Ни один бизнес не застрахован от кражи конфиденциальных данных. Заметая следы, злоумышленник рассчитывает, что улик не осталось и нельзя будет ничего доказать. Но цифровой мир не знаком с понятием полного уничтожения. Разбираемся, где искать доказательства кражи базы данных и как правильно подготовить их для суда.
Автор: Роман Солодуха, ведущий эксперт RTM Group
Для начала разберемся с тем, что именно следует искать. Цифровые следы – это любые данные, зафиксированные в информационных системах и на устройствах, которые отражают действия пользователя. Даже если злоумышленник сначала похитил, а затем удалил базу данных, следы его активности сохраняются в разных слоях инфраструктуры.
Где искать цифровые следы
Источники условно делятся на несколько уровней, о каждом из которых мы расскажем подробнее ниже.
На уровне систем защиты информации следы кражи могут быть наиболее полными – это богатейший источник доказательств.
- DLP фиксируют попытки пересылки конфиденциальных данных по каналам почты, мессенджеров, на внешние носители, а также позволяют сохранять копии перехваченных файлов.
- Антивирусы и EDR-решения журналируют все запущенные процессы, сетевые подключения, изменения в реестре, что позволяет восстановить цепочку действий злоумышленника.
- SIEM-системы агрегируют события с различных источников: контроллеров домена, сетевых устройств, серверов, рабочих станций, DLP, EDR, антивирусов, CRM-систем и т.д., выявляя сложные аномалии и взаимосвязи.
Следующий уровень – рабочее место сотрудника. Здесь главными объектами исследования являются персональные компьютеры или ноутбуки, а точнее их HDD и SSD.
Как правило, речь идет о компьютерах под управлением ОС Windows. Здесь анализируются журналы событий, системный реестр, метаданные файловой системы и даже незанятое пространство диска – удаление файла не означает его немедленного уничтожения: до момента перезаписи данные можно восстановить.
Следы остаются в файлах подкачки, дампах памяти, временных файлах программ, например кэш офисных программ или браузеров, точках восстановления ОС. Отдельное внимание уделяется истории браузеров, логам удаленного доступа (TeamViewer, AnyDesk) и записям о подключении внешних устройств – например, USB-накопителей.
Еще один уровень – инфраструктура. Здесь главным образом нас интересуют логи системы контроля и управления доступом (фиксация нестандартного времени работы), записи камер видеонаблюдения. Они помогают подтвердить, когда именно сотрудник работал с данными и находился ли он на рабочем месте в интересующий нас момент времени.
Типовой сценарий: сотрудник выгружает базу 1С, копирует ее на флешку, затем загружает в облако и удаляет исходный файл. Конечно его действия оставляют цепочку следов. Факт подключения USB-устройства фиксируется в реестре Windows. Операции с базой отражаются в журнале самой 1С и метаданных файловой системы. Если использовался файловый сервер, остаются записи о доступе к данным. Передача информации наружу может быть зафиксирована сетевыми средствами, а обращение к облачному сервису – в истории браузера. В ряде случаев сам файл или его фрагменты можно восстановить с диска.
Что делать при подозрении на утечку
Главное правило – не предпринимать самостоятельных активных действий на оборудовании подозреваемого. Даже попытка просто посмотреть папки может уничтожить оригинальные следы и поставить под сомнение обнаруженные доказательства. Необходимо как можно скорее привлечь экспертов.
На первом этапе специалисты определяют объект утечки и круг причастных лиц. Для этого анализируют права доступа и косвенные признаки, например появление у конкурентов коммерческих предложений с использованием ваших данных (номенклатура, цены, персональные данные руководителей), осуществляют поиск слитой информации с помощью специализированных ресурсов (даркнет-форумы, биржи данных, соцсети) на предмет продажи или обсуждения вашей информации.
Далее проводится фиксация и изъятие оборудования. Процедура должна проходить с оформлением акта и, желательно, в присутствии комиссии. Если устройство не выключалось, важно корректно сохранить его текущее состояние: ввести в режим гибернации или сразу сохранить дамп оперативной памяти (например, Belkasoft Live RAM Capturer). Все действия нужно фиксировать на видео и фото.
Следующий шаг – создание точных копий носителей. С помощью специальных аппаратно-программных комплексов (Tableau Forensic Imager) или программ (FTK Imager) с изъятых носителей создаются посекторные бинарные образы. Работа ведется только с этими образами, оригиналы опечатываются и хранятся как вещественные доказательства.
Аналогичные процедуры проводятся при получении логов с серверов, систем защиты информации (DLP, SIEM) и сетевого оборудования. Извлеченные данные хранятся отдельно, для контроля целостности рассчитывается хэш-значение файлов. Работа ведется с копиями.
