Расследование компьютерных преступлений как компонент обеспечения ИБ

Признаваемая экспертами невысокая компетентность российских компьютерных пользователей в области информационной безопасности (ИБ), которая лет на пять отстает от уровня их ИТ-грамотности, недостаточное финансирование направления ИБ в российских компаниях, которое в основном осуществляется по остаточному принципу (ИБ-бюджеты российских предприятий в процентном отношении к общему бюджету примерно в десять раз меньше, чем в компаниях стран с развитыми экономиками), а главное принципиальная невозможность обеспечить полную защищенность информации даже при самом зрелом подходе к организации ИБ, определяют актуальность введения в процесс обеспечения корпоративной ИБ еще одной стадии — расследования компьютерных преступлений (РКП).

Несомненным стимулом, активно подталкивающим предприятия и организации нашей страны к проведению РКП является стремительный рост компьютерной преступности, усугубляемый слабо развитой правоприменительной практикой в области борьбы с нею. В результате, согласно данным совместного исследования, проведенного компаниями Group-IB, ESET и LETA, одни только киберпреступники, являющиеся гражданами России (т. е. без учета вклада “гастролеров”), украли в стране в 2010 г. около 1,3 млрд. долл. При этом юридическую ответственность понесла ничтожная их часть — всего только 0,1% зарегистрированных преступников.

Термины “компьютерное преступление” и “расследование компьютерных преступлений” следует считать официально признанными и употребляемыми всеми инстанциями и организациями, занятыми в процессе расследования преступлений, связанных с использованием современных цифровых технологий.

Место расследования ИБ-инцидентов и РКП в процессе обеспечения ИБ предприятия

Как считают эксперты, провести различие между ИТ-инцидентами и ИБ-инцидентами непросто, и во многом это делается формально. Кто-то будет считать выход из строя почтового сервера ИТ-инцидентом, а для кого-то это будет означать инцидент, связанный с ИБ компании. Предприятия формализуют эту область, разрабатывая и внедряя правила (часто называемые политиками) обеспечения ИБ. Всякое нарушение любого из таких правил признается внутри компании ИБ-инцидентом.

Правда, у каждого из ИБ-инцидентов бывают свои масштабы, а главное — свои последствия для функционирования бизнеса. В отдельную категорию следует выделять ИБ-инциденты, ставшие следствием компьютерного преступления. Зачастую грань между этими двумя типами инцидентов — инцидентами, приводящими и не приводящими к РКП, — может размываться, так как не всегда сразу бывает понятно, связан ли обнаруженный инцидент с совершенным преступлением или нет.

Олег Шабуров считает, что несмотря на существенные различия, цели в обоих случаях расследований очень похожи: нужно выявить причину возникновения инцидента, найти виновных (если они есть), устранить или минимизировать возможность повторения инцидента и, естественно, устранить последствия, им вызванные.

По мнению Андрея Голова, расследование ИБ-инцидентов и РКП (в английском языке для этого направления используется термин digital forensic) —составная часть процесса управления инцидентами ИБ, входящего в систему управления ИБ (СУИБ) компании.

Как отмечает Виктор Сердюк, в большинстве случаев компьютерное преступление всегда является инцидентом информационной безопасности, а вот инцидент ИБ далеко не всегда преступление. Так, многие неумышленные действия пользователей могут приводить к возникновению ИБ-инцидентов, но, однако, это не компьютерные преступления. В качестве примеров таких действий он приводит потерю носителя с конфиденциальной информацией, случайную отправку письма с конфиденциальной информацией внешнему пользователю, которому она не предназначена.

Чтобы четко разделять ИБ-инцидент и компьютерное преступление, сошлемся на мнения других наших экспертов. Так, Алексей Медведев напоминает, что преступление — это деяние, вступающее в противоречие с действующим (в том числе и уголовным) законодательством, которое посягает на охраняемые законом общественные отношения. Безусловно, количество произошедших ИБ-инцидентов всегда выше, нежели количество компьютерных преступлений. Вместе с тем г-н Медведев справедливо отмечает, что чем больше случается инцидентов, тем выше вероятность преступления. “Важно отметить, что только правоохранительные или судебные органы могут квалифицировать ИБ-инцидент как преступление в сфере компьютерной информации”, — подчеркивает он. Соответственно, как замечает Андрей Голов, расследование ИБ-инцидентов должно переходить в РКП только в случае наличия признаков состава преступления, еще раз напоминая, что существуют инциденты ИБ, которые не являются компьютерными преступлениями.

