Разделы

Безопасность Госрегулирование Бизнес Законодательство Техника

Бывшую Group-IB, основателя которой посадили на 14 лет, отлучают от ИТ-инфраструктуры госкомпаний, банков и операторов связи

В России могут быть запрещены к использованию две разработки ИБ-компании F.A.C.C.T., в прошлом известной как Group-IB. Причина – в сертификатах для работы в КИИ, с которыми у компании возникли проблемы. Основателя Group-IB осудили на 14 лет тюрьмы за госизмену – обвинение запрашивало и вовсе 18 лет заключения.

Над F.A.C.C.T. сгущаются тучи

Российская компания F.A.C.C.T. из сферы информационной безопасности столкнулась с масштабными сложностями. Как пишут «Ведомости», ее программные продукты могут быть запрещены к использованию – власти нашли в них угрозу безопасности субъектов критической информационной инфраструктуры (КИИ).

До апреля 2023 г. F.A.C.C.T. была известна под названием Group-IB. Ее основатель Илья Сачков был осужден по делу о госизмене – сторона обвинения настаивала на 18 годах тюремного заключения, но суд вынес приговор о 14 годах в колонии строгого режима. Адвокаты Сачкова пытаются обжаловать решение суда, но, как сообщал CNews, пока безуспешно.

Что касается субъектов КИИ, то это, в числе прочих, госорганизации, юрлица и индивидуальные предприниматели, владеющие информационными системами из ряда стратегически важных отраслей: транспорта, телекоммуникаций, банковской сферы, атомной энергетики, ТЭК, здравоохранения, науки, металлургии, оборонной, ракетно-космической и химической промышленности. Также существует понятие «объект КИИ» – это критически важные сети и информационные системы субъектов КИИ.

Что произошло

Как пишут «Ведомости», все началось с того, что действие сертификата, необходимого для использования ПО F.A.C.C.T. на объектах КИИ, было приостановлено. Документ выдала Федеральная служба по техническому экспортному контролю России (ФСТЭК), и она же распорядилась «заморозить» его.

В реестре Службы указано, что с 22 апреля 2016 г. у юрлица F.A.C.C.T. ООО «Группа айби ТДС» есть лицензия деятельность по технической защите конфиденциальной информации, и лицензия эта действующая. В то же время действие сертификатов ее программного обеспечения, в частности, Bot-Trek TDS и Group-IB Threat Hunting Framework приостановлено, притом с 24 мая 2023 г.

Пользоваться теми или иными программными продуктами, не имеющими действующих сертификатов ФСТЭК, субъекты КИИ права не имеют.

Спустя около полугода с момента «заморозки» сертификатов ФСТЭК устроила массовую рассылку писем, в которых требовала предоставить ей всю информацию об использовании ПО компании F.A.C.C.T. Такие письма была отправлены различным ведомствам и госорганизациям, а также компаниям с госучастием.

Одно из таких писем, по информации издания, датировано 12 декабря 2023 г. и отправлено заместителем директора ФСТЭК Виталием Лютиковым. «Просим направить в ФСТЭК России в срок до 25 декабря 2023 г. (по возможности) сведения о применении в вашем органе (организации) и подведомственных организациях программного комплекса Bot-Trek TDS, программного комплекса Group-IB Threat Hunting Framework и иных изделий производства ООО "Группа айби ТДС"», – говорится в в нем.

Среди адресатов оказались Минцифры, Минпромторг, как минимум один из крупнейших операторов сотовой связи России (из «большой четверки»), а также два работающих в России банка. Как пишет издание, их представители подтвердили факт получения письма ФСТЭК, а в Минцифры добавилии также, что в настоящее время ведомство готовит ответное письмо.

Власти загадочно молчат

О причинах проведения такой рассылки, и о том, зачем ФСТЭК потребовалась указанная в отправленных письмах информация, в Службе не говорят, хотя F.A.C.C.T. обращалась к ней за уточнением, сообщили CNews представители компании. При этом запрос ФСТЭК относительно подробной информации о программных комплексах Bot-Trek TDS и Group-IB Threat Hunting Framework компания F.A.C.C.T. полностью удовлетворила.

