Расследование кибернетических инцидентов

Рост киберпреступности, переход ее в фазу индустриализации и своеобразного развития крупного бизнеса со своими бизнес-моделями и партнерами заставляет искать ответ на вопрос: «Существует ли сила, которая могла бы помочь бороться с киберпрестуиностью?» Компании, занимающиеся информационной безопасностью, по большей части нацелены сейчас только на одно — на получение максимальной прибыли, в том числе и за счет сокращения внутренних издержек предприятия. Если ситуация не изменится, то мы увидим новый мир информационных технологий, который будет полностью поглощен организованной преступностью.

Тема правового и правильного проведения расследования компьютерных инцидентов побуждает персонал информационной безопасности осуществлять не только пассивную защиту, но и активно выявлять признаки киберпреступности, документировать ее деятельность и активно взаимодействовать с уполномоченными государственными органами. Глобальная задача — создать в России культуру расследований. Это поможет повысить степень ответственности и приведет к снижению количества преступлений, увеличит эффективность отрасли информационной безопасности для бизнеса.

Если говорить о корпоративном рынке, то устоявшееся мнение гласит, что корпоративная служба безопасности может все сделать сама. Зачастую из-за отсутствия средств, технологий, инструментария, ресурсов и опыта расследования проводятся непрофессионально и не имеют юридических перспектив. Сейчас только передовые западные и российские компании готовы к проведению такого рода мероприятий. Тактика расследования компьютерных инцидентов и преступлений зависит от обстоятельств.

Область расследования компьютерных преступлений относится к сфере тесного взаимодействия предприятия, ставшего жертвой компьютерной атаки, органов следствия и дознания, а также специалистов, обладающих навыками выявления и закрепления следов преступления (будущих судебных доказательств) в виртуальной области, а также способных провести разыскные мероприятия в среде электронных коммуникаций и обнаружить злоумышленников.

При этом необходимо учитывать, что виновник инцидента, как правило, преследует одну из целей: разрушение системы, кража денежных средств, доступ к защищаемой информации, сокрытие других действий, атака некоего информационного ресурса.

Вопросы практики Поэтому на начальной стадии расследования нужно ответить на вопрос о том, какие ресурсы подверглись атаке и, предположительно, кем эго было сделано. Для инцидентов, нанесших существенный ущерб, проводится процессуальное дублирование — создание резервной копии поврежденных систем.

По практике расследования подобных правонарушений в США судебные и правоохранительные органы предпочитают, как правило, точное побитовое копирование систем, либо просто проводят полное изъятие жестких носителей информации^[1]. При этом корпоративные интересы пострадавших не всегда позволяют применить этот метод на практике. Многие стремятся ограничиться подробным отчетом об инциденте, с указанием точного местоположения файлов и лиц, оперировавших с ними. Это позволяет предоставлять следствию не всю информацию, а только те данные, которые имеют отношение к расследуемому событию.

Однако в этом случае исходные файлы должны быть сохранены в исходном состоянии на момент происшествия.

Вопросы и задания для самоконтроля

• 1. Дайте определение понятий «электронные информационные ресурсы, системы и процессы» и «кибернетическая безопасность».
• 2. Какие существуют основные угрозы в области кибернетической безопасности?
• 3. Перечислите основные стандарты архитектуры кибернетической безопасности предприятия.
• 4. Расскажите о стандартах защиты информации на АРМ, в корпоративных сетях и банках данных, при передаче с использованием Интернета, при функционировании систем электронных финансов.
• 5. Каковы основные правила расследования кибернетических инцидентов?

• [1] Просис К., Мандиа К. Расследование компьютерных преступлений. М.: Лори, 2012.С. 24.