Цели расследований любых инцидентов, по мнению Рустэма Хайретдинова, заключаются в оценке реально понесенного ущерба, поисках причин инцидента и их устранении, а также выявлении виновников и их наказании. При этом приоритеты каждой из целей могут различаться в зависимости от стоимости расследования и понесенного ущерба. Например, считает он, гораздо эффективнее выстроить систему защиты от вирусов и спама, нежели искать и преследовать авторов и организаторов каждого из этих, безусловно вредных, действий. Г-н Хайретдинов выделяет как важнейшее такое предназначение процессов расследования компьютерных инцидентов (в том числе и идентифицируемых как компьютерные преступления), как реализацию одного из основных принципов защиты, а именно — неотвратимость наказания. Как бы совершенно ни была выстроена та или иная система защиты, атакующие при необходимости всегда сумеют пробить в ней брешь и причинить жертве ущерб. Стадия расследования своей наступательностью демонстрирует преступникам асоциальность их поступков и действенность общества в защите своих интересов.

“Расследование ИБ-инцидентов должно быть неотъемлемой частью системы информационной безопасности компании, — считает и Вячеслав Медведев. — Без регулярного аудита и расследования инцидентов эффективное функционирование ИБ-системы невозможно, так как в этом случае компания обрекается себя на постоянное повторение инцидентов”.

Г-н Хайретдинов также указывает на существенные различия между компьютерными инцидентами и компьютерными преступлениями в части требований к процедуре сбора доказательств, обеспечения доказуемого исключения внесения в доказательства изменений. “Преступления совершают преступники, а преступником в правовом государстве, как мы знаем, человека может признать только суд. Суд же руководствуется в своей деятельности четко определенными требованиями к вещественным доказательствам, представленным в электронном виде, регламентируя способ их получения и предъявления суду. Сбор и предоставление следствию вещественных доказательств совершения компьютерного преступления — прерогатива исключительно спецслужб, имеющих право проводить следственные и разыскные мероприятия. Корпоративные ИБ-службы не имеют права собирать и предоставлять суду вещественные доказательства совершения компьютерных преступлений”, — констатирует он.

Согласно наблюдениям Рустэма Хайретдинова, именно довольно сложная процедура легитимного получения доказательств, иногда сопровождающаяся изъятием спецслужбами корпоративной компьютерной техники, является причиной того, что многие ИБ-инциденты, которые могли бы расследоваться как компьютерные преступления, не переводятся компаниями в эту фазу. Если преступление было совершено извне (проникновение в информационную систему компании, вирусная или DDoS-атака), ИБ-службы лишь отражают вторжение, латают бреши в защите предприятия. Если преступление совершено изнутри, сотрудником организации, то администрация старается избавиться от него за какие-либо совершенно другие проступки (вроде опоздания на работу). Сегодняшняя практика, по мнению г-на Хайретдинова, такова, что связываться со спецслужбами специалисты корпоративного ИБ-подразделения, как правило, решаются только в случае мошенничества с системами дистанционного банковского обслуживания, когда со счетов клиентов пропадают реальные деньги, или когда дело касается информации, составляющей охраняемую законом тайну.

Рассматривая необходимость перевода ИБ-инцидента в разряд компьютерного преступления, Олег Шабуров полагает, что показателем такой трансформации может служить преднамеренность действий нарушителя ИБ. Однако не стоит забывать, что сегодня в среде киберпреступников немало оказывается и действующих неумышленно. Ряды их полнятся по причине низкой общей ИБ-культуры в стране, низкого правосознания и практически полной безнаказанности за правонарушения в компьютерной области. Эта категория неумышленных преступников занимает низшие ступени в иерархии цифрового преступного мира и именуется мулами, которым поручают самую неквалифицированную и рискованную работу, как правило, связанную с обналичиванием похищенных денег. Надо полагать, что ситуация изменится хотя бы тогда, когда станет опасно соглашаться давать преступникам свои паспорта для открытия банковских счетов и свои компьютеры для распространения злонамеренных программ или проведения кибератак. Эти меры должны заметно сократить количество наивных (или циничных) мулов.

