Наш адрес:
121099, г. Москва,

Смоленская площадь,

Шубинский пер., 2/3,

3 и 4 этажи
тел./факс: (499) 2414341

тел.: (499) 241-43-71, 

(499) 241-42-45,
(499) 241-40-96,

(499) 241-42-83.
 
http://www.ka-advocat.ru
e-mail:ka-advocat@mail.ru

 
02.11.18. Когда цифровая информация является доказательством О методиках сбора и фиксации информации на цифровых носителях

02.11.18. Когда цифровая информация является доказательством О методиках сбора и фиксации информации на цифровых носителях

Когда цифровая информация является доказательством О методиках сбора и фиксации информации на цифровых носителях

Вторая часть статьи посвящена описанию двух типов проектов, связанных с исследованием цифровой информации. Главная цель первого типа проектов – установить, что произошло в компьютерной системе, почему это произошло и к каким последствиям привело. В рамках проведения второго типа проектов основными последовательными задачами являются: обнаружение, защита, сбор, анализ и представление релевантной цифровой информации (документов, почтовой переписки, фотографий, видеозаписей и т.д.). Дано описание того, какие вопросы могут быть решены в рамках обоих видов проектов. Практикующим юристам даны рекомендации по работе с цифровыми доказательствами.

Олег Безик СТАРШИЙ СПЕЦИАЛИСТ ДЕПАРТАМЕНТА ТЕХНОЛОГИЧЕСКИХ РЕШЕНИЙ ДЛЯ РАССЛЕДОВАНИЙ, CSI GROUP Александр Писемский ИСПОЛНИТЕЛЬНЫЙ ДИ⁠РЕКТОР CSI GROUP

