Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Модификация компьютерной информации влечет за собой изменения, которые находят свое отражение в затирании удаленных файлов, которые можно было бы еще восстановить, потере записей системных журналов, изменении настроек, процессов, атрибутов файлов, временных папок и уничтожении еще целого ряда «маячков, знаков и отметин», используемых специалистами при проведении исследований и экспертиз.

Таким образом, стоит рассмотреть некоторые рекомендуемые действия, направленные на сохранение следов и одновременно способствующие расследованию произошедшего инцидента.

4.5.1. Изоляция системы

Первое, что необходимо сделать, — это обеспечить изоляцию атакуемой (атакованной) системы (компьютера, сервера, сети, мобильного телефона). При этом, по возможности, можно завершить критические процессы, обрабатывающие важную информацию, если таковые имеются.

Как известно, самая защищенная система — это система, которая не имеет сетевого взаимодействия и. обесточена.

4.5.2. Изготовление клонов носителей информации

После отключения системы наступает основной этап полезных действий. Необходимо сделать посекторные копии[77] носителей информации атакованной системы, желательно в двух экземплярах.

Для клонирования жесткого диска осуществляется процедура по-секторного (так называемого низкоуровневого) переноса данных с одного носителя на другой. При этом клон будет представлять собой точную копию оригинального носителя информации. Для данной операции можно применять носители информации такого же или большего объема.

Оригиналы носителей компьютерной информации оборудования, на которые была совершена кибератака или на которых произошел любой другой инцидент информационной безопасности, должны быть сохранены в неизменном виде с того момента, как была обнаружена проблема. Эти носители информации станут вещественными доказательствами при уголовном деле.

Почему нужно сделать две точные копии носителей компьютерной информации? После создания точных копий носителей информации самое время вступать в действие спасателям всех мастей и анализаторам.

Одну копию целесообразно отправить в экспертную организацию для проведения компьютерного исследования, а вторую использовать для получения необходимой критической информации — бухгалтерских документов, баз данных, исходных кодов и другой ценной информации, позволяющей предприятию нормально функционировать.

4.5.3. Проведение исследований и компьютерно-технических экспертиз

Для эффективности расследований преступлений в сфере компьютерной информации и судебного рассмотрения дел, связанных с информационными технологиями, требуется проведение исследований и экспертиз.

Для начала нужно еще раз пояснить, какова разница между видами информационных и технических исследований, применяемых при инцидентах информационной безопасности и преступлениях.

Служебная проверка

Первый вид — это служебная проверка, проводимая силами сотрудников отдельно взятого предприятия, на котором произошел инцидент. Результаты данного расследования могут (и должны) в дальнейшем быть приобщены к материалу проверки по обращению в правоохранительные органы, если инцидент содержит признаки состава преступления.

Внутреннее расследование силами предприятия проводить гораздо проще, если в организации заранее были внедрены инструкции и регламенты, направленные на защиту информации, включающие необходимые организационные мероприятия и ответственность каждого сотрудника.

Компьютерное исследование

Второй вид включает в себя такие работы, как компьютерные исследования и расследования инцидентов информационной безопасности, проводимые специалистами сторонней независимой организации.

Результатом этого вида работ является заключение специалиста (специалистов). Данное заключение, при условии соблюдения требований, предъявляемых Федеральным законом № 73-Ф3 «О государственной судебно-экспертной деятельности в Российской Федерации», также может использоваться при обращении в правоохранительные органы и являть собой основания и достаточность данных, указывающих на признаки преступления, как того требует Уголовно-процессуальный кодекс и методические рекомендации Генеральной прокуратуры, которые мы уже вспоминали на протяжении книги.

Назначать исследование носителей информации и компьютерного оборудования может как компания, подвергнувшаяся нападению, так и правоохранительные органы, при поступлении заявления или обращения потерпевшего.

Необходимые для исследования материалы могут быть изъяты в ходе осмотра места происшествия или при осуществлении обследования.