Если есть основания полагать, что база уже используется, можно инициировать контрольную закупку – попытку получить доступ к данным под видом клиента. Эти действия требуют участия юристов или частных детективов, чтобы их результаты имели доказательственную силу.
Экспертиза: правильные и неправильные вопросы
Задача экспертизы – не только установить обстоятельства инцидента, но и транслировать доказательства из мира цифровой криминалистики так, чтобы суть была понятна руководству и причастным сотрудникам. При этом эксперта можно привлекать как на досудебной стадии (для внутреннего расследования и подтверждения исковых требований), так и в рамках судебного процесса по определению суда. Хорошей практикой является нотариальное назначение экспертизы в порядке обеспечения доказательств. Это придает легитимности досудебным исследованиям.
Одним из самых важных моментов, на который не всегда обращают внимание, является корректная постановка вопросов. Важно понимать, что от этого зачастую зависит исход дела. Частая ошибка – задавать вопросы правового характера, например: "Была ли украдена база?" или "Виноват ли сотрудник?". На них эксперт не должен отвечать.
Корректно будет задать конкретные технические вопросы:
- Есть ли на носителе копии определенного файла (указать модель и серийный номер)?
- Фиксировались ли передачи данных объемом свыше 100 Мбайт за пределы сети (указать идентификатор сотрудника в домене)?
- Подключались ли внешние устройства (указать идентификаторы и период)?
- Какие файлы удалялись и под каким аккаунтом?
Именно такие ответы затем ложатся в основу юридической позиции.
Юридические аспекты
Для успеха в суде необходимо, чтобы сама база данных была надлежащим образом защищена внутри компании. Если организация не следует правилам обеспечения безопасности информации, то доказать нарушение вряд ли возможно.
В организации должны действовать базовые документы, которые подписывают сотрудники: "Положение о коммерческой тайне", "Политика информационной безопасности", "Инструкция по работе с конфиденциальной информацией". В трудовом договоре должен быть пункт о неразглашении.
Ответственность сотрудника
В зависимости от обстоятельств возможны разные виды ответственности.
- Дисциплинарная ответственность подразумевает увольнение по статье (п. 6 "в" ч. 1 ст. 81 ТК РФ – разглашение охраняемой законом тайны). Это актуально, если нарушитель не перешел к конкурентам.
- Материальная ответственность предусматривает взыскание прямого ущерба через суд (ст. 238 ТК РФ).
- Административная ответственность предполагает штраф 5–10 тыс. руб. для сотрудника по ст. 13.14 КоАП РФ "Разглашение информации с ограниченным доступом".
В случае причинения крупного ущерба (свыше 3,5 млн руб.) или наличия корыстного мотива, а также если нарушение совершено группой лиц, может наступать и уголовная ответственность, которая предусмотрена ст. 183 УК РФ "Незаконные получение и разглашение сведений, составляющих коммерческую тайну" – наказание может достигать лишения свободы до 7 лет. Для квалификации по этой статье заключение эксперта о наличии цифровых следов и связи их с конкретным лицом критически важно.
Выводы и профилактика
Как ни странно, для руководителя, пережившего инцидент, есть и поводы для оптимизма! Ведь что в сухом остатке? Инцидент – это не только ущерб (финансовые потери, разочарование в сотруднике, злоупотребившем доверием), но и способ увидеть слабые места в процессах. Такие ситуации помогают:
- выявить лояльность контрагентов – теперь ясно, на кого можно рассчитывать;
- осуществить инспекцию собственной ИТ-инфраструктуры на предмет уязвимостей;
- вскрыть ранее неизвестные утечки или серые схемы работы сотрудников (передача данных партнерам в обход установленных правил).
Сам факт проведения серьезного расследования сильно дисциплинирует коллектив, показывая, что цифровая активность не является анонимной.
Чтобы снизить риски в будущем, внедрите меры профилактики, не требующие значительных затрат:
- Включите логирование ключевых событий. Обеспечьте централизованный сбор и хранение логов в течение 6–12 месяцев.
- Разработайте и утвердите регламент реагирования на инциденты ИБ, включающий порядок изъятия техники и взаимодействия с экспертами.
- Заранее найдите (и протестируйте на небольшой задаче) надежного подрядчика по цифровой криминалистике.
- Регулярно проводите обучение сотрудников с разбором реальных кейсов об ответственности за нарушения.
- Разработайте и обеспечьте подписание сотрудниками базовых регламентов по обеспечению информационной безопасности и режима коммерческой тайны.
Кража цифровых активов – не приговор бизнесу. Это повод выстроить профессиональную систему защиты и реагирования, где судебная экспертиза цифровых следов является не последней надеждой, а четким, технологичным и грозным инструментом восстановления справедливости.