Как полагает Алексей Медведев, наряду с инцидентами ИБ, которые обязательно нужно переводить в фазу РКП (например, такими, следствием которых является нарушение уголовного законодательства), существуют инциденты, в отношении которых целесообразно применять не расследование, а другие, корректирующие, меры. Это может быть обучение персонала, внедрение технического контроля и тому подобных процедур. “В целом, если мы говорим о целесообразности проведения РКП для коммерческих структур, то в нынешних правовых условиях вступает в силу бизнес-подход, нацеленный на анализ выгод и издержек, и это нормально”, — считает он.

Со своей стороны Рустэм Хайретдинов указывает на то, что в нашей стране существуют и такие обстоятельства, которые обязывают классифицировать ИБ-инцидент как преступление. В качестве примера он приводит случаи, связанные с детской порнографией. Если же дело касается корпоративных активов, то он тоже полагает, что организация может решить сама, эскалировать инцидент до уровня преступления или нет.

По мнению г-на Хайретдинова, важнейшая задача расследования — поиск ответа на вопрос, что нужно предпринять, чтобы не допустить повторения подобного впредь. Когда система защиты активов компании по каким-то причинам не срабатывает, именно этот принцип вступает в действие — причина должна быть найдена, а виновный наказан. Если инцидент не классифицируется как компьютерное преступление, то службы безопасности организации могут провести по факту его свершения внутреннее расследование.

Результатом внутренних расследований зачастую оказывается сбор доказательств вины сотрудника, намеренно или по халатности допустившего инцидент, достаточных для того, чтобы вынести какое-то решение о его наказании в рамках трудового соглашения, например депремировать, объявить выговор, предупреждение и т. п. По наблюдениям Рустэма Хайретдинова, чаще всего внутренние расследования сводятся к анализу и предоставлению руководству некоторых электронных доказательств причин инцидента и вины сотрудника. Следует учитывать, что увольнение сотрудника (расторжение трудового соглашения) по результатам внутреннего расследования уже несет риски того, что сотрудник может обжаловать это решение в суде, а в этом случае и требования к предоставлению доказательств будут уже совершенно другие.

Виктор Сердюк, ссылаясь на свой опыт, полагает, что компании переводят расследование ИБ-инцидентов в РКП в тех случаях, когда им наносится значительный финансовый, репутационный или иной вид ущерба. В этом случае, полагает он, РКП позволяет получить правовые основания для привлечения злоумышленника к ответственности в соответствии с действующим законодательством.

Андрей Голов считает, организация расследования должна быть направлена на то, чтобы скоординировать действия в случае возникновения ИБ-инцидента или преступления, минимизировать последствия для функционирования информационных систем, а также целостности и доступности данных, защитить репутацию компании и в кратчайшие сроки восстановить ее работоспособность.

Основные этапы РКП

Готовность к проведению РКП, как утверждает Виктор Сердюк, обеспечивает компании наличие регламента расследования инцидентов, который должен быть разработан и утвержден. Именно в этом документе прописываются конкретные роли и ответственные лица, участвующие в различных этапах расследований. При этом для разных видов инцидентов, по его мнению, могут быть разработаны различные виды регламентов.

Андрей Голов упоминает среди необходимых подготовительных этапов к расследованиям формирование комиссии по РКП, выделение необходимых программно-технических средств, назначение команды и распределение ролей между ее членами.

По мнению большинства наших экспертов, процесс РКП включает в себя следующие этапы:

• регистрацию инцидента, указывающего на совершение компьютерного преступления;
• принятие мер по его локализации и прекращению;
• сбор исходных данных, необходимых для расследования;
• правовую оценку инцидента, позволяющую определить возможность и необходимость передачи материалов расследования в прокуратуру;
• определение круга лиц, которые могут быть причастны к преступлению и попустительству ему;
• выявление причин инцидента и выработка рекомендаций по предотвращению подобного в будущем.

