Group IB строит цифровой Интерпол в Сколково

В 2011 году компания Group IB получила статус резидента Инновационного фонда "Сколково" для разработки глобальной системы противодействия киберпреступности. В CyberCop, как назвали разработчики свой проект, применяется принципиально новый подход к борьбе с компьютерным криминалом, базирующийся на сборе и анализе информации о преступлениях.

Одно из главный условий Сколково - инновационность. Поэтому в таком функционале аналогов системе CyberCop в мире нет. История создания проекта началась в одном из подразделений компании, занимающимся расследованием киберпреступлений, где уже несколько лет собирается база данных по инцидентам. Несмотря на техническую сложность и непонятность для большинства людей компьютерных преступлений, все они, тем не менее, похожи друг на друга. Про оффлайновую преступность рассказывают методические материалы и учебники, построенные на многочисленных примерах из практики. По похожему принципу, но на другой технологической основе построено и хранилище данных, выделенное сейчас в отдельное направление.

"Мы решили вывести базу в отдельный проект, - комментирует генеральный директор Group IB Илья Сачков, - поскольку видим, что это очень перспективная вещь. Это продукт, который может быть востребован в любой стране мира. Иными словами, налицо масштабирование бизнеса. Так как мы занимаемся в основном услугами, то ПО для нас – это более масштабный рынок, дающий нам возможность взаимодействовать с любым регионом мира".

Компьютерная преступность носит глобальный характер, и любые усилия одной страны, одной спецслужбы ни к чему не приведут. В данном случае нужны согласованные действия всего мирового сообщества, направленные как на гармонизацию законодательства, так и на быстрый, желательно, мгновенный обмен информацией между спецслужбами и органами внутренних дел разных стран.

Задачи CyberCop

Основная проблема, мешающая эффективному противодействию киберпреступности, это не информированность оперативных сотрудников. Даже если в преступлении есть цифровая составляющая и по ней проведена качественная экспертиза, ее результаты осядут в виде бумажного акта в одном уголовном деле, в рамках которого она проводилась, и все. Дальше информация не пойдет. Получается, что даже самый дотошный следователь, работающий в соседнем подразделении по аналогичному делу, ее просто не найдет. В России и в мире просто не существует базы знаний, адекватной задачам борьбы с киберпреступлениями.

Вторая проблема — правоохранительные органы независимо от своей технической вооруженности почти всегда проигрывают по темпу использования высоких технологий злоумышленникам. В отличие от МВД, киберпреступники не ограничены юрисдикцией и подведомственной территорией. Они работают по всему миру, не сильно обращая внимания на государственные границы.

Взаимодействие же правоохранительных органов построено исключительно на оформлении официальных документов. И для того чтобы получить информацию друг от друга, требуется до полутора месяцев. За это время преступники успевают надежно спрятать украденные деньги или информацию", - рассказывает Сачков.

Однако задачи проекта не исчерпываются налаживанием обмена информацией, что само по себе достаточно важно. Помимо базы знаний, в CyberCop создается мощный аналитический блок на базе искусственного интеллекта. По замыслу создателей, он будет выявлять слабосвязанные зависимости, которые позволят узнать много интересного о свершившемся или готовящемся инциденте.

Помимо государственных и международных органов правопорядка, возможностями CyberCop смогут пользоваться коммерческие структуры и отраслевые ассоциации. Например, идет атака на один банк. Пока такие инциденты рассматриваются изолированно друг от друга. Система же сможет ответить, был ли это единичный случай или под ударом вся отрасль. В этом случае служба безопасности этого банка получает информацию, позволяющую правильно и эффективно спланировать контрмеры. Кроме того, в такой ситуации проще будет принимать решение, надо ли действовать в одиночку или стоит объединиться с другими финансово-кредитными учреждениями.

Заход в Сколково

В принципе, у Group IB достаточно сил, чтобы развивать CyberCop самостоятельно. Помимо наличия финансовых и человеческих ресурсов, компания известна во многих странах и имеет солидную репутацию. Многие сотрудники имеют поощрения от МВД, ФСБ, МИД. Однако статус резидента в "Сколково" выводит работы на совершенно новый уровень и придает хороший импульс развитию, позволяя сделать все в гораздо более короткие сроки и с меньшими рисками.

"Для нас очень важно, что проект попал в "Сколково" и получил экспертную оценку, - делится Илья Сачков. – Да, мы - эксперты в своей области, но там есть люди, которые занимаются экономикой, маркетингом и выводом продуктов на рынок. Нам было важно получить от них оценку перспектив проекта". Положительное заключение экспертов фонда в части перспективности и экономической эффективности позволило без существенных затрат получить аудит проекта очень серьезного уровня, что на самом деле стоит очень больших денег.

Дополнительно поддержка, которую компания продолжает получать в "Сколково", позволит строить диалог с международными организациями, например, Интерполом, подразделениями ООН и ОБСЕ, на совершенно другом стартовом уровне.

Техническая реализация

По замыслу создателей, CyberCop будет работать с любыми данными, представленными в цифровом виде. Это может быть отдельный файл любого формата, копия информации, хранящейся на смартфоне, и так вплоть до серверной фермы. Задача системы состоит в том, чтобы распознавать, понимать, классифицировать и выделять по определенным параметрам смысл информации. То есть если это информация в текстовом виде, система обнаруживает ключевые слова и выбирает оттуда интересующую информацию. Иными словами, если аналитик ищет участие злоумышленника с предполагаемым никнеймом, то поиск не будет ограничиваться выбором фрагментов, где встречается слово из запроса, а учитывается контекст.

У системы модульная структура. В центре аналитический модуль, где с участием искусственного интеллекта происходит основная обработка данных. Естественно, искусственный мозг не может заметить человеческий, так что предусмотрено и рабочее место аналитика. Также существует модуль, через который подключаются базы данных. В дальнейшем появятся модули по конкретным преступлениям, а также блок защиты брендов от посягательств в киберсреде.

По согласованным с фондом планам, первый модуль, искусственный интеллект с глубокой аналитикой, будет готов уже к июню этого года.