{"id":13886,"url":"\/distributions\/13886\/click?bit=1&hash=830980e998c57143b7939201e0c0a7c7faf66494e3f81d26faa1100cf4336772","title":"\u00ab\u041c\u043e\u0434\u0443\u043b\u044c\u0431\u0430\u043d\u043a\u00bb: \u043f\u043e\u043c\u043e\u0436\u0435\u043c \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u041f\u0412\u0417 \u0438 \u0440\u0435\u0448\u0438\u043c \u043f\u0440\u0435\u0442\u0435\u043d\u0437\u0438\u0438 \u043c\u0430\u0440\u043a\u0435\u0442\u043f\u043b\u0435\u0439\u0441\u043e\u0432","buttonText":"\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c","imageUuid":"3669c0b4-afd0-5dd5-9434-590ba61d5e83","isPaidAndBannersEnabled":false}

Форензик рушит барьеры

Форензик в России, как и многое другое в нашей стране в 2022 году, начал активно трансформироваться. Аналитики утверждают, что он переходит в новое качество

Есть такое «народное наблюдение»: из 100 людей 20 никогда не будут брать чужого, 20 будут стараться взять всегда, при первой возможности, а 60 — в зависимости от ситуации. Таким образом, форензик нужен там, где есть что терять и есть тот, кто может претендовать на чужое.

Примерно так описывали суть форензик еще несколько лет назад. В частности, данную статистику приводил Павел Самсонов, директор АНО «Финансовые расследования и судебные экспертизы», в статье «Форензик в России: “Самые удачные расследования — те, о которых мало кто знает”».

ЗАМЕТАНИЕ ПОД КОВЕР

Действительно, публичных кейсов успешного доведения дел до судов не так уж много, в большинстве случаев выявленные случаи мошенничества не выносятся за пределы компаний и заканчиваются внутри организаций некими соглашениями. И дело не только в нежелании «выносить сор из избы», но и, как полагают некоторые эксперты, в довольно медленном процессе выработки критериев того, какой набор действий можно считать форензиком, а какой отнести к внутреннему аудиту или к комплаенс-процедурам.

Павел Самсонов в этой связи дает следующее определение: «Форензик — это действия, направленные на выявление и предотвращение противоправных действий со стороны клиентов заказчика расследования, его сотрудников, конкурентов, партнеров по бизнесу».

Председатель Московской коллегии адвокатов «Юлова и партнеры» Елена Юлова в этой же статье подчеркнула другую важную особенность, на которой важно заострить внимание: «Какие отличия от иных “расследовательских процедур”? Самая известная процедура — оперативно-розыскная деятельность, осуществляемая сотрудниками правоохранительных органов, действующих на основании Закона “Об оперативно-розыскной деятельности“. Оперативно-розыскные мероприятия проводятся тогда, когда есть основания полагать, что действия тех или иных лиц подпадают под признаки преступления».

Это обстоятельство стало основанием для широко распространившегося в мнения о том, что «форензик-расследование является частным расследованием, которое, тем не менее, не может и не вправе заменить оперативно-розыскную деятельность. Основанием для форензик-расследований являются различные локальные нормативные акты, например приказ руководителя компании о проведении внутренней служебной проверки, договоры на оказание услуг аудиторами, экспертами и прочими специалистами. Адвокаты оказывают юридическую помощь доверителю на основании Закона “Об адвокатской деятельности и адвокатуре”».

Почему, говоря о форензике, по умолчанию имеют в виду его тесную связь с IT и информационной безопасностью? Исторически термин «форензик» — это калька с forensic science («судебная наука»), то есть наука об исследовании доказательств. В России это понятие чаще называют криминалистикой, а слово «форензик» закрепилось за компьютерной ее частью.

Сегодня практический форензик — это вотчина высококлассных экспертов из групп немедленного реагирования, часто из состава SOC или подразделений DLP, которые занимаются выявлением фактов утечки конфиденциальной информации за пределы компаний. В функционал экспертов-криминалистов входит выяснение того, как именно были реализованы атака, построение сценариев взлома или утечки с восстановлением хронологии, а также надлежащий сбор юридически значимых доказательств и артефактов. Финалом этой деятельности является этап формирования экспертного заключения по факту ИБ-инцидента для суда или иных компетентных государственных органов.

ТАК ЧТО ЖЕ МЕНЯЕТСЯ?

О каких новых трендах в этой довольно консервативной с точки зрения динамики развития деятельности говорят аналитики? Отметим, что об инновациях заговорили не только практикующие юристы, но и представители научного сообщества. Почему? Изменения произошли в фундаментальных основах взаимоотношений классической криминалистики, форензика и информационной безопасности.

Во-первых, после ухода из России западных вендоров и международных аудиторско-консалтинговых компаний произошел отход от классических представлений о том, кто и какими инструментами должен производить расследования. Как оказалось, отечественной научной школе есть что предложить сообществу, например кибериммунологию и кибериммунитет, позволяющие построить самоорганизующиеся ИБ-системы. Особенно это касается российских вендоров DLP-систем, которые практически на 100% заняли свою нишу и активно развивают собственные консалтинговые подразделения с учетом всех тонкостей отечественного законодательства в области контроля над перемещением чувствительной информации посредством, например, e-mail и мессенджеров.

Во-вторых, поскольку комплексные ИБ-системы являются крайне дорогостоящими решениями, в последнее время стал уже практикой тренд на «переиспользование» ресурсов, относящихся к ведению департамента ИБ, иными подразделениями, например HR и службой экономической безопасности. Благодаря использованию технологий поведенческой аналитики (UBA) и достижениям в области искусственного интеллекта (AI) удалось совершить качественный технологический скачок. Он заключается в том, что за счет более полного покрытия информационных потоков внутри компаний, а также глубокой их аналитики в ряде случаев удается перейти от реагирования «постфактум» к превентивным действиям. Например, по внешне мало или никак не связанным действиям сотрудников, собранным DLP-системой, трудно доказать, что сотрудник, готовясь к увольнению, сливает базу данных клиентов или администратор использует служебное положение для противоправных действий. Об этом можно будет узнать лишь постфактум. А вот комплексный анализ с учетом поведенческих паттернов, обрабатываемых AI, может подсказать офицерам безопасности о росте того или иного риска заранее.

Третья причина — феномен синтеза новых знаний «продвинутым» AI. В частности, об этом шла речь в недавней беседе Сергея Петренко, CISO Университета «Иннополис», и Михаила Смирнова, главного редактора ассоциации по вопросам защиты информации BISA.

До сих пор считалось, что ИБ, а значит, и форензик, не являются научными дисциплинами, поскольку нет законов (количественных закономерностей), объясняющих развитие системы в пространстве и времени. Действительно, в ИБ невозможно было создать «модель конфликта», позволяющую теоретически вывести закономерности. Единственная возможность — кропотливый и долгий сбор статистики. Поэтому нормативная документация покрывает лишь базовый уровень ИБ, а повышенный уровень приходится «закрывать» методами управления рисками.

После увеличения интенсивности кибератак в 2022 году как минимум в 15 раз появился поток статистики, который до этого приходилось собирать десятилетиями. При этом стали использоваться весьма сложные сценарии, в которых практически всегда задействованы внутренние сотрудники компаний — объекты анализа форензик-аналитиков. Меняются и цели: намерение «претендовать на чужое» зачастую заменяется «саботажем и выводом объектов из строя».

После увеличения интенсивности кибератак в 2022 году как минимум в 15 раз появился поток статистики, который до этого приходилось собирать десятилетиями

Однако важно то, что AI способен успешно работать в этих условиях и предлагать новые архитектуры ИБ, основанные на собранной статистической информации. Это все означает, что барьеры для признания и ИБ, и форензика научными дисциплинами рушатся. Для последнего это может означать, что со временем удастся стереть границу между ним и классической криминалистикой, а это значит, что киберпреступления скрывать больше не удастся.

0
Комментарии
Читать все 0 комментариев
null