ФСБ обвинила в госизмене основателя Group-IB Илью Сачкова — одного из мировых лидеров в сфере кибербезопасности. RTVI рассказывает, чем известна Group-IB и как она может быть связана с ФБР и арестами в ФСБ.
Как дело Сачкова может быть связано с арестами в ФСБ
-
Сотрудники Group-IB связаны с разбирательствами о хакерских атаках в США. В марте 2020 года министерство юстиции США обвинило сотрудника компании Group-IB Никиту Кислицина в попытке продать данные пользователей социальной сети Formspring в 2012 году. Тогда ведомство опубликовало информацию по делу российского хакера Евгения Никулина, по которому Кислицин проходил как один из подозреваемых (сведения были опубликованы в базе Федерального суда Северного округа Калифорнии).
-
Кислицин начал работать в Group-IB в январе 2013 года. С 2006 года по апрель 2012 года он возглавлял журнал «Хакер». Сейчас, по данным с официального сайта компании, Кислицин руководит департаментом Group-IB, специализирующимся на выявлении угроз.
-
В Group-IB тогда заявили, что обвинения бездоказательны и рассказали, что предполагаемые преступления Кислицина произошли еще до начала его работы в компании. В Group-IB также отметили, что в 2013 году ее представители, в том числе и Кислицин, по своей инициативе встретились с сотрудниками Минюста, чтобы рассказать им об исследовательской работе, которую Кислицин осуществлял в 2012 году.
-
Позже правоохранительные органы США опубликовали новые документы, внимание на которые обратила журналист «Медузы»* Мария Коломыченко. В них говорилось, что в 2014 году Кислицин дал дополнительные показания ФБР в американском посольстве в Москве. С ними беседовали спецагенты ФБР Эмили Одом и Антон Млакер. Он сообщил о своих связях с хакерами из России, а также пояснил, что «хочет уладить ситуацию», чтобы получить возможность без боязни ездить в США. По словам Кислицина, он получил согласия Сачкова на сотрудничество с ФБР. (*«Медуза» признана СМИ, выполняющим функции иностранного агента)
-
Говоря об арестованном позже по запросу США и осужденном на длительный срок Евгении Никулине, сотрудник Group-IB назвал его «Путин хакерского мира». Он также сказал ФБР, что Никулину удалось получить данные из базы LinkedIn, которые он продал за сотни тысяч долларов.
-
Кроме того, Кислицин рассказал ФБР, как в феврале 2013 года присутствовал на вечеринке устроенной капитаном ФСБ Дмитрием Докучаевым. Кислицын и Докучаев были знакомы с юности, когда Кислицину было 16-17 лет. До трудоустройства в ФСБ Докучаев был редактором рубрики «Взлом» в журнале «Хакер». Кислицин ранее рассказывал, что сотрудничество с Докучаевым «длилось примерно три года». «Мы общались и работали вместе. Докучаев обладал достаточными знаниями, чтобы заниматься тем, чем он занимался», — заявлял Кислицин РБК.
-
В беседе с ФБР, Кислицин утверждал, что в интересах расследования мог бы договориться о встрече с другим подозреваемым по делу русским хакером, но предпочел бы этого не делать, поскольку опасается последствий из-за связей этого хакера с Докучаевым. Кислицин передал ФБР информацию полученную от Докучаева о том, что связанный с офицером ФСБ хакер приобрел поддельный болгарский паспорт, что позволило ему выехать из Греции в Россию.
-
В декабре 2016 года Докучаев был арестован, а затем осужден по обвинению в госизмене вместе с экс-руководителем Центра информационной безопасности (ЦИБ) ФСБ Сергеем Михайловым. Подробности этого уголовного дела засекречены, но источник «Интерфакса» утверждал, что фигуранты могли передавать конфиденциальную информацию спецслужбам США, в частности, ЦРУ, ведя «двойную игру». Докучаев получил минимальный срок и был освобожден досрочно в мае 2021 года.
-
Адвокат полковника Михайлова Руслан Голенков рассказал РБК, что Сачков был свидетелем стороны обвинения в деле ЦИБ ФСБ и его показания лежали в основе преследования офицеров. «По моему мнению, свидетель Сачков дал ложные показания, которые позволили следствию сделать вывод о причастности Михайлова к госизмене», — сказал Голенков, отказавшись от дальнейших комментариев.
