идут по пути написания запросов в IT-компании на получение пользовательских данных. Однако эта методика показывает все меньшую и меньшую эффективность – это заметно по росту числа запросов и увеличению количества преступлений, совершаемых при помощи технологий. Помимо этого есть осведомители и люди, которые искренне хотят помочь правоохранителям и присылают много сообщений в компании и в правоохранительные органы. Так было, например, с чатами виртуальных минеров в социальных сетях. В Выборге год назад неизвестные "заминировали" торговый центр "Атриум" от имени 15-летней девочки. На электронную почту УФСБ РФ пришло письмо, подписанное именем школьницы, в котором говорилось, что в определенные день и время произойдет минирование в этом ТЦ. Злоумышленники взломали соцсети и электронную почту подростка и направили от ее имени это сообщение. Позднее подобные письма стали рассылаться и в другие организации, например, на адреса электронных почт судов Адмиралтейского, Петроградского, Калининского, Петродворцового, Василеостровского, Курортного и Красногвардейского районов Петербурга.
– Много ли таких аккаунтов в сети? Растет ли или сокращается их число ежегодно?
– Статистики по росту таких сообществ или профилей злоумышленников не может быть в принципе. Однако если учесть необходимость злоумышленников постоянно расширять число своих аккаунтов для общения, распространения вредоносного ПО, вымогательства и иной противоправной деятельности, то получается, что они могут увеличивать число своих социальных и иных аккаунтов ежегодно в 2-3 раза.
– Как обнаруживаются посты, скрытые под замок? Какие программы и методы для вскрытия таких учетных записей и постов применяются?
– Пока для раскрытия таких постов и записей власти вынуждены направлять запросы в IT-компании и ждать ответа от них. Других методов пока не существует.
– Как правоохранители могут следить за сомнительными личностями и связанными с политикой в сети?
– Большинство пользователей имеют смартфоны с приложениями: это соцсети, почта и так далее. Но мало кто смотрит на то, какие разрешения и доступы в телефон получают такие приложения. Обычно это доступ к телефонной книжке, звонкам, фотографиям и видео, геолокации. Соответственно, все эти данные попадают из мобильного приложения к администрации сервиса, а от нее по запросу – в правоохранительные органы. В 2017 году американцы показали иной способ наблюдения – ADINT. Это системы отслеживания перемещений пользователей и получения их рекламного профиля из крупнейших рекламных площадок (поисковиков и социальных сетей). Российские правоохранители пока такие ПО не используют.
В рамках курса SafeNet предлагает силовикам разработать единое автоматизированное рабочее место (АРМ) специалиста по расследованию преступлений в интернете. Оно позволит автоматизировать и стандартизировать сбор и анализ информации по геолокации, имени, никнейму, телефону, почтовому адресу, IP-адресу, домену и другим идентификаторам пользователя в сети. Сотрудник правоохранительных органов мог бы загрузить в систему те данные о злоумышленнике, которые стали ему известны, а дальше АРМ будет самостоятельно устанавливать личность, отслеживать ее, находить дополнительные контакты. Это лишь одна из многих разработок и идей. В июле Платформа НТИ, АСИ, правительство Новгородской области проведут проектно-образовательный интенсив "Архипелаг 2121", где индивидуальные разработчики и стартапы представят свои рабочие проекты и решения, в том числе в области кибербезопасности. Форум предполагает не просто демонстрацию нового ПО – по итогам интенсива разработчики смогут объединиться в команду и создать свою компанию. С одной или несколькими такими компаниями в будущем могут сотрудничать представители власти, и вместе они смогут более эффективно бороться с киберпреступниками.