Расследование киберпреступлений

Алексей Яковлев
Заместитель руководителя отдела компьютерно-технических
и инженерно-технических исследований Главного управления
криминалистики Следственного комитета Российской Федерации

– Алексей Николаевич, расскажите, пожалуйста, какая на сегодняшний день сложилась ситуация в России и в мире по киберпреступности?
– Ежегодная оценка состояния киберпреступности в России, которую дали аналитики ведущих зарубежных (Global Cyber Security Company) и отечественных (Group-IB) компаний, заставляет тревожиться как неспециалистов, так и специалистов. Первых более всего волнует заметное снижение уровня защищенности гражданина современного информационного общества, и при этом спектр болезненных проблем достаточно широк – от технической незащищенности ПДн до уязвимости систем обеспечения работы с электронной наличностью. Вторых волнуют все аспекты проблемы: технические, правовые и организационные.

Вместе с тем в развитии ситуации с киберпреступностью видны и положительные тенденции: она перестала быть латентной (скрытой) в техническом и правовом аспектах. То есть сегодня в России есть и востребованы специалисты различных профессий: способные выявить кибератаку, принять решение о том, ограничиться ли техническими мерами противодействия или же дополнить их правовыми мерами реагирования; способные расследовать киберпреступление и адекватно оценить уровень его общественной опасности путем уголовно-правовой квалификации; способные рассмотреть дело в суде и вынести обоснованный приговор.

Сегодня в России и на Западе эти направления противодействия киберпреступности активно развиваются и стали достаточно мощными. Все это позволяет говорить о том, что тенденции киберпреступности контролируются, а процесс борьбы с ней развернут и находится в активной фазе.

– Опишите, пожалуйста, шаги расследования преступления в информационной сфере.– Первый шаг – это всегда оценка ситуации сотрудниками правоохранительных органов и попытка понять, что же технически произошло, к какой охраняемой законом информации произошел неправомерный доступ, какие признаки преступления, говоря юридическим языком, содержатся в известных и объективных фактах. Если технически правильно и юридически корректно собрать достаточное количество информации, то на следующем этапе может быть принято решение о возбуждении уголовного дела, которое будет расследоваться другими квалифицированными специалистами – следователями при поддержке сотрудников оперативных подразделений и экспертов в области компьютерно-технических исследований. Чтобы суд вынес приговор в соответствии с действующим уголовным и уголовно-процессуальным законодательством, необходимы следующие основные действия от компетентных органов:

• доказать, что само событие преступления было, для чего определить и зафиксировать документально время, место, способ и другие обстоятельства совершения преступления;
• доказать вину определенных лиц в совершении преступления;
• исследовать обстоятельства, характеризующие личность обвиняемого;
• задокументировать вред, причиненный преступлением;
• выявить обстоятельства, способствовавшие совершению преступления.

– Алексей Николаевич, перечислите цели компьютерно-технической экспертизы.
– Цель компьютерно-технической экспертизы – найти цифровые следы, связанные с деятельностью человека или группы людей, оценить соответствие этих следов какой-то конкретной ситуации и выделить из них те, которые являются криминалистически значимыми, то есть могут и должны лечь в основу расследования. Важная проблема – представление результатов исследования в таком виде, чтобы они были понятны специалистам с чисто юридическими знаниями, не знакомым с тонкостями IT, – судьям, прокурорам, адвокатам и другим участникам судопроизводства.

– Назовите, пожалуйста, общепринятые модели анализа цифровых данных для судебных целей.
– На сегодняшний день есть две модели:

• обеспечивающая максимальную скорость обработки цифровых данных и ориентированная на решение типовых (стандартных) задач;
• индивидуального подхода, "обстоятельная" и ориентированная на редкие или просто уникальные задачи.

Первая использует профессиональное цифровое оборудование, специализированные экспертные программы типа Encase или FTK Lab, но практически не позволяет учитывать индивидуальные технологии подготовки и совершения киберпреступлений.

Модель индивидуального подхода, напротив, учитывает все озвученные выше индивидуальные особенности, поскольку эксперт подбирает специализированные программы и в целом технологию производства экспертизы, основываясь на известных ему информационных и технологических закономерностях конкретного преступления. В целом можно сказать о handmade в области компьютерно-технической экспертизы, что позволяет отыскать в информационной среде редкие, необычные следы, которые будут доказательством по уголовному делу.

– Алексей Николаевич, опишите основные проблемы, с которыми приходится сталкиваться при расследовании.
– Сразу хочу оговориться, что расследованием компьютерных преступлений и преступлений в сфере IT занимается МВД России. Но поскольку я долгие годы вместе с коллегами готовил по специальной программе экспертов-компьютерщиков для МВД России и выполнял экспертизу по некоторым резонансным киберпреступлениям, то могу с уверенностью утверждать, что основной проблемой является в целом недостаточная IT-грамотность оперативников и следователей правоохранительных ведомств. Оговорюсь, что именно в целом, поскольку всегда есть небольшое сообщество профессионалов – оперативников, следователей, которые участвуют в расследовании наиболее резонансных дел, но киберпреступ-лений так много, что влияние этого сообщества на процессы борьбы с киберпреступностью статистически мало.

Необходимо дополнительное обучение всех категорий юристов современным информационным технологиям не только как продвинутых пользователей офисных программ, а как лиц, осведомленных в стандартах и новациях IT в целом, особенно осведомленных в юридических аспектах обеспечения функционирования IT. Если на Западе очень часто юристы, работающие в сфере IT, имеют два образования – юридическое и техническое, то в России вопросами расследования киберпреступлений занимаются люди, проходящие краткосрочную специальную подготовку – иногда лишь формально – в юридическом вузе МВД по юридическим аспектам расследования преступлений, без учета специфики современных IT-процессов. Таким юристам крайне сложно понять в ходе расследования или судебного процесса выявленные экспертами детали кибератаки, например работу бота по расписанию; очень непросто оценить содержательную часть заключения эксперта компьютерно-технической экспертизы, допросить подозреваемого, обвиняемого, подсудимого, который совершал DDoS-атаки или какие-то иные наказуемые в уголовном порядке действия. По большому счету существует проблема вынесения судебного решения, поскольку оно по закону должно основываться на внутреннем убеждении судьи, для формирования которого ему просто может не хватать IT-знаний.

– Какие сектора экономики наиболее уязвимы перед хакерскими атаками?
– Хакерские атаки давно перестали быть интеллектуальной забавой "продвинутых" в IT одиночек. Сегодня есть группы исполнителей различных видов кибератак, есть группы различных категорий заказчиков. Сама кибератака – лишь средство достижения цели. В такой ситуации преобладают экономические и политические цели: деньги и власть – мощнейшие стимулы обращения к методам киберпреступности. Поэтому организации с развитым онлайн-бизнесом, активно использующие электронные платежные системы, сетевые ресурсы политических партий, движений – первые цели кибер-преступников. Сказанное не исключает и разовых акций одиночек или просто их собственного криминального бизнеса, который может негативно сказаться на каждом из нас. Какого рода атак больше, какого меньше – объект исследований специалистов, при этом объективная статистика этих процессов вряд ли сейчас возможна, поскольку в правоохранительных органах не существует даже детального и обязательного учета той или иной специфики киберпреступлений, любая информация, в том числе из зарубежных источников, носит заявительный характер и очень часто основана на информации, получаемой от объектов атак, а не от правоохранительных органов.