Компьютерные инциденты, чаще всего, вирусного характера случаются в различных организациях. Поведение службы безопасности и технического отдела компаний при обнаружении следов компьютерного преступления бывает разным.
Многие ли организации при обнаружении вирусного заражения своей компьютерной системы обращаются с заявлением в полицию?
Ответ: не каждая организация хочет, чтобы в ходе расследования установили вину их штатного сотрудника, посещающего в рабочее время сайты, распространяющие вредоносное программное обеспечение, например, при просмотре пользователем эротических материалов.
Разумеется, что подобная беспечность в вопросах охраны своей коммерческой информационной системы присутствует только в компаниях с низкими требованиями к качеству менеджмента. Серьезные и целеустремленные организации уже давно отрегулировали свои внутренние информационные процессы до безопасного уровня.
Таким компаниям известно, что при обнаружении следов компьютерного инцидента нужно:
- провести внутренне расследование с целью установления и обеспечения сохранности доказательств правонарушения;
- провести, при необходимости, независимые экспертизы компьютерного инцидента и получить экспертное заключение, а также подтверждение фиксации доказательств для последующего заявления в правоохранительные и судебные органы;
- обратиться с заявлением в полицию.
Вопросы для подготовки к расследованию компьютерных инцидентов.
1. Нужно установить объект экспертизы - что было скомпрометировано?
2. Указание среды компьютерного инцидента - где произошел инцидент?
3. Установить причины возникновения компьютерного инцидента - почему компьютерный инцидент был совершён?
4. Установить способ и средства, используемые для совершения компьютерного инцидента - каким образом совершён компьютерный инцидент?
5. Определить размер ущерба от КИ - к каким результатам привёл компьютерный инцидент?
6. Установить круг лиц, причастных к совершению КИ - кто причастен к компьютерному инциденту?
7. Провести сбор и фиксацию доказательств КИ (эти действия должен совершать только специалист во избежание случайного уничтожения или изменения улик) - какие собраны доказательства компьютерного инцидента?
8. Определить меры, необходимые для недопущения подобных инцидентов в будущем - как не допустить повторения случившегося компьютерного инцидента?
В случае, если организации нужно установить много моментов и на большинство вышеприведённых вопросов штатные сотрудники ответить не могут, можно заказать платную экспертизу компьютерного инцидента.
Например, компания "Доктор Веб" оказывает платные услуги по Экспертизе вирусозависимых компьютерных инцидентов (ВКИ), подробнее можно узнать на сайте этой компании.
автор: юрист Демешин С.В.