Расследование киберпреступлений — Информационная безопасность, технические меры по борьбе с обналом.

Расследование киберпреступлений

Заместитель руководителя отдела компьютерно-технических

и инженерно-технических исследований Главного управления

криминалистики Следственного комитета Российской Федерации

– Алексей Николаевич, расскажите, пожалуйста, какая на сегодняшний день сложилась ситуация в России и в мире по киберпреступности?

– Ежегодная оценка состояния киберпреступности в России, которую дали аналитики ведущих зарубежных (Global Cyber Security Company) и отечественных (Group-IB) компаний, заставляет тревожиться как неспециалистов, так и специалистов. Первых более всего волнует заметное снижение уровня защищенности гражданина современного информационного общества, и при этом спектр болезненных проблем достаточно широк – от технической незащищенности ПДн до уязвимости систем обеспечения работы с электронной наличностью. Вторых волнуют все аспекты проблемы: технические, правовые и организационные.

Вместе с тем в развитии ситуации с киберпреступностью видны и положительные тенденции: она перестала быть латентной (скрытой) в техническом и правовом аспектах. То есть сегодня в России есть и востребованы специалисты различных профессий: способные выявить кибератаку, принять решение о том, ограничиться ли техническими мерами противодействия или же дополнить их правовыми мерами реагирования; способные расследовать киберпреступление и адекватно оценить уровень его общественной опасности путем уголовно-правовой квалификации; способные рассмотреть дело в суде и вынести обоснованный приговор.

Сегодня в России и на Западе эти направления противодействия киберпреступности активно развиваются и стали достаточно мощными. Все это позволяет говорить о том, что тенденции киберпреступности контролируются, а процесс борьбы с ней развернут и находится в активной фазе.

– Опишите, пожалуйста, шаги расследования преступления в информационной сфере.– Первый шаг – это всегда оценка ситуации сотрудниками правоохранительных органов и попытка понять, что же технически произошло, к какой охраняемой законом информации произошел неправомерный доступ, какие признаки преступления, говоря юридическим языком, содержатся в известных и объективных фактах. Если технически правильно и юридически корректно собрать достаточное количество информации, то на следующем этапе может быть принято решение о возбуждении уголовного дела, которое будет расследоваться другими квалифицированными специалистами – следователями при поддержке сотрудников оперативных подразделений и экспертов в области компьютерно-технических исследований. Чтобы суд вынес приговор в соответствии с действующим уголовным и уголовно-процессуальным законодательством, необходимы следующие основные действия от компетентных органов:

  • доказать, что само событие преступления было, для чего определить и зафиксировать документально время, место, способ и другие обстоятельства совершения преступления;
  • доказать вину определенных лиц в совершении преступления;
  • исследовать обстоятельства, характеризующие личность обвиняемого;
  • задокументировать вред, причиненный преступлением;
  • выявить обстоятельства, способствовавшие совершению преступления.

– Алексей Николаевич, перечислите цели компьютерно-технической экспертизы.

– Цель компьютерно-технической экспертизы – найти цифровые следы, связанные с деятельностью человека или группы людей, оценить соответствие этих следов какой-то конкретной ситуации и выделить из них те, которые являются криминалистически значимыми, то есть могут и должны лечь в основу расследования. Важная проблема – представление результатов исследования в таком виде, чтобы они были понятны специалистам с чисто юридическими знаниями, не знакомым с тонкостями IT, – судьям, прокурорам, адвокатам и другим участникам судопроизводства.

– Назовите, пожалуйста, общепринятые модели анализа цифровых данных для судебных целей.

– На сегодняшний день есть две модели:

  • обеспечивающая максимальную скорость обработки цифровых данных и ориентированная на решение типовых (стандартных) задач;
  • индивидуального подхода, «обстоятельная» и ориентированная на редкие или просто уникальные задачи.

Первая использует профессиональное цифровое оборудование, специализированные экспертные программы типа Encase или FTK Lab, но практически не позволяет учитывать индивидуальные технологии подготовки и совершения киберпреступлений.

Модель индивидуального подхода, напротив, учитывает все озвученные выше индивидуальные особенности, поскольку эксперт подбирает специализированные программы и в целом технологию производства экспертизы, основываясь на известных ему информационных и технологических закономерностях конкретного преступления. В целом можно сказать о handmade в области компьютерно-технической экспертизы, что позволяет отыскать в информационной среде редкие, необычные следы, которые будут доказательством по уголовному делу.

– Алексей Николаевич, опишите основные проблемы, с которыми приходится сталкиваться при расследовании.

– Сразу хочу оговориться, что расследованием компьютерных преступлений и преступлений в сфере IT занимается МВД России. Но поскольку я долгие годы вместе с коллегами готовил по специальной программе экспертов-компьютерщиков для МВД России и выполнял экспертизу по некоторым резонансным киберпреступлениям, то могу с уверенностью утверждать, что основной проблемой является в целом недостаточная IT-грамотность оперативников и следователей правоохранительных ведомств. Оговорюсь, что именно в целом, поскольку всегда есть небольшое сообщество профессионалов – оперативников, следователей, которые участвуют в расследовании наиболее резонансных дел, но киберпреступ-лений так много, что влияние этого сообщества на процессы борьбы с киберпреступностью статистически мало.

Оценка объемов рынка киберпреступности в РФ* Интернет-мошенничество Мошенничество в системах интернет-банкинга – $446 млн

Обналичивание других нелегальных доходов – $89 млн

Хищение электронных денег – $23 млн

Спам Медикаменты и различная контрафактная продукция – $173 млн

Поддельное ПО – $120 млн

Другое (дейтинг, образование, сфера услуг, путешествия и т.д.) – $493 млн

Внутренний рынок (C2C) Продажа трафика – $167 млн

Продажа эксплойтов – $52 млн

Продажа загрузок – $33 млн

Анонимизация – $9 млн

DDoS-атаки – $109,8 млн

*Исследование проведено компанией Group-IB.

Необходимо дополнительное обучение всех категорий юристов современным информационным технологиям не только как продвинутых пользователей офисных программ, а как лиц, осведомленных в стандартах и новациях IT в целом, особенно осведомленных в юридических аспектах обеспечения функционирования IT. Если на Западе очень часто юристы, работающие в сфере IT, имеют два образования – юридическое и техническое, то в России вопросами расследования киберпреступлений занимаются люди, проходящие краткосрочную специальную подготовку – иногда лишь формально – в юридическом вузе МВД по юридическим аспектам расследования преступлений, без учета специфики современных IT-процессов. Таким юристам крайне сложно понять в ходе расследования или судебного процесса выявленные экспертами детали кибератаки, например работу бота по расписанию; очень непросто оценить содержательную часть заключения эксперта компьютерно-технической экспертизы, допросить подозреваемого, обвиняемого, подсудимого, который совершал DDoS-атаки или какие-то иные наказуемые в уголовном порядке действия. По большому счету существует проблема вынесения судебного решения, поскольку оно по закону должно основываться на внутреннем убеждении судьи, для формирования которого ему просто может не хватать IT-знаний.

– Какие сектора экономики наиболее уязвимы перед хакерскими атаками?

Алексей Яковлев

и инженерно-технических исследований Главного управления

криминалистики Следственного комитета Российской Федерации

Обсуждение

Автор: dima, | 16-05-2015 01:07

Автор: НФ, КАМА | 16-05-2015 01:08