Окончание. Начало в «АГ» № 19 (276). ПОИСК И УСТАНОВЛЕНИЕ ТЕХНИЧЕСКИХ ФАКТОВ СОВЕРШЕНИЯ ДЕЙСТВИЙ НАД ЦИФРОВЫМИ ДАННЫМИ Условно все проекты, так или иначе связанные со сбором и анализом цифровой информации, можно разделить на две большие группы. Первая группа – проекты, главной целью которых является поиск и установление тех или иных технических фактов совершения действий над цифровыми данными. Такие проекты мы называем Forensics Projects (от англ. forensics – собирательное слово для обозначения экспертных исследований). В рамках подобных проектов могут решаться следующие задачи: — поиск следов работы пользователя в компьютерной системе; — поиск следов взаимодействия с определенными файлами на компьютере; — установление механизмов работы того или иного программного обеспечения; — восстановление хронологии событий, произошедших на компьютере; — установление списка подключенных к компьютеру устройств и т.д. Так или иначе проведение Forensics-исследований требует от специалиста наличия узкоспециализированных компьютерных знаний, позволяющих понимать особенности работы различных операционных систем (Microsoft Windows, Linux, MacOS, Android, iOS), файловых систем (NTFS, FAT, ext4), форматы большинства популярных цифровых файлов (DOCX, PDF, XLSX, PST, OST) и т.д. Примером работы в рамках подобного проекта является случай, произошедший в одной крупной финансовой компании. За несколько дней злоумышленники практически легальным способом вывели со счета компании денежные средства в размере нескольких десятков миллионов рублей. Процедура вывода средств была проста – с компьютера главного бухгалтера, находящегося в отпуске, в платежную систему загружались текстовые файлы, содержащие реквизиты фирм-однодневок и физических лиц. Было проведено компьютернокриминалистическое исследование рабочих компьютеров целого отдела, отвечающего за переводы денежных средств, в результате которого была поминутно восстановлена хронология событий, произошедших в дни инцидента, после чего обнаружены цифровые доказательства причастности к правонарушению конкретного сотрудника. Далее был подготовлен подробный отчет, соответствующий всем требованиям закона, позднее переданный компанией в правоохранительные органы для приобщения к материалам дела, благодаря этому удалось существенно сократить время, необходимое для создания доказательственной базы и вернуть часть украденной суммы. ПОИСК, ЗАЩИТА, СБОР, АНАЛИЗ И ПРЕДСТАВЛЕНИЕ ДОКАЗАТЕЛЬСТВ В ВИДЕ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА ЦИФРОВЫХ НОСИТЕЛЯХ Вторая большая область работы с цифровыми данными – проекты, которые мы называем “E-Discovery Projects”. Понятие “E-Discovery”, или “Electronic Discovery”, не имеет точного перевода на русский язык, но используется за рубежом для обозначения мероприятий, направленных на поиск, защиту, сбор, анализ и представление доказательств в виде информации, хранящейся на цифровых носителях информации (ESI). В данном случае цифровая информация анализируется не с технической точки зрения, а скорее с позиции права, при этом работа по анализу содержимого, как правило, ложится на плечи специалистов в области бухгалтерского дела или юристов, а компьютерные специалисты делают все, чтобы обеспечить им прямой доступ к файлам, которые необходимо проанализировать. Работа в рамках E-Discoveryпроектов состоит из нескольких этапов. 1. Первоначальная оценка и планирование проекта. Чрезвычайно важно сформировать исчерпывающий список целевых носителей, которые потенциально могут содержать релевантную информацию. Необходимо ясно представлять, какие виды компьютерных систем могут содержать ценные данные: серверы, персональные компьютеры, лэптопы, смартфоны, планшетные компьютеры и т.д. Кроме того, критичным является понимание того, какие типы файлов могут представлять интерес: будет это только корпоративная переписка (файлы почтовых архивов PST, OST, NSF, файлы мессенджеров) или наиболее распространенные в бизнесе форматы электронных документов (файлы DOCX, PDF, XLSX, RTF, XLSX и т.д.), либо и то и другое. Выбор важен, поскольку от этого будет зависеть способ сбора и анализа цифровой информации, а соответственно, скорость и качество работ с цифровыми данными. 2. Сбор цифровой информации с целевых носителей информации. Указанный этап был подробно описан ранее, однако стоит добавить, что обычно на данной стадии не происходит отсеивания не представляющих интерес файлов, так как целесообразнее и быстрее собрать как можно больше данных на месте, а отделение зерен от плевел произвести в лаборатории, перейдя к следующему этапу проекта. 