Характеризуя этапы проведения РКП, Алексей Медведев, сказал, что стартовой точкой этого процесса должно быть реагирование. Оно подразумевает выполнение таких работ, как сбор цифровых доказательств и выявление обстоятельств возникновения инцидента, формирование оперативного плана по сдерживанию инцидента и минимизации ущерба. Он обращает внимание на то, что как на этапе реагирования, так и на этапе расследования инцидента (в случае принятия решения о проведении расследования) привлекаются эксперты, которые проводят криминалистические исследования. Основная задача экспертов-криминалистов заключается в анализе цифровых носителей информации с целью максимально полного восстановления хронологии события. На этапе расследования происходит актуализация собранной информации, выявляются причины произошедшего инцидента, идентифицируются лица, причастные к нему. В итоге должен быть сформирован пакет документов для передачи в правоохранительные органы с целью возбуждения дела об административном или уголовном преступлении. Практика показывает, что в России очень мало специалистов, обладающих квалификацией, необходимой для составления подобных документов. Они, как правило, также привлекаются для юридического сопровождения дела на этапе следственных и судебных мероприятий.

Инициация и проведение этапов РКП. Организационные и технические аспекты

Согласно установленным в нашей стране законам, инициатором расследования преступления является потерпевшее лицо (юридическое или физическое), которому противоправные действия нанесли ущерб (финансовый, репутационный и т. п.). Напомним, расследование преступлений — прерогатива правоохранительных органов. В то же время, по мнению Алексея Медведева, компании, специализирующиеся в области ИБ, могут и даже должны оказывать им содействие в мероприятиях по РКП в качестве технических консультантов. Исходя из своего опыта, он утверждает, что для успешного проведения РКП очень важны своевременное обращение с заявлением и скорость предоставления информации для установления хронологии события. “Однако все усилия становятся совершенно бесполезными, если потерпевшая сторона не желает оказывать содействие расследованию или же из-за неорганизованности с опозданием предоставляет информацию участникам расследования”, — отметил он.

Внутри компании, как считает Андрей Голов, заказчиком (спонсором) процесса управления инцидентами ИБ может быть кто-нибудь из высших руководителей компании (генеральный, операционный директор и т. п.), руководитель службы безопасности (экономической, комплексной) или директор ИТ-службы. В комиссию по расследованию инцидентов (в том числе РКП) могут быть включены представители службы безопасности, ИТ-департамента, представители служб внутреннего контроля (аудиторы), представители управления по внешним связям, операционного департамента и др. Руководить данной комиссией должен один из топ-менеджеров компании. В выработке стратегии реагирования принимают участие все члены комиссии по расследованию инцидентов, а исполнителями большинства этапов расследования внутри компании, по мнению Андрея Голова, являются представители ИБ и ИТ-департаментов. Олег Шабуров считает, что к расследованию следует также привлекать и владельцев ресурсов, затронутых инцидентом.

Учитывая современные реалии, связанные с распространением ИКТ, проводить расследование ИБ-инцидентов в настоящее время только организационными мерами, без специальных программных и технических решений, напоминает Александр Фогельсон, не представляется возможным. Он отмечает, что в процессе обеспечения ИБ свое законное место уже давно занимают такие средства, как защита от несанкционированного доступа (НСД), системы обнаружения и предотвращения вторжений (IDS/IPS), системы предотвращения утечек данных (DLP), системы-ловушки (Honeypot) и др. Вячеслав Медведев в свою очередь напрямую связывает эффективность расследования с наличием у компании специальных систем протоколирования и аудита или как минимум системы централизованного управления сетью с функциями протоколирования изменений в ней и периодическими проверками сети специальным ПО. В случае инцидентов формируемые такими системами отчеты помогают ускорить расследование и повышают вероятность его успешного завершения.

