Анатолий Земцов → Форензика (компьютерная криминалистика) в рамках арбитражных процессов.
Чем глубже информационные технологии проникают в нашу жизнь, тем больший объем важной информации создается и хранится в электронном виде: сообщения электронной почты, фотографии со смартфона, записи видеорегистратора или данные в навигаторе, сведения об онлайн покупках, поисковые запросы, поставленные «лайки» и многое другое.
Не отстает и бизнес. Компании внедряют системы управления технологическими процессами, используют аналитику больших данных и машинное обучение, электронный документооборот и облачные сервисы, не говоря уже о давно ставших всем привычными дистанционном банковском обслуживании и корпоративной почте.
Одним из следствий такого развития событий является то, что такие «цифровые следы» все чаще становятся важным доказательством при расследовании либо при отстаивании интересов в суде. Причем не только в делах по «классическим» компьютерным преступлениям (272-274, а также более молодая 159.6 УК РФ), но и во многих других категориях дел. Не менее актуальны цифровые следы и для судебной практики по арбитражным делам.
Оспаривание факта направления электронного сообщения, поиск и восстановление данных, получение доступа к защищенным устройствам и файлам, определение даты и способа создания документа, выявление признаков изменений первоначального содержания (редактирования, монтажа) цифровых фотографий или видеозаписей, сравнение программного кода и функционала программ для ЭВМ – это лишь краткий список задач, которые могут быть решены путем работы с цифровыми следами. Даже, казалось бы, малозначимые данные, никаким образом на первый взгляд не связанные друг с другом, при научном подходе и использовании передовых методик могут привести к нетривиальным выводам и подсказать ответы на сложнейшие вопросы.
Пример из практики:
Компания провела конкурс на создание информационной системы поддержки логистики. Подрядчик создал программный комплекс, инсталлировал его и настроил с использованием технологии удаленного доступа. Спустя год заказчик обнаружил неработоспособность отдельных компонентов программы. Подрядчик высказал мнение, что все проблемы – из-за низкого уровня подготовки технического персонала заказчика либо неправильной эксплуатации программы. Однако проведенная компьютерно-техническая экспертиза показала иное: еще на этапе первоначальной удаленной инсталляции подрядчиком были установлены и верно настроены не все компоненты программы. Именно это обнаружилось спустя год в ходе эксплуатации и привело к убыткам заказчика, которые теперь будут заявлены в суде.
Если же компания – сама игрок на рынке информационных технологий, ее «продукт», то есть то, что компания «производит» – это уже сам по себе объект, несущий огромный объем информации.
Пример из практики:
Две крупные региональные компании-производители оборудования. Аппаратная часть значительно отличается, а вот программная, по мнению истца, схожа, а значит — заимствована у него. По ходатайству ответчика специалистом в сфере ИТ-технологий было проведено исследование, которое показало: действительно, программная составляющая схожа. Но исключительно потому, что программисты обеих компаний в процессе написания программ, независимо друг от друга, использовали одинаковые общедоступные open source шаблоны и библиотеки. Оставим в стороне вопросы GPL лицензий, но именно те части, которые были созданы каждой компанией самостоятельно и не являются шаблонными в рамках языка программирования, были абсолютно уникальными. Нарушения со стороны ответчика перед истцом, в этой части, отсутствует.
Пример из практики:
Программист, долгое время проработавший в крупной софтверной компании, решил организовать стартап. Собрал несколько друзей-энтузиастов, сделал первую версию продукта, начались продажи. Прекрасная история молодого бизнеса. Но ровно до того момента, пока продукт не был замечен крупным конкурентом, а по совместительству – бывшим работодателем программиста. Обстоятельно проведенная экспертиза показала, что «новый» продукт (и код, и логика), по большей части, воспроизводит результаты работы программиста, полученные во время работы у бывшего работодателя. Компания, получив мотивированное заключение эксперта и будучи теперь уверена в своей правоте, принимает решение о дальнейших действиях по защите своих прав и коммерческих интересов.
Вместе с тем, цифровые следы – вещь не простая в обращении.