3. Фильтрация и дедупликация собранной информации. Как правило, существенная часть собранной на предыдущем этапе цифровой информации не является релевантной. Если, например, основная цель компании, проводящей внутреннее расследование, состоит в анализе только корпоративной переписки, то поиск и исследование остальных файлов (в частности, служебных файлов операционной системы Windows 10), а также различных корпоративных документов не будет представлять интереса, а только отнимет рабочее время и затянет процесс работы над проектом. В связи с этим одним из этапов в E-Discovery-проектах является фильтрация собранной информации. Порой фильтрация не требуется, поскольку в процессе сбора данных удается получить исключительно те файлы, которые вызывают интерес. Однако в большинстве случаев собранная компьютерная информация подвергается фильтрации. В компьютерных системах часто присутствуют дублирующиеся файлы, содержимое которых идентично. Их дедупликация – также важная веха на пути к быстрому и эффективному анализу большого объема цифровой информации. Для этого используется специальное программное обеспечение, такое как, например, ADForensicToolkit, Encase, Belkasoft, UFED Physical Analyser и др. 4. Поиск релевантной информации. Главная задача E-Discoveryпроектов – поиск релевантной информации среди огромных объемов данных. Бывает так, что из нескольких терабайт собранной компьютерной информации отфильтровываются несколько десятков гигабайт данных, которые представлены, например, двумястами тысячами файлов DOCX и еще сотней тысяч файлов PDF, а по окончании проекта удается найти лишь несколько десятков файлов, содержимое которых в рамках расследования действительно имеет значение. С целью экономии времени и, соответственно, средств, требуемых для поиска важных файлов среди сотен тысяч остальных, используется E-Discoveryплатформа. Это программное обеспечение, позволяющее исследователю в полуавтоматическом режиме анализировать огромные объемы цифровых файлов. Общепринятый подход к анализу цифровых данных в рамках подобных проектов заключается в поиске релевантного содержимого по ключевым словам с последующей их классификацией с использованием системы специальных тэгов, например, “relevant”, “notrelevant”, “keydocument” и т.п. Процесс анализа с использованием ключевых слов обычно проходит в два этапа. На первом этапе аналитики (reviewers) осуществляют первичный анализ исследуемых документов, чтобы понять, насколько они связаны с расследуемым делом. Как правило, один аналитик может отсмотреть 500-600 документов в день. На следующем этапе уже отобранные документы анализируются квалифицированными www.yourpress.ru № 20 (277) ОКТЯБРЬ 2018 г. 7 БОЛЬШЕ НОВОСТЕЙ НА advgazeta.ru уголовно-процессуальное право ТЕМА: доказательства и доказывание юристами, бухгалтерами и экспертами. Кроме того, E-Discovery-платформы позволяют получать наглядную статистику, строить структурированные отчеты, распознавать текст на скан-копиях и т.д. В целом время, необходимое на исследование содержимого файлов, может быть сокращено с нескольких месяцев до нескольких недель, а порой и дней. Наиболее популярными платформами для анализа информации являются Relativity, Nuix, Ringtail, Recommind, ZyLab, Summation. В качестве примера использования платформы E-Discovery можно привести один из проектов в нашей практике. Для целей корпоративного расследования, инициированного управляющей компанией, необходимо было собрать и подготовить для дальнейшего анализа информацию, находящуюся на корпоративных устройствах и серверах компании, а также доступную первичную документацию по работе с контрагентами за 3 года. Был произведен сбор и анализ данных с 16 рабочих компьютеров сотрудников, в чьи обязанности входило привлечение субподрядчиков и дистрибьюторов, определение коммерческих условий и проведение финансовых операций, а также данных с почтовых и файловых серверов. Бумажные документы в объеме 21 коробки для архивирования были оцифрованы для последующего централизованного анализа. После восстановления удаленной информации с устройств пользовательские данные (цифровые документы, переписка, изображения) вместе с оцифрованными копиями первичных документов были импортированы в E-Discovery-платформу. Общее количество документов и электронных сообщений превышало 1 миллион, для поиска релевантной информации юристы клиента использовали ключевые слова и фильтрацию по метаданным документов и писем. В частности, их интересовали обстоятельства, при которых отдельные компании были привлечены в качестве субподрядчиков. С применением в качестве ключевых слов названий этих компаний, ИНН, ФИО представителей была определена хронология привлечения субподрядчиков и согласования с ними договоров. Использование фильтрации по адресам отправителей и получателей позволило установить обстоятельства оказания услуг, согласования итоговых документов. Применение ключевых слов и фильтров сократило количество анализируемых документов и писем до 11000 и дало возможность точечно исследовать интересующие бизнес-операции с гарантией, что ни один документ или письмо, связанные с расследуемыми обстоятельствами, не будут пропущены. В ходе анализа цифровых данных были идентифицированы факты нарушения корпоративных политик и законодательства, в частности, конфликт интересов менеджмента компании и субподрядчиков, злоупотребление служебными полномочиями, вывод активов из компании. По завершении как Forensics, так и E-Discovery-проектов, готовится отчет о проделанной работе, содержащий подробное описание методов сбора и анализа цифровых данных, а также полученных результатов. Если