-
Источники РБК допустили, что Докучаев перед выходом по УДО мог дать какие-то дополнительные показания, из-за которых глава Group-IB превратился из свидетеля в обвиняемого. Защищавший Докучаева адвокат Андрей Чегодайкин сказал РБК, что после выхода с его доверителем не проводили никаких следственных действий по старому делу. В то же время он подтвердил, что фамилия Сачкова фигурировала в деле ЦИБа.
- “В итоге, картина примерно такая, — написала у себя в фейсбук бывший IT-редактор “Медузы” Мария Коломыченко. — США несколько лет назад стали пачками хватать русских хакеров по всему миру (Никулин, недавно экстрадированный Бурков, Лисов…etc). Наши органы поняли, что кто-то льет американцам инфу. Заподозрили в этом сначала одну группу лиц, арестовали ее в 2016-м и успокоились. Но в прошлом году американцы, перед тем как начать слушания по Никулину в суде, рассекретили показания Кислицына от 2014 года — и, видимо, прочитала их тогда не только я. Это только моя теория, но я бы сейчас проверила, на свободе ли Никита Кислицын”. Корреспондент RTVI попытался дозвониться Кислицину, но он не ответил на звонки, а на сообщения в телеграм с просьбой интервью предложил обратиться в пресс-службу Group-IB.
-
Кислицын скорее всего уже в США, сотрудничает с ФБР, высказался в эфире RTVI американский адвокат российского хакера Евгения Никулина Аркадий Бух. “Я уверен, что если он [Кислицин] окажется на территории России, то его арестуют и ему будет грозить обвинение в госизмене. Я предполагаю, что он уже выехал. Не исключаю, что Докучаев дал показания на Сачкова. Мне приходилось общаться с Group-IB, а также с “Касперским”. Очевидно, что российские компании по кибербезопасности находятся под давлением российских спецслужб, которые требуют помощи и сотрудничества. И это та самая ситуация, где работники этих компаний находятся между молотом и наковальней. Помогать ФСБ — это часто идти против американского закона. Идти с агентами ФБР — это госизмена, это измена родине. А учитывая, что агенты ФСБ были не раз замечены в криминальной деятельности, то очень трудно остаться чистым между молотом и наковальней”.
Что надо знать о бизнесе Group-IB
-
В 2020 году РБК со ссылкой на слова Сачкова писал, что в течение последних пяти лет Group-IB является прибыльной компанией и развивается на свои деньги. В интервью изданию Inc в 2018 году Сачков утверждал, что в 2017 финансовом году выручка группы компаний выросла на 62%. В декабре 2020 года РБК цитировала слова Сачкова о том, что в 2019 финансовом году на зарубежные рынки приходилось 35% выручки компании. Сачков неоднократно говорил о среднесрочной цели компании — довести показатель выручки с зарубежных продаж до 50%. На долю клиентов из госсектора приходилось менее 1% выручки Group-IB, говорил Сачков в 2018 году.
-
В августе 2016 г. компания привлекла в качестве инвесторов фонды Altera Investment Fund бывшего замруководителя аппарата правительства Кирилла Андросова и фонд Run Capital основателя Qiwi Андрея Романенко. Они купили по 10% в компании, но размер инвестиций не раскрывался. На тот момент Сачков оценил свою компанию в $80-100 млн. Позднее, в 2017-м Altera Capital увеличила свою долю до 25%, выкупив 15% у одного из акционеров компании.
-
Group-IB ранее не раз говорила о планах провести IPO на зарубежной бирже. В конце 2020 года Сачков также говорил РБК, что Group-IB планирует провести раунд с крупным международным инвестфондом для увеличения присутствия в регионах и ускорения открытия локальных центров по исследованию IT-преступлений.
-
Компания была основана Ильей Сачковым в 2003 году, уточняется на сайте Group-IB. В общей сложности в группу компаний входит свыше 5 юридических лиц, в том числе ООО “Группа Айби”, “Группа АйБи Сейлз”, “ТРАСТ”, “Группа АйБи Сервис” и “Группа АйБи СиАй”. У Group-IB также есть юрлица, зарегистрированные в Сингапуре, Амстердаме и Дубае. По данным самой компании, штат Group-IB составляет более 500 сотрудников. В 2020 году выручка “Группы Айби” — крупнейшего российского юрлица группы, зарегистрированного в 2011 году — составила 384,4 млн рублей. Это в два раза больше, чем в 2019 году. Чистый убыток предприятия в 2020 году составил 43,8 млн, следует из данных СПАРК.
