Современные информационные технологии 4. Информационная безопасность
К.т.н. Кривошеенко Ю.В.
Институт
управление и информатики, Москва, Россия
Расследование компьютерных преступлений как
компонент обеспечения информационной безопасности
Невысокая
компетентность пользователей в области информационной безопасности (ИБ),
недостаточное финансирование направления ИБ в компаниях, а главное –
принципиальная невозможность обеспечить полную защищенность информации,
определяют актуальность введения в процесс обеспечения корпоративной ИБ еще
одной стадии – расследования компьютерных преступлений (РКП). Несомненным
стимулом, активно подталкивающим предприятия и организации России к проведению
РКП, является стремительный рост компьютерной преступности, усугубляемый слабо
развитой правоприменительной практикой в области борьбы с нею. В результате
одни только киберпреступники, являющиеся гражданами России, украли в стране в
2010 г. около 1,3 млрд. долл. При этом юридическую ответственность понесла ничтожная
их часть – всего только 0,1% преступников.
Провести
различие между ИТ-инцидентами и ИБ-инцидентами непросто, и во многом это
делается формально. Предприятия формализуют эту область, разрабатывая и внедряя
политики обеспечения ИБ. Всякое нарушение любого из таких правил признается
внутри компании ИБ-инцидентом. В отдельную категорию следует выделять
ИБ-инциденты, ставшие следствием компьютерного преступления. Зачастую грань
между этими двумя типами инцидентов – приводящими и не приводящими к РКП, –
может размываться, так как не всегда сразу бывает понятно, связан ли
обнаруженный инцидент с совершенным преступлением или нет. Несмотря на
существенные различия, цели в обоих случаях расследований схожи: нужно выявить
причину возникновения инцидента, найти виновных, устранить или минимизировать
возможность повторения инцидента и, естественно, устранить последствия, им вызванные.
Компьютерное
преступление всегда является инцидентом ИБ, а вот инцидент ИБ далеко не всегда
преступление. Так, многие неумышленные действия пользователей могут приводить к
возникновению ИБ-инцидентов, но, однако, это не компьютерные преступления. Чтобы
четко разделять ИБ-инцидент и компьютерное преступление, напомним, что
преступление – это деяние, вступающее в противоречие с действующим
законодательством. Безусловно, количество произошедших ИБ-инцидентов всегда
выше, нежели количество компьютерных преступлений. Вместе с тем, чем больше
случается инцидентов, тем выше вероятность преступления. Важно отметить, что
только правоохранительные или судебные органы могут квалифицировать ИБ-инцидент
как преступление в сфере компьютерной информации. Соответственно, расследование
ИБ-инцидентов должно переходить в РКП только в случае наличия признаков состава
преступления.
Приоритеты
каждой из указанных выше целей расследования могут различаться в зависимости от
стоимости расследования и понесенного ущерба. Расследование ИБ-инцидентов
должно быть неотъемлемой частью системы ИБ компании. Без регулярного аудита и
расследования инцидентов эффективное функционирование ИБ-системы невозможно,
так как в этом случае компания обрекает себя на повторение инцидентов.
Также
укажем на существенные различия между компьютерными инцидентами и компьютерными
преступлениями в части требований к процедуре сбора доказательств. Преступления
совершают преступники, а преступником человека может признать только суд. Суд
же руководствуется в своей деятельности четко определенными требованиями к
вещественным доказательствам, представленным в электронном виде, регламентируя
способ их получения и предъявления суду. Сбор и предоставление следствию
вещественных доказательств совершения компьютерного преступления – прерогатива
исключительно спецслужб, имеющих право проводить следственные и розыскные
мероприятия. Корпоративные ИБ-службы не имеют права собирать и предоставлять
суду доказательства совершения компьютерных преступлений.
Именно
довольно сложная процедура легитимного получения доказательств, иногда
сопровождающаяся изъятием спецслужбами корпоративной компьютерной техники,
является причиной того, что многие ИБ-инциденты, которые могли бы
расследоваться как компьютерные преступления, не переводятся компаниями в эту
фазу. Если преступление было совершено извне, ИБ-службы лишь отражают
вторжение, латают бреши в защите предприятия. Сегодняшняя практика такова, что
связываться со спецслужбами специалисты корпоративного ИБ-подразделения, как
правило, решаются только в случае мошенничества с системами дистанционного
банковского обслуживания, когда со счетов клиентов пропадают реальные деньги,
или когда дело касается информации, составляющей охраняемую законом тайну. Рассматривая
необходимость перевода ИБ-инцидента в разряд компьютерного преступления, отметим,
что показателем такой трансформации может служить преднамеренность действий
нарушителя ИБ.