исследование цифровых данных проводится в рамках СКТЭ либо отчет планируется представить в российские правоохранительные или судебные органы, его структура должна строго соответствовать требованиям Федерального закона от 31 мая 2001 г. № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации», а также общепринятым в экспертной среде методическим рекомендациям и лучшим практикам. РЕКОМЕНДАЦИИ ПРАКТИКУЮЩИМ ЮРИСТАМ Вот несколько рекомендаций для практикующих юристов, которые помогут корректно организовать работу с цифровыми доказательствами, а также грамотно оценить работу компьютерного эксперта. По уголовным делам следователи сами назначают СКТЭ, в связи с чем юристы, представляющие интересы подозреваемого или потерпевшего, могут воспользоваться следующими советами. 1. Проконсультироваться с опытным независимым специалистом в области исследования компьютерной информации. Стоит отметить, что порой для грамотной и полезной консультации подобного рода специалист должен обладать не только специальными знаниями в области IT, но и понимать, что такое СКТЭ, как она регламентирована и какие общепризнанные подходы к исследованию ESI существуют. 2. По возможности ходатайствовать об определенной кандидатуре эксперта. Согласно ст. 198 УПК РФ стороны имеют на это право. 3. При необходимости ходатайствовать об отводе эксперта. Общие правила и причины для отвода зафиксированы в ст. 80 УПК РФ. Важно также знать, что согласно Постановлению Пленума Верховного Суда РФ от 21 декабря 2010 г. № 28 «О судебной экспертизе по уголовным делам» судебную экспертизу по уголовным делам может проводить либо государственный эксперт, либо иной эксперт из числа лиц, обладающих специальными знаниями. К иным лицам относятся сотрудники негосударственных экспертных учреждений. Под негосударственными судебно-экспертными учреждениями следует понимать некоммерческие организации, а именно некоммерческие партнерства, частные учреждения или автономные некоммерческие организации. Это значит, что помимо государственных экспертов проводить СКТЭ по уголовным делам могут сотрудники только некоммерческих организаций. 4. Ходатайствовать о внесении в постановление о назначении судебной экспертизы дополнительных вопросов эксперту (ст. 198 УПК РФ). Перед этим также важно получить квалифицированную помощь независимого специалиста, который поможет грамотно составить список вопросов. 5. Обязательно прибегнуть к помощи независимого специалиста для проведения рецензирования полученного экспертного заключения, если есть сомнения, что ход исследования и полученные выводы не соответствуют требованиям закона и методологии. С учетом разнообразия всевозможных сценариев развития событий в рамках корпоративных расследований предлагаем рекомендации, основанные на конкретном примере. Представьте, что вы in-house юрист, у руководства компании есть свидетельства того, что один из сотрудников отправил со своего рабочего компьютера с использованием личной электронной почты на неизвестный электронный почтовый ящик сведения, являющиеся коммерческой тайной, руководство собирается предъявить претензию и уволить сотрудника «по статье». Ваша задача собрать всю необходимую информацию, чтобы вся процедура была законной и объективной. Что для этого нужно сделать? 1. Гарантировать юридическую и криминалистическую корректность сбора цифровых данных, которые могут быть доказательством. В данном случае доказательством будет информация, хранящаяся на рабочем компьютере сотрудника: — факт использования корпоративной учетной записи (журналы событий операционной системы) подтверждает, что именно сотрудник, которому известен логин и пароль, воспользовался компьютером; — следы использования электронной почты (история браузера, установленные почтовые программы) подтверждают факт использования личной электронной почты, пример ivanov.ivan@gmailcom; — следы файла, который содержал коммерческую тайну (DOCX, PDF, XLSX и т.д.), – доказательство того, что сотрудник обладал этими данными. Необходимо как можно быстрее сделать полную побитовую копию рабочего компьютера сотрудника, после чего дублировать ее в резервную копию. Это можно сделать силами внутренних IT-специалистов либо привлечь специалистов со стороны. При этом важно грамотно составить протокол сбора данных с фиксацией хэш-функции полученного образа, даты и времени снятия образа с подписями присутствующих лиц. Важно, чтобы носитель с резервной копией полученного образа был «законсервирован», т.е. помещен в оклеенную и опечатанную упаковку или конверт. Также следует подготовить документальную базу, подтверждающую, что данное устройство было выдано для исполнения рабочих обязанностей определенному сотруднику, издать приказ о проведении внутренней проверки по факту возможной утечки информации. 2. Собрать дополнительную информацию, которая может помочь в установлении обстоятельств правонарушения. Наиболее часто источниками такой информации являются записи с камер наблюдения в офисе или кабинете, логи пропускной системы на входе в офис, корпоративных программ, почтового сервера, свидетельские показания. При этом важно также посчитать и зафиксировать значения хэшфункций для цифровых файлов, чтобы в будущем гарантировать их целостность и аутентичность. 