Group IB строит цифровой Интерпол в Сколково
Дата: 01.03.2013Источник: Cnews.ru
Автор: Василий Прозоровский
В 2011 году компания Group IB получила статус резидента Инновационного фонда "Сколково" для разработки глобальной системы противодействия киберпреступности. В CyberCop, как назвали разработчики свой проект, применяется принципиально новый подход к борьбе с компьютерным криминалом, базирующийся на сборе и анализе информации о преступлениях.
Одно из главный условий Сколково - инновационность. Поэтому в таком функционале аналогов системе CyberCop в мире нет. История создания проекта началась в одном из подразделений компании, занимающимся расследованием киберпреступлений, где уже несколько лет собирается база данных по инцидентам. Несмотря на техническую сложность и непонятность для большинства людей компьютерных преступлений, все они, тем не менее, похожи друг на друга. Про оффлайновую преступность рассказывают методические материалы и учебники, построенные на многочисленных примерах из практики. По похожему принципу, но на другой технологической основе построено и хранилище данных, выделенное сейчас в отдельное направление.
Схема работы системы CyberCop
"Мы решили вывести базу в отдельный проект, - комментирует генеральный директор Group IB Илья Сачков, - поскольку видим, что это очень перспективная вещь. Это продукт, который может быть востребован в любой стране мира. Иными словами, налицо масштабирование бизнеса. Так как мы занимаемся в основном услугами, то ПО для нас – это более масштабный рынок, дающий нам возможность взаимодействовать с любым регионом мира".
Компьютерная преступность носит глобальный характер, и любые усилия одной страны, одной спецслужбы ни к чему не приведут. В данном случае нужны согласованные действия всего мирового сообщества, направленные как на гармонизацию законодательства, так и на быстрый, желательно, мгновенный обмен информацией между спецслужбами и органами внутренних дел разных стран.
Задачи CyberCop
Основная проблема, мешающая эффективному противодействию киберпреступности, это не информированность оперативных сотрудников. Даже если в преступлении есть цифровая составляющая и по ней проведена качественная экспертиза, ее результаты осядут в виде бумажного акта в одном уголовном деле, в рамках которого она проводилась, и все. Дальше информация не пойдет. Получается, что даже самый дотошный следователь, работающий в соседнем подразделении по аналогичному делу, ее просто не найдет. В России и в мире просто не существует базы знаний, адекватной задачам борьбы с киберпреступлениями.
Вторая проблема — правоохранительные органы независимо от своей технической вооруженности почти всегда проигрывают по темпу использования высоких технологий злоумышленникам. В отличие от МВД, киберпреступники не ограничены юрисдикцией и подведомственной территорией. Они работают по всему миру, не сильно обращая внимания на государственные границы.
Взаимодействие же правоохранительных органов построено исключительно на оформлении официальных документов. И для того чтобы получить информацию друг от друга, требуется до полутора месяцев. За это время преступники успевают надежно спрятать украденные деньги или информацию", - рассказывает Сачков.
Однако задачи проекта не исчерпываются налаживанием обмена информацией, что само по себе достаточно важно. Помимо базы знаний, в CyberCop создается мощный аналитический блок на базе искусственного интеллекта. По замыслу создателей, он будет выявлять слабосвязанные зависимости, которые позволят узнать много интересного о свершившемся или готовящемся инциденте.
Помимо государственных и международных органов правопорядка, возможностями CyberCop смогут пользоваться коммерческие структуры и отраслевые ассоциации. Например, идет атака на один банк. Пока такие инциденты рассматриваются изолированно друг от друга. Система же сможет ответить, был ли это единичный случай или под ударом вся отрасль. В этом случае служба безопасности этого банка получает информацию, позволяющую правильно и эффективно спланировать контрмеры. Кроме того, в такой ситуации проще будет принимать решение, надо ли действовать в одиночку или стоит объединиться с другими финансово-кредитными учреждениями.
Заход в Сколково
В принципе, у Group IB достаточно сил, чтобы развивать CyberCop самостоятельно. Помимо наличия финансовых и человеческих ресурсов, компания известна во многих странах и имеет солидную репутацию. Многие сотрудники имеют поощрения от МВД, ФСБ, МИД. Однако статус резидента в "Сколково" выводит работы на совершенно новый уровень и придает хороший импульс развитию, позволяя сделать все в гораздо более короткие сроки и с меньшими рисками.
"Для нас очень важно, что проект попал в "Сколково" и получил экспертную оценку, - делится Илья Сачков. – Да, мы - эксперты в своей области, но там есть люди, которые занимаются экономикой, маркетингом и выводом продуктов на рынок. Нам было важно получить от них оценку перспектив проекта". Положительное заключение экспертов фонда в части перспективности и экономической эффективности позволило без существенных затрат получить аудит проекта очень серьезного уровня, что на самом деле стоит очень больших денег.
Дополнительно поддержка, которую компания продолжает получать в "Сколково", позволит строить диалог с международными организациями, например, Интерполом, подразделениями ООН и ОБСЕ, на совершенно другом стартовом уровне.
Техническая реализация
По замыслу создателей, CyberCop будет работать с любыми данными, представленными в цифровом виде. Это может быть отдельный файл любого формата, копия информации, хранящейся на смартфоне, и так вплоть до серверной фермы. Задача системы состоит в том, чтобы распознавать, понимать, классифицировать и выделять по определенным параметрам смысл информации. То есть если это информация в текстовом виде, система обнаруживает ключевые слова и выбирает оттуда интересующую информацию. Иными словами, если аналитик ищет участие злоумышленника с предполагаемым никнеймом, то поиск не будет ограничиваться выбором фрагментов, где встречается слово из запроса, а учитывается контекст.
У системы модульная структура. В центре аналитический модуль, где с участием искусственного интеллекта происходит основная обработка данных. Естественно, искусственный мозг не может заметить человеческий, так что предусмотрено и рабочее место аналитика. Также существует модуль, через который подключаются базы данных. В дальнейшем появятся модули по конкретным преступлениям, а также блок защиты брендов от посягательств в киберсреде.
По согласованным с фондом планам, первый модуль, искусственный интеллект с глубокой аналитикой, будет готов уже к июню этого года.
Добавить комментарий |
Всего 0 комментариев |