Наряду
с инцидентами ИБ, которые обязательно нужно переводить в фазу РКП, существуют
инциденты, в отношении которых целесообразно применять не расследование, а
другие, корректирующие, меры. Это может быть обучение персонала, внедрение
технического контроля и тому подобных процедур. В целом, если мы говорим о
целесообразности проведения РКП для коммерческих структур, то в нынешних
правовых условиях вступает в силу бизнес-подход, нацеленный на анализ выгод и
издержек, и это нормально.
Важнейшая
задача расследования – поиск ответа на вопрос, что нужно предпринять, чтобы не
допустить повторения подобного впредь. Кода система защиты активов компании по
каким-то причинам не срабатывает, именно этот принцип вступает в действие –
причина должна быть найдена, а виновный наказан. Если инцидент не
классифицируется как компьютерное преступление, то службы безопасности
организации могут провести по факту его свершения внутреннее расследование. К
расследованию следует также привлекать и владельцев ресурсов, затронутых
инцидентом.
Результатом
внутренних расследований зачастую оказывается сбор доказательств вины
сотрудника, намеренно или по халатности допустившего инцидент, достаточных для
того, чтобы вынести какое-то решение о его наказании в рамках трудового
соглашения. Чаще всего внутренние расследования сводятся к анализу и
предоставлению руководству некоторых электронных доказательств причин инцидента
и вины сотрудника.
Компании
переводят расследование ИБ-инцидентов в РКП в тех случаях, когда им наносится
значительный финансовый, репутационный или иной вид ущерба. В этом случае РКП
позволяет получить правовые основания для привлечения злоумышленника к
ответственности в соответствии с действующим законодательством. Организация
расследования должна быть направлена на то, чтобы скоординировать действия в
случае возникновения ИБ-инцидента или преступления, минимизировать последствия
для функционирования информационных систем, а также целостности и доступности
данных, защитить репутацию компании и в кратчайшие сроки восстановить ее
работоспособность.
Готовность
к проведению РКП обеспечивает компании наличие регламента расследования
инцидентов, который должен быть разработан и утвержден. Именно в этом документе
прописываются конкретные роли и ответственные лица, участвующие в различных
этапах расследований. При этом для разных видов инцидентов могут быть
разработаны различные регламенты.
Процесс
РКП включает в себя следующие этапы:
· регистрацию инцидента, указывающего на
совершение преступления;
· принятие мер по его локализации и прекращению;
· сбор исходных данных, необходимых для
расследования;
· правовую оценку инцидента, позволяющую
определить возможность и необходимость передачи материалов расследования в
прокуратуру;
· определение круга лиц, которые могут быть
причастны к преступлению и попустительству ему;
· выявление причин инцидента и выработка
рекомендаций по предотвращению подобного в будущем.
Характеризуя
этапы проведения РКП, отметим, что стартовой точкой этого процесса должно быть
реагирование. Оно подразумевает выполнение таких работ, как сбор цифровых
доказательств и выявление обстоятельств возникновения инцидента, формирование
оперативного плана по сдерживанию инцидента и минимизации ущерба. Как на этапе
реагирования, так и на этапе расследования инцидента привлекаются эксперты,
которые проводят криминалистические исследования. На этапе расследования
происходит актуализация собранной информации, выявляются причины произошедшего
инцидента, идентифицируются лица, причастные к нему. В итоге должен быть
сформирован пакет документов для передачи в правоохранительные органы с целью
возбуждения дела об административном или уголовном преступлении.
Согласно
установленным в нашей стране законам, инициатором расследования преступления
является потерпевшее лицо (юридическое или физическое), которому противоправные
действия нанесли ущерб. Для успешного проведения РКП очень важны своевременное
обращение с заявлением и скорость предоставления информации для установления
хронологии события.
Учитывая
современные реалии, связанные с распространением ИКТ, проводить расследование
ИБ-инцидентов в настоящее время только организационными мерами, без специальных
программных и технических решений, не представляется возможным. Эффективность
расследования напрямую связана с наличием у компании специальных систем
протоколирования и аудита или как минимум системы централизованного управления
сетью с функциями протоколирования изменений в ней и периодическими проверками
сети специальным ПО. В случае инцидентов формируемые такими системами отчеты
помогают ускорить расследование и повышают вероятность его успешного завершения.
Мы
считаем направление РКП весьма перспективным, в том числе и для предоставления
услуг в этой области в форме аутсорсинга. Практика уже показывает, что только
сочетание традиционного использования превентивных ИБ-решений и методов РКП
позволяет оказать эффективное противодействие компьютерным преступникам.