+7 (3452) 595-805 (многоканальный)
+7 (499) 215-29-99

Расследование компьютерных преступлений

РАССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

С ростом уровня информатизации бизнеса многократно увеличивается уровень возможных финансовых потерь и рисков, а для киберпреступников растет привлекательность получения противозаконного заработка.

С каждым годом частота преступлений в компьютерной сфере и объем наносимого ими ущерба увеличиваются в геометрической прогрессии. Основная причина тому – высокая доходность такого противозаконного бизнеса и прорехи в законодательстве и судовой практике РФ.

Преступления, совершаемые с использованием компьютерных средств и систем, принято называть компьютерными преступлениями. Эта дефиниция должна употребляться не в уголовно-правовом аспекте, где это только затрудняет квалификацию деяния, а в криминалистическом, поскольку связана не с квалификацией, а именно со способом совершения и сокрытия преступления и, соответственно, с методикой его раскрытия и расследования.

Компьютерная информация применительно к процессу доказывания может быть определена как фактические данные, обработанные компьютерной системой и (или) передающиеся по телекоммуникационным каналам связи, а также доступные для восприятия, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения уголовного или гражданского дела.

Источниками компьютерной информации служат:

  • машинная распечатка;
  • накопители на магнитных, оптических и иных носителях;
  • база данных оперативной памяти ЭВМ или постоянного запоминающего устройства.

Для совершения компьютерных преступлений злоумышленники используют:

  • подбор паролей, ключей и другой идентификационной информации;
  • подмену IP-адресов, пакетов, передаваемых по сетям (в т. ч. интернет), их маскировка под доверительного источника информации, поступившей по внутренним сетям связи;
  • инициирование отказа в обслуживании — воздействие на сеть или отдельные ее части с целью нарушения порядка штатного функционирования;
  • прослушивание и расшифровка трафика с целью сбора идентификационной информации (паролей, кодов доступа);
  • сканирование с использованием программ, последовательно перебирающих возможные точки входа в систему (например, номера TCP-портов или телефонные номера) с целью установления путей и возможностей проникновения;
  • подмену, навязывание, уничтожение, переупорядочивание или изменение содержимого данных (сообщений), передаваемых по сети, и др.

Известны следующие способы совершения компьютерных преступлений:

а) методы перехвата: подключение к компьютерным сетям; электронный поиск данных (паролей, имен пользователей и т. п.);

б) методы несанкционированного доступа: подключение к линии законного пользователя через интернет, через слабые места в защите системы, при системной поломке, либо под видом законного пользователя;

в) методы манипуляции:

  • подмена данных;
  • «троянский конь» — тайный ввод в чужую программу команд, позволяющих, не изменяя работоспособность программы, осуществить определенные функции. Этим способом преступники обычно отчисляют на свой счет определенную сумму с каждой операции. Вариантом является «салями», когда отчисляемые суммы малы и их потери практически незаметны (например, по 10 центов с операции), а накопление осуществляется за счет большого количества операций;
  • «бомба» — тайное встраивание в программу набора команд, которые должны сработать (или срабатывать каждый раз) при определенных условиях либо в определенные моменты времени (например, вирус «Чернобыль», который активизируется 26 апреля — в день аварии на Чернобыльской АЭС);
  • моделирование процессов, в которые преступники хотят вмешаться, и планируемые методы совершения и сокрытия посягательства для оптимизации способа преступления. Одним из вариантов является реверсивная модель, когда создается модель конкретной системы, в которую вводятся реальные исходные данные и учитываются планируемые действия. Из полученных правильных результатов подбираются правдоподобные желательные. Затем путем прогона модели назад, к началу, выясняют результаты и устанавливают, какие манипуляции с исходными данными нужно проводить. Таких операций может быть несколько. После этого остается только осуществить задуманное.

Как правило, компьютерные преступления совершаются с помощью того или иного сочетания приведенных выше приемов.

В случае состоявшегося инцидента информационной безопасности, организации необходимо незамедлительно провести его грамотное расследование – выявить уязвимости, пресечь их дальнейшее использование, определить «источник» угрозы, ее исполнителя, грамотно собрать улики и доказательства преступления и предоставить материалы в правоохранительные органы для возбуждения дела об административном и (или) уголовном правонарушении.

РЕШАЕМЫЕ ЗАДАЧИ

Для разрешения судебного спора по вопросам связанными с компьютерными преступлениями, необходимо предоставить в суд объективную картину всех обстоятельств судебного дела с точки зрения информационных технологий. Для этого суд назначает судебную компьютерно-техническую экспертизу. В рамках данной экспертизы эксперт должен предоставить суду экспертное заключение. Эксперт делает заключение на основе собранных в рамках конкретного судебного дела цифровых доказательств. Цифровые доказательства, связанные с компьютерными преступлениями и изъятые с места происшествия, могут быть легко изменены как в результате ошибок при их изъятии, так и в процессе расследования. Представление подобных доказательств в судебном процессе требует специальных знаний и соответствующей подготовки.

Выполнение подобных задач требует отдельных человеческих ресурсов и их 100%-ного вовлечения в процесс. При этом необходима высокая квалификация специалистов – владение методиками и процедурами сбора и представления доказательств, их подачи в компетентные инстанции, знание законодательных нормативов и тонкостей для формирования понятного состава обвинения (в условиях работы со случаями нарушения законодательства в узкоспециализированной сфере, которая обычно недостаточно понятна представителям судебно-административной системы) и т. д.

ПОТРЕБИТЕЛИ УСЛУГИ

Диапазон лиц, для кого предназначена данная услуга, велик. Жертвами преступлений в компьютерной сфере могут стать как крупные компании, так и простые люди (частные лица).

СТОИМОСТЬ

Стоимость проведения экспертизы сильно варьируется, так как зависит от конкретного инцидента информационной безопасности, объема работ и тех вопросов, которые ставит перед экспертом суд.

СРОКИ ВЫПОЛНЕНИЯ РАБОТ

Из сложившейся практики срок проведения экспертизы может варьироваться от 2 до 6 недель.

КОМПЛЕКС МЕРОПРИЯТИЙПО РАССЛЕДОВАНИЮ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

  • восстановление хронометража событий;
  • выявление причин произошедшего инцидента информационной безопасности;
  • выявление возможных виновников (инициаторов) инцидента;
  • анализ уязвимостей внедренного в организации режиме обеспечения безопасности коммерческой тайны, выработка мер по их устранению;
  • оформление информации (доказательств) в качестве юридически значимой доказательной базы.

НАШИ ПРЕИМУЩЕСТВА

Во-первых, ООО «КБ-Информ» - лицензиат ФСБ и ФСТЭК, имеющий штат высококвалифицированных специалистов в сфере обеспечения информационной безопасности.

Во-вторых, «КБ-Информ» располагает наработанным практическим опытом в вопросах расследования компьютерных преступлений и взаимодействия с соответствующими государственными органами.

Вопросы? Пожалуйста, обращайтесь к нашим специалистам:
Тел: +7 (3452) 595-805; электронная почта: info@kbinform.ru.
Обратная связь