Во-первых, крайне важно знать, как и где, собственно, их искать. Они могут быть умышленно или неумышленно скрыты, уничтожены, изменены, зашифрованы. Они могут находится в той области памяти устройства, которая самим производителем этого устройства не предназначалась для взоров рядового пользователя – и поэтому для доступа к таким следам требуются не только специальные знания и навыки, но и специализированное оборудование и софт.
Во-вторых, цифровые следы – вещь крайне «хрупкая» и, зачастую, не долговечная. Неумелое обращение с ними или упущенное время могут привести к их существенному изменению или даже к безвозвратной утрате. Поэтому крайне важно, чтобы работа с цифровыми следами выполнялась профессионалами, строго следующими научно подтвержденным методикам.
В-третьих, важно правильным образом собрать и оформить цифровые следы не только с точки зрения технологии, но и с точки зрения права. Необходимо знать и неукоснительно соблюдать процессуальные требования законодательства к сбору и фиксации информации – именно это позволит превратить цифровые следы в полновесное доказательство по делу.
В международном юридическом языке лучшие практики в сфере поиска, извлечения и фиксации цифровой информации часто называют digital forensics или electronic forensics, в России – просто «форензика» или «форензик». Но есть и более привычное название – компьютерная криминалистика и компьютерно-техническая экспертиза.
Исторически сложилось так, что изначально (с начала 90-х годов ХХ века) проведением подобного рода экспертиз и исследований в России занимались научно-исследовательские институты или специализированные экспертные лаборатории при правоохранительных органах. Но рост потребности в таких услугах привел к формированию целого нового сегмента рынка услуг, представленного в настоящее время в России экспертами как отечественных, так и зарубежных компаний.
Конечно же, спектр способов и направлений применения методов компьютерной криминалистики и компьютерно-технической экспертизы для нужд практикующих юристов гораздо обширней. Для того, чтобы хотя бы в общих чертах описать их все, понадобился бы целый ряд статей.
Однако без понимания этой специфики, крайне важной с учетом современных тенденций всеобщей информатизации, можно упустить пальму первенства и отдать победу в суде тому, кто разобрался не только в правовой, но и в технологической стороне вопроса.
Не отстает и бизнес. Компании внедряют системы управления технологическими процессами, используют аналитику больших данных и машинное обучение, электронный документооборот и облачные сервисы, не говоря уже о давно ставших всем привычными дистанционном банковском обслуживании и корпоративной почте.
Одним из следствий такого развития событий является то, что такие «цифровые следы» все чаще становятся важным доказательством при расследовании либо при отстаивании интересов в суде. Причем не только в делах по «классическим» компьютерным преступлениям (272-274, а также более молодая 159.6 УК РФ), но и во многих других категориях дел. Не менее актуальны цифровые следы и для судебной практики по арбитражным делам.
Оспаривание факта направления электронного сообщения, поиск и восстановление данных, получение доступа к защищенным устройствам и файлам, определение даты и способа создания документа, выявление признаков изменений первоначального содержания (редактирования, монтажа) цифровых фотографий или видеозаписей, сравнение программного кода и функционала программ для ЭВМ – это лишь краткий список задач, которые могут быть решены путем работы с цифровыми следами. Даже, казалось бы, малозначимые данные, никаким образом на первый взгляд не связанные друг с другом, при научном подходе и использовании передовых методик могут привести к нетривиальным выводам и подсказать ответы на сложнейшие вопросы.
Пример из практики:
Компания провела конкурс на создание информационной системы поддержки логистики. Подрядчик создал программный комплекс, инсталлировал его и настроил с использованием технологии удаленного доступа. Спустя год заказчик обнаружил неработоспособность отдельных компонентов программы. Подрядчик высказал мнение, что все проблемы – из-за низкого уровня подготовки технического персонала заказчика либо неправильной эксплуатации программы. Однако проведенная компьютерно-техническая экспертиза показала иное: еще на этапе первоначальной удаленной инсталляции подрядчиком были установлены и верно настроены не все компоненты программы. Именно это обнаружилось спустя год в ходе эксплуатации и привело к убыткам заказчика, которые теперь будут заявлены в суде.