3. Собрать данные, подтверждающие тот факт, что сотрудник информирован о внутренних процедурах и политиках. Это могут быть подписанные сотрудником трудовой договор, положение о коммерческой тайне, должностные обязанности, соглашения о конфиденциальности, политика информационной безопасности и т.д. 4. Получить заключение специалиста по результатам анализа собранных цифровых данных. Первичный анализ собранных данных может быть произведен сотрудниками IТ-подразделения компании при условии, что они имеют опыт работы с цифровыми доказательствами и реагирования на инциденты, связанные с информационной безопасностью. Рекомендуется обратиться к независимой организации для проведения исследования полученного образа компьютера сотрудника, файлов системы видеонаблюдения, собранных логов и т.д. Целью подобного исследования является получение независимого мнения о наличии технических фактов, подтверждающих факт совершения сотрудником нарушения. Полученное заключение может быть использовано как основание для привлечения сотрудника к дисциплинарной ответственности, при этом стоит крайне внимательно соблюсти все нормы трудового права, чтобы избежать формальных нарушений, которые могут перечеркнуть все результаты внутренней проверки и позволят виновному сотруднику уйти от ответственности. Кроме случаев утечки или целенаправленного хищения конфиденциальной информации, цифровые устройства и информационные www.yourpress.ru 8 АДВОКАТСКАЯ ГАЗЕТА системы могут быть источниками ценной доказательственной базы при расследовании корпоративного мошенничества, коррупции, конфликта интересов, преднамеренного банкротства, вывода активов и злоупотребления служебным положением, кибератак, нарушения прав на интеллектуальную собственность, несоблюдения внутренних политик и процедур и многих других противоправных действий, совершенных против интересов компании и собственников. Принимая решение об использовании или неиспользовании инструментов компьютерной криминалистики, адвокат или юрист должны понимать, какие сведения могут быть получены и как они могут быть использованы для успешного разрешения дела. Вот примеры задач, которые можно поставить перед специалистами: 1) поиск информации в удаленных и неудаленных файлах и переписке, связанных с определенным юридическим лицом, физическим лицом, проектом и др.; 2) восстановление удаленной информации или обеспечение доступа к данным, защищенным паролями; 3) установление действий пользователей в информационной системе или компьютере в определенный момент времени, например, фактов уничтожения информации, копирования данных на внешние устройства (флешки, жесткие диски), доступа к определенным сайтам или серверам; географического местоположения, запуска приложений или создания файлов на жестком диске и др.; 4) определение наличия вредоносного программного обеспечения на компьютере, его функциональных возможностей и активности в системе, обстоятельств заражения компьютера и источника вируса; 5) выявление злонамеренных действий, связанных с кибератакой на информационные системы компании или на устройства отдельных пользователей; 6) сравнение функциональных возможностей программ или исходного кода программных продуктов в случаях споров, связанных с авторством или нарушением прав на объекты интеллектуальной собственности; 7) выявление обстоятельств хищения денежных средств со счетов через системы интернет-банка, установление механизма совершения преступления; 8) обеспечение сохранности информации и предотвращение ее уничтожения в случае корпоративных конфликтов, процедур банкротства, саботажа и трудовых споров; 9) восстановление утраченного или неполного архива первичных документов путем поиска электронных копий в переписке, на компьютерах пользователей и серверах. Подводя итог, хотелось бы отметить, что в настоящее время роль цифровой информации как источника доказательств неуклонно растет. Учитывая сложность и вариативность цифровой информации, присутствующей в современных компьютерных системах, важно использовать самые передовые и современные техники, подходы и средства для сбора, а также анализа цифровых данных, проводимых как в рамках внутренних корпоративных расследований, так и процессуальных споров. Наличие у провайдера услуг в сфере компьютерных исследований существенного опыта, собственной методологической базы, специальных знаний, а также необходимого программного и аппаратного обеспечения – обязательные условия, гарантирующие получение быстрого и эффективного результата. Мнениями по данному вопросу в электронном выпуске № 20 (277) на www.advgazeta.ru также делятся: 1) Никитин К. Только с помощью электронного источника. О некоторых видах электронных доказательств; 2) Янковский Р., Зубрилова Н. Обеспечение доказательств. Приемы, используемые при ведении дел; 3) Безбородов А. Цифровая информация – доказательство. Практические аспекты использования электронных доказательств в рамках рассмотрения гражданских дел.

источник-НАГ.№20.2018.