РКП в России: современное состояние и ближайшие перспективы

С точки зрения Виктора Сердюка, на сегодняшний день область РКП в России еще недостаточно развита. “С одной стороны, многие компании предпочитают замалчивать случаи выявленных у них компьютерных преступлений, а с другой — существующая нормативно-правовая база еще слабо проработана, чтобы способствовать быстрому доведению процесса РКП до логического завершения”, — считает он, отмечая вместе с тем, что направление РКП будет активно развиваться в стране в ближайшее время. Это, по его мнению, подразумевает совершенствование нормативно-правовой базы, появление новых инструментов автоматизации процесса расследования инцидентов, а также более активное вовлечение российских коммерческих и государственных компаний и организаций в эти процессы.

Андрей Голов, характеризуя состояние дел в области РКП, тоже считает, что в связи с деликатностью темы, при нынешнем отношении общества к ней и с учетом действующего законодательства процессы РКП, в том числе и в виде внешних услуг, пока не получили должного распространения и отстают от практики в этой области в странах с развитой экономикой. “До судебной практики и преследования по закону большинство случаев ИБ-инцидентов, которые могли бы быть классифицированы как преступления, не доводится. Законодательная база также недостаточно развита. Степень зрелости и заказчиков, и исполнителей пока низка. Большинство инцидентов не идентифицируется, либо это происходит очень поздно для того, чтобы можно было оперативно восстановить цепочку доказательств. У исполнителей расследования часто слабая связь с правоохранительными органами. Внешние услуги по РКП заказываются сегодня по рекомендациям знакомых”, — сказал он. В то же время и он отмечает положительную динамику, ссылаясь на прецеденты преследования компьютерных пиратов, нарушителей режима коммерческой тайны. Он считает, что с повышением осведомлённости заказчиков, развитием и расширением использования ИТ в обществе и в бизнесе, с дальнейшим увеличением ущерба, наносимого компьютерными преступлениями, интерес к теме РКП будет усиливаться, а законодательство в этой области совершенствоваться. По его мнению, в ближайшие несколько лет будет сформирован рынок услуг по РКП, хотя и достаточно узкий.

Вячеслав Медведев отмечает две имеющиеся проблемы: “Первая связана с тем, что действия как по использованию нелицензионного ПО, так и по взлому компьютерных сетей и хищению денег обществом не осуждаются. Второй проблемой является отсутствие необходимого числа специалистов для проведения технических экспертиз, но эта проблема является общей для всей ИТ-индустрии”.

По наблюдениям Алексея Медведева, степень зрелости компаний в области РКП очень разная. Он считает, что адекватное отношение к РКП могут обеспечить только профессиональные сотрудники, которые имеют практические наработки в этой области. “Есть такие сотрудники — есть зрелость, нет сотрудников, нет зрелости”, — заявил он. Он присоединяется к мнению коллег о том, что с нормативно-правовой базой в области РКП в нашей стране есть проблемы. “Например, при совершении преступления в отношении пользователя системы дистанционного банковского обслуживания у следователей сплошь и рядом возникают сложности с установлением места преступления. Формально, по ныне действующим законам, такое преступление классифицируется как распространение зловредных программ, как кража информации об аутентификационных данных, как незаконные операции с банковским счетами, как незаконное обналичивание денежных средств. И каждое из этих преступлений по отдельности может быть совершено в разных городах страны и даже за границей. В этой ситуации возникает очень трудно решаемый в рамках действующих законов вопрос, где место совершения преступления и в чьей юрисдикции расследование этого преступления”, — заметил Алексей.

“Мы считаем направление РКП весьма перспективным, в том числе и для предоставления услуг в этой области в форме аутсорсинга. Практика уже показывает, что только сочетание традиционного использования превентивных ИБ-решений и методов РКП позволяет оказать эффективное противодействие компьютерным преступникам”, — заключает Алексей Медведев.

По мнению Олега Шабурова, на хорошие перспективы направления РКП в России позволяет надеяться большой интерес в стране к области ИБ в целом. Основным движителем российского рынка ИБ, как отмечают в информационно-аналитическом центре Anti-Malware.ru, ссылаясь на результаты своих недавних исследований, по-прежнему выступает государственное и отраслевое регулирование. В первую очередь называются законы “О персональных данных” и “Об электронной подписи”, а также требования банковского стандарта СТО БР ИББС и международного стандарта безопасности для электронных платежных систем PCI DSS.