Тема компьютерных преступлений не сходит с новостных лент информационных агентств. DDoS-атаки, взломы серверов, утечки конфиденциальных данных и денежных средств по вине инсайдеров и вследствие заражения — перечислять можно долго. Но это новости о событиях — новостей о судебных решениях практически нет. В чем причина?
С точки зрения законодательства все необходимое давно имеется. В главе 28 УК РФ “Преступления в сфере компьютерной информации” содержится целых три статьи: ст. 272 “Неправомерный доступ к компьютерной информации”, ст. 273 “Создание, использование и распространение вредоносных компьютерных программ” и ст. 274 “Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей”.
К тому же компьютерные преступления, подпадающие под главу 28 УК РФ, зачастую сопровождаются другими преступлениями: нарушение авторских и смежных прав, мошенничество, изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов, уклонение от уплаты налогов с организаций, нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну.
То есть осудить можно. Остается вопрос о том, почему преступления не доходят до суда. И первая причина — конфликт интересов на всех уровнях, от руководства компаний до системных администраторов.
Руководство компаний-жертв понимает, что даже сам факт расследования может привлечь нежелательное внимание к компании со стороны и клиентов, и надзорных органов. Особенно это относится к руководителям финансовых и банковских учреждений, которые не хотят, чтобы клиенты сомневались в их надежности. А надзорные органы вполне могут заинтересоваться, почему в организации, отчитавшейся о выполнении всех предъявляемых к ней требований, вдруг произошло такое событие.
Плюс традиционное для нашего общества недоверие к правоохранительным органам: если компания расскажет все о своей структуре безопасности — не утекут ли эти данные? К тому же на переданных на анализ компьютерах могут оказаться не только конфиденциальные данные, но и нелицензионное ПО. Возникает логичное желание решить проблему своими силами, подкрепленное нежеланием выносить сор из избы.
Кто может заняться расследованием в структуре компании? Зачастую только системные администраторы. Но они не могут заниматься расследованием преступлений. Во-первых, из-за вышеупомянутого конфликта интересов. Согласно должностным обязанностям первое, что должен сделать администратор при обнаружении инцидента, — закрыть проблему: донастроить файервол, уничтожить вирус, проникший в локальную сеть, и т. д. Но такие действия несовместимы с действиями по расследованию преступлений.
Все мы смотрели детективы и помним, что происходит во время следствия. Сбор доказательств, изучение документов, следственный эксперимент с участием подозреваемого... Для многих является открытием, что в случае компьютерного преступления все идет тем же порядком.
Во-первых, нужно установить факт преступления. Точнее, нужно выделить среди инцидентов, которые ежедневно разбирают администраторы, факты, указывающие на возможное преступление. Но как отличить случай, когда файлы оказались зашифрованы в результате банального заражения, произошедшего по вине администратора, неверно настроившего систему безопасности, от ситуации, когда это случилось по вине инсайдера?
При подозрениях на вредоносную программу сисадмин должен провести проверку на вирусы, уничтожить найденные подозрительные процессы и т. д. Но с точки зрения расследования он тем самым уничтожит все улики. У всех на слуху прецедент, когда в результате несоблюдения процедуры расследования защита смогла подвергнуть сомнению правомерность использования в качестве доказательств изъятых компьютеров — в ходе исследования на файлах компьютеров изменились даты последнего доступа.
Но в большинстве компаний не используются никакие средства аудита системы и уж тем более средства анализа инцидентов. Как в таком случае выделить подозрительный инцидент из огромного потока событий?
Расследование инцидента безопасности может занимать от нескольких дней до нескольких месяцев. И все это время сотрудник, проводящий расследование, будет оторван от текущей работы и его обязанности придется перераспределять среди других работников. А если штат мал или вообще в компании только один сисадмин?
Возвращаясь к процедуре расследования, отметим, что доказательства нужно собрать так, чтобы избежать искажения информации, в том числе и в ходе технических экспертиз. Т. е. не рекомендуется выключать компьютер, ставший объектом преступления. Или же выполнять на нем какие-либо операции.
Обнаружение, осмотр и изъятие компьютеров и компьютерной информации в процессе следственных действий могут совершаться при следственном осмотре, при обыске, выемке, воспроизведении обстоятельств и обстановки происшествия — эти процедуры известны правоохранительным органам, но известны ли они специалистам компании?
Однако в полиции, как правило, отсутствуют и необходимые специалисты, и надлежащее — весьма дорогое — оборудование.
Выходом из тупика может стать обращение к специальной организации, имеющей возможность сбора и анализа данных. Так, компания “Доктор Веб” производит экспертизу компьютерных инцидентов против конфиденциальности, целостности и доступности компьютерных данных и систем, для совершения которых использовались вредоносные программы и потенциально опасное ПО.
Комплекс мероприятий, составляющий эту услугу компании “Доктор Веб”, включает в себя оперативное реагирование — выезд специалиста для локализации инцидента и обеспечения сохранности электронных доказательств. Специалист производит процедуру изъятия жесткого диска (НМЖД) с ПК, участвовавшего в инциденте, снимает с него аутентичную криминалистическую копию (образ) и оформляет изъятый НМЖД в качестве вещественного доказательства. Все описанные процедуры выполняются в строгом соответствии с требованиями УПК РФ. Также возможен сбор и анализ дополнительной информации, а также текстовых, звуковых, фото-, видеоматериалов, предположительно имеющих отношение к инциденту.
Автор статьи — ведущий аналитик отдела развития компании “Доктор Веб”
СПЕЦПРОЕКТ КОМПАНИИ “ДОКТОР ВЕБ”