«Мы знаем о существовании этих писем, однако официального ответа от ФСТЭК о целях данной рассылки мы пока не получили, – заявили CNews представители F.A.C.C.T. – Учитывая, что в разосланном документе не сообщается о цели запроса, а при указании срока ответа содержится формулировка «по возможности», компания F.A.C.C.T. уточнила у представителей ФСТЭК России о целях и причинах данной рассылки, на что было предложено дождаться официального письменного ответа».

Как защититься от продвинутых кибератак
Безопасность

При этом, как сказали редакции в F.A.C.C.T., Служба ненадолго возобновляла действие сертификатов, но позже снова «заморозила» их. Это случилось в августе 2023 г., и в качестве причины повторной приостановки было указано проведение лабораторных испытаний. Результаты этих испытаний лаборатория ФСТЭК в начале декабря 2023 г. направила в Службу, отметили в F.A.C.C.T.

В компании сообщили CNews, что рассылка писем ФСТЭК проходила, вероятно, в связи «с текущей проверкой программных продуктов Bot-Trek TDS и Group-IB Threat Hunting Framework в рамках возобновления действия сертификатов, что является стандартной процедурой регулятора». «Речь идет о проверке двух ранее сертифицированных продуктов Bot-Trek TDS и Group-IB Threat Hunting Framework, по остальным вопросов не возникло, – добавили в компании.

«По запросу ФСТЭК компания F.A.C.C.T. предоставила всю необходимую информацию по продуктам Bot-Trek TDS и Group-IB Threat Hunting Framework: сведения о произведенных сертифицированных средствах защиты, экземпляры сертифицированных программных комплексов, а также сведения о лицах, осуществляющих техническую поддержку указанных средств защиты. Не исключаем, что сама проверка ФСТЭК связана с уходом Group-IB из России, подобные прецеденты были в 2022 году с решениями от Cisco, CyberArk, FortiGate, Microsoft, Oracle, Red Hat, SAP, SUSE Linux, VMware», – сказали CNews представители ИБ-компании.

Возможные последствия

На вопрос редакции о том, что повлечет за собой закрытие доступа F.A.C.C.T. к объектам и субъектам КИИ, представители компании ответили: «Мы рассчитываем, что в ближайшее время проверка завершится и действие сертификатов соответствия будет возобновлено. Ситуация под контролем, российская компания F.A.C.C.T. работает в строгом соответствии с российским законодательством, включая требования регуляторов рынка информационной безопасности».

По словам представителей компании, «функционирование и техническая поддержка флагманских продуктов компании – MXDR, Threat Intelligence, Fraud Protection, Digital Risk Protection, Attack Surface Management – обеспечиваются в полном объеме».

Никакой связи с Сачковым

По словам представителей F.A.C.C.T., «связи проверки с делом Ильи Сачкова нет». Основатель Group-IB, напомним, был арестован в сентябре 2021 г. в Москве по подозрению в госизмене (ст. 275 УК РФ, максимальное наказание – 20 лет лишения свободы). 26 июля 2023 г. по решению Мосгорсуда Сачков был признан виновным.

Суд назначил ему наказание в виде 14 лет строгого режима, ограничение свободы сроком на один год штраф в размере 500 тыс. руб. В октябре 2023 г. по решению Первого апелляционный суд общей юрисдикции сторона защиты получила отказ в удовлетворении апелляции. Сам Илья Сачков вину на момент публикации материала не признавал.

Исследование CNews Analytics и «Лаборатории Касперского»: как российские компании защищают свои ИТ-системы в облаке
Облака

В дальнейшем основанная в 2003 г. компания Group-IB раскололась на две части – российскую и международную. Первая получила новый бренд F.A.C.C.T., а всю российскую часть бизнеса выкупил местный менеджмент Group-IB.

По данным ЕГРЮЛ, компания ООО «Группа айби ТДС», с уставным капиталом 12,5 тыс. руб. является собственностью ООО «Адаптивные технологии безопасности» (АТБ). Сама АТБ поделена между Сачковым (37,5%) компанией «Альтера капитал» (25%), Алексеем Козыревым (15%), Ильей Мариным (12,5%) и Валерием Баулиным. Последнему принадлежат 10% АТБ, и это действующий генеральный директор компаний F.A.C.C.T. и АТБ.

Георгий Дорофеев