ФСТЭК может ограничить использование софта бывшей Group-IB
У разработчика возникли проблемы с сертификатами для работы на критической инфраструктуре
Программные комплексы от Group-IB (с июля 2022 г. – F.A.C.C.T.) могут попасть под запрет, в них усмотрели угрозу безопасности субъектов критической информационной инфраструктуры (КИИ). Об этом рассказали «Ведомостям» два источника в компаниях в сфере кибербезопасности. Представитель F.A.C.C.T. уточнил, что действие сертификата ФСТЭК, который необходим для использования на объектах КИИ, было приостановлено.
Согласно реестру ФСТЭК, в отношении юрлица «Группа Айби ТДС» (F.A.C.C.T.) с 22 апреля 2016 г. действует лицензия на деятельность по технической защите конфиденциальной информации. Но по продуктам этой компании Bot-Trek TDS и Group-IB Threat Hunting Framework (используются для выявления ботнетов и реагирования на киберинциденты) действие сертификатов средств защиты информации приостановлено 24 мая 2023 г., следует из карточек продуктов в реестре.
В начале декабря ФСТЭК начала рассылать ведомствам и госорганизациям письма с требованием предоставить сведения об использовании продуктов F.A.C.C.T.. Представители Минцифры, Минпромторга, двух банков и одного оператора связи из «большой четверки» подтвердили получение писем. Представитель Минцифры говорит, что министерство подготовит соответствующий ответ. Представитель Минпромторга отметил, что ведомство «дополнительно напомнило собственным интегрированным структурам о письме ФСТЭК и разъяснило важность направления необходимых сведений в службу напрямую в случае использования этих продуктов».
«Ведомости» также направили запросы во ФСТЭК и представителям крупных субъектов КИИ: Минфина, Минэкономики, Минтранса, «Сбера», ВТБ, Промсвязьбанка, «Росатома», «Сибура», РЖД, «Аэрофлота».
«Ведомости» ознакомились с копией письма, направленного 12 декабря заместителем директора ФСТЭК Виталием Лютиковым. «Просим направить в ФСТЭК России в срок до 25 декабря 2023 г. (по возможности) сведения о применении в вашем органе (организации) и подведомственных организациях программного комплекса Bot-Trek TDS, программного комплекса Group-IB Threat Hunting Framework и иных изделий производства ООО «Группа Айби ТДС», – говорится в письме.
Использовать продукты без сертификации ФСТЭК субъекты КИИ не могут, подтверждают заместитель директора центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков и коммерческий директор «Кода безопасности» Федор Дбар.
F.A.C.C.T. известно о рассылке писем ФСТЭК субъектам КИИ, сообщил «Ведомостям» представитель компании. Но официального ответа от ФСТЭК о целях рассылки компания пока не получила, добавил он. По запросу ФСТЭК F.A.C.C.T. предоставила всю необходимую информацию по Bot-Trek TDS и Group-IB Threat Hunting Framework, говорит собеседник.
По его словам, в августе 2023 г. действие сертификата было возобновлено, но затем снова приостановлено в связи с проведением лабораторных испытаний. В начале декабря, по информации F.A.C.C.T., испытательная лаборатория ФСТЭК передала результаты исследования программных комплексов регулятору. Представитель F.A.C.C.T. говорит, что компания надеется, что в ближайшее время проверка завершится и действие сертификатов будет возобновлено.
Как сажали Сачкова
В сентябре 2021 г. основателя компании Group-IB Илью Сачкова арестовали в Москве по подозрению в госизмене (ст. 275 УК, до 20 лет лишения свободы). 26 июля 2023 г. Мосгорсуд признал Сачкова виновным и назначил ему наказание в виде 14 лет строгого режима. Также Сачкову назначены ограничение свободы на один год и 500 000 руб. штрафа. В октябре Первый апелляционный суд общей юрисдикции отказал в удовлетворении жалобы защиты на приговор. По версии следствия, в 2011 г. Сачков по заданию иностранной разведки собрал и передал ее представителям сведения, составляющие гостайну. Вину основатель Group-IB не признал.
По предположению представителя F.A.C.C.T., запрос ФСТЭК к субъектам КИИ может быть связан с «текущей проверкой Bot-Trek TDS и Group-IB Threat Hunting Framework в рамках возобновления действия лицензии», что является «стандартной процедурой регулятора». Он также не исключил, что сама проверка ФСТЭК может быть вызвана уходом Group-IB из России. Подобные прецеденты были в 2022 г. с решениями от Cisco, CyberArk, FortiGate, Microsoft, Oracle, Red Hat, SAP, SUSE Linux, VMware, напомнил собеседник.
В июле 2022 г. компания заявила, что российский бизнес Group-IB отделится от международного и будет развиваться самостоятельно под брендом F.A.C.C.T.. В апреле 2023 г. местный менеджмент выкупил российский бизнес Group-IB. ООО «Группа Айби ТДС», согласно данным ЕГРЮЛа, принадлежит ООО «Адаптивные технологии безопасности» (АТБ). Основным владельцем АТБ с 37,5% остается отбывающий срок за госизмену основатель Group-IB Илья Сачков, 25% у «Альтера капитала», 15% у Алексея Козырева, 12,5% у Ильи Марина, 10% у гендиректора F.A.C.C.T. Валерия Баулина.
Разделение компании на две части может вызывать опасения, считает руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров. Нельзя исключать, что с точки зрения ФСТЭК ее решения могут нести риск утечки данных пользователей в недружественные государства через бизнес, функционирующий в Сингапуре, допускает он. Но пока F.A.C.C.T. в утечках замечена не была, говорит Пермяков.
Проверки обычно происходят тогда, когда у регулятора есть подозрения на критические уязвимости в продуктах, продолжает Дбар. «Если мы допустим, что в этом программном комплексе были сделаны «закладки», то его можно использовать для доступа к сети клиента. Поскольку такие ПАКи (программно-аппаратные комплексы) применяются на важных объектах, а доверие к ним подорвано, их необходимо заменить на более надежные», – рассуждает генеральный директор «Уралэнерготела» Алексей Бельский.
Причина запросов ФСТЭК может быть связана с потенциальной заменой комплексов F.A.C.C.T. на другие, рассуждает Бедеров. В качестве повода можно рассматривать деятельность как самой компании, так и Сачкова, полагает эксперт. После раздела компании российская часть постепенно сжималась и теряла рынок под ударами конкурентов, обращает внимание Бедеров. К их числу можно отнести Positive Technologies, «Ростелеком-Солар», T1 и др., говорит он.
Программные комплексы F.A.C.C.T. являются зрелыми решениями, считает руководитель направления киберразведки Innostage CyberART Александр Чернов. Продукты сложные и платформенные, поэтому аналогов «один в один» нет, но функционал может быть реализован и на других продуктах, отмечает Пермяков.
Threat Hunting направлен на организацию проактивного противодействия кибератакам и представляет собой центр реагирования на инциденты, где кроме продукта возможно удаленное подключение специалистов, такие сервисы есть у Positive Technologies, «Инфотекса» и «Солара», перечисляет Пермяков. Bot-Trek нужен для выявления и мониторинга ботнет-сетей и устанавливался в ограниченном количестве организаций. Аналогичные продукты делают «Лаборатория Касперского», Positive Technologies и T.Hunter, добавляет Бедеров.