-
С 2019 года штаб-квартира Group-IB базируется в Сингапуре. Если российский офис будет закрыт, компания готова продолжать работу из сингапурской штаб-квартиры, говорил Сачков. “У нас есть офисы в нескольких странах, если закроют российский, останется Сингапур. Наши данные сохранены определенным образом, зашифрованы и доступны ограниченному кругу людей. Если начнется давление на кого-то из наших сотрудников, эта информация будет в правоохранительных органах и в прессе”, — говорил Сачков в декабре прошлого года.
-
Group-IB считается одной из ведущих компаний в сфере кибербезопасности. С ней сотрудничают Интерпол, Европол, МВД России и Следственный комитет. Кроме того, среди клиентов компании есть и российские корпорации: Роскосмос, Сбербанк, ВТБ, «Тинькофф», «Ростелеком», МТС, «Билайн», «Авито», ТАСС, Первый канал и многие другие.
-
Источник в правоохранительных органах, говорил Daily Storm, что ФСБ «давно искала повод надавить на компанию по кибербезопасности Group-IB». По его словам, Group-IB не шла на сотрудничество с силовиками за пределами официальных контрактов и пыталась выйти на мировой рынок без связей с российскими спецслужбами. Собеседник издания отметил, что Сачков «недавно потерял покровителя в администрации президента». 29 сентября «Известия» сообщили, что бывшего российского хакера Павла Ситникова также вызвали на допрос после обысков в Group-IB. Его представитель пояснил изданию, что у Ситникова был конфликт с Сачковым.
-
Сам Сачков в называл отношения с правоохранительными органами “не такими классными, как многие думают”. “Кто-то из правоохранительных органов может попросить неофициально передавать информацию об инцидентах — мы жестко пресекаем это. Кто-то может попросить сделать работы без договора. Пытаются установить неформальные отношения с сотрудниками. Наезжают на нас за публикацию наших исследований и отчетов”, — утверждал он.
-
Сачков также назвал “возмутительным” то, что в некоторых государственных ведомствах считают недопустимым, чтобы российские компании могли заниматься компьютерной криминалистикой за рубежом. “Недавно на совещании в одном государственном ведомстве нам сказали, что русские компании не могут заниматься компьютерной криминалистикой за рубежом. [..] По всему миру летают криминалисты и занимаются исследованием атак, реагированием на инциденты, а русским нельзя? Формулировка была такая: “Потому что ЦРУ вас купит и вы в своем отчете напишете то, что нужно американцам””, — возмущался гендиректор Group-IB.
Риски для компании из-за ареста Сачкова
-
Учитывая закрытый характер следствия в делах по госизмене, мы вряд ли узнаем подробности претензий к Сачкову, сказал RTVI руководитель направления «Разрешение T&IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. При этом ситуация вокруг Group-IB едва ли повлияет на формальные взаимоотношения компании с клиентами. “Если исходить из того, что предъявлено обвинение конкретно ему как гражданину РФ, то никаких последствий для компании это иметь не будет. В крайнем случае какие-то сотрудники могут проходить по делу в качестве свидетелей и давать показания”, — заверил Шицле. По его мнению, скорее всего, генеральный директор просто будет заменен на другое лицо, и компания продолжит работать, как раньше.
-
Что касается сотрудников Group-IB, их могут привлечь к делу в качестве свидетелей, но не более, сказал Шицле. “В каких-то различных ситуациях с них могут брать подписку о неразглашении, но подписка о невыезде — это уже мера, направленная против подозреваемого”, — сказал он.
-
Говоря о косвенных рисках для Group-IB, в этой связи можно выделить две группы рисков, отметил в разговоре с RTVI советник по специальным проектам Коллегии адвокатов А1 Сергей Демкин. Первая группа — надзорные риски, которые заключаются в потенциальном усилении надзора за компаниями, работающими с государственной тайной со стороны регулирующих органов, а также в увеличении количества проверок. По словам Демкина, не исключено, что регуляторы, включая ФСБ, могут инициировать ужесточение требований к подобным компаниям на законодательном уровне. “В первую очередь требования могут быть ужесточены для незащищенной передачи данных, а также установлены требования по расположению серверов с данными таких компаний в России”, — отметил эксперт. Он добавил, что это может обернуться для компании дополнительными издержками.
-
Вторая группа рисков связана с коммерческими потерями из-за опасений российских компаний, связанных с государством, за свои данные. “Не исключено, что после указанного события некоторые государственные компании и в частности банки с высоким государственным участием, которые были клиентами компании, если не откажутся от услуг компании в целом, то могут их снизить”, — сказал Демкин. Не исключен риск разрыва некоторыми клиентами контрактов — в первую очередь, банков с государственным участием, добавил эксперт.