Если же компания – сама игрок на рынке информационных технологий, ее «продукт», то есть то, что компания «производит» – это уже сам по себе объект, несущий огромный объем информации.
Пример из практики:
Две крупные региональные компании-производители оборудования. Аппаратная часть значительно отличается, а вот программная, по мнению истца, схожа, а значит — заимствована у него. По ходатайству ответчика специалистом в сфере ИТ-технологий было проведено исследование, которое показало: действительно, программная составляющая схожа. Но исключительно потому, что программисты обеих компаний в процессе написания программ, независимо друг от друга, использовали одинаковые общедоступные open source шаблоны и библиотеки. Оставим в стороне вопросы GPL лицензий, но именно те части, которые были созданы каждой компанией самостоятельно и не являются шаблонными в рамках языка программирования, были абсолютно уникальными. Нарушения со стороны ответчика перед истцом, в этой части, отсутствует.
Пример из практики:
Программист, долгое время проработавший в крупной софтверной компании, решил организовать стартап. Собрал несколько друзей-энтузиастов, сделал первую версию продукта, начались продажи. Прекрасная история молодого бизнеса. Но ровно до того момента, пока продукт не был замечен крупным конкурентом, а по совместительству – бывшим работодателем программиста. Обстоятельно проведенная экспертиза показала, что «новый» продукт (и код, и логика), по большей части, воспроизводит результаты работы программиста, полученные во время работы у бывшего работодателя. Компания, получив мотивированное заключение эксперта и будучи теперь уверена в своей правоте, принимает решение о дальнейших действиях по защите своих прав и коммерческих интересов.
Вместе с тем, цифровые следы – вещь не простая в обращении.
Во-первых, крайне важно знать, как и где, собственно, их искать. Они могут быть умышленно или неумышленно скрыты, уничтожены, изменены, зашифрованы. Они могут находится в той области памяти устройства, которая самим производителем этого устройства не предназначалась для взоров рядового пользователя – и поэтому для доступа к таким следам требуются не только специальные знания и навыки, но и специализированное оборудование и софт.
Во-вторых, цифровые следы – вещь крайне «хрупкая» и, зачастую, не долговечная. Неумелое обращение с ними или упущенное время могут привести к их существенному изменению или даже к безвозвратной утрате. Поэтому крайне важно, чтобы работа с цифровыми следами выполнялась профессионалами, строго следующими научно подтвержденным методикам.
В-третьих, важно правильным образом собрать и оформить цифровые следы не только с точки зрения технологии, но и с точки зрения права. Необходимо знать и неукоснительно соблюдать процессуальные требования законодательства к сбору и фиксации информации – именно это позволит превратить цифровые следы в полновесное доказательство по делу.
В международном юридическом языке лучшие практики в сфере поиска, извлечения и фиксации цифровой информации часто называют digital forensics или electronic forensics, в России – просто «форензика» или «форензик». Но есть и более привычное название – компьютерная криминалистика и компьютерно-техническая экспертиза.
Исторически сложилось так, что изначально (с начала 90-х годов ХХ века) проведением подобного рода экспертиз и исследований в России занимались научно-исследовательские институты или специализированные экспертные лаборатории при правоохранительных органах. Но рост потребности в таких услугах привел к формированию целого нового сегмента рынка услуг, представленного в настоящее время в России экспертами как отечественных, так и зарубежных компаний.
Конечно же, спектр способов и направлений применения методов компьютерной криминалистики и компьютерно-технической экспертизы для нужд практикующих юристов гораздо обширней. Для того, чтобы хотя бы в общих чертах описать их все, понадобился бы целый ряд статей.
Однако без понимания этой специфики, крайне важной с учетом современных тенденций всеобщей информатизации, можно упустить пальму первенства и отдать победу в суде тому, кто разобрался не только в правовой, но и в технологической стороне вопроса.
Нет комментариев