Цифровой криминалист как профессия будущего
Цифровые технологии активно используются в современной криминалистике, причем совершенно в разнообразном качестве. Особую роль они играют при раскрытии преступных деяний, в частности совершенных в цифровом пространстве. Внедрение цифровых атрибутов в преступную деятельность обусловлено в том числе и активной государственной деятельностью по цифровизации государственных и общественных функций. Следовательно, если рассматривать криминалистическую деятельность как определенную технологию, то можно (и нужно) искать пути и ее цифровизации.
Объективными предпосылками для использования в криминалистической деятельности цифровых технологий являются: высокий уровень компьютерной грамотности следователей, дознавателей, прокуроров, судей, защитников, граждан, вовлеченных в данную сферу; современная техническая оснащенность органов предварительного расследования, прокуратуры, судов для работы в цифровой среде (наличие компьютерной техники, серверов для хранения информации, систем информационной безопасности); наличие электронных цифровых подписей у граждан и должностных лиц; введение электронных паспортов граждан с возможностью использования электронной подписи, биометрическая идентификация личности и прочие условия.
Как правильно писал бывший главный криминалист Следственного комитета России Зигмунд Ложис, «с развитием новейших информационных технологий появляется и потребность в криминалистическом обеспечении расследования новых видов преступлений. Можно согласиться с мнением Е. П. Ищенко, что “новые вызовы, исходящие от киберпреступности, настоятельно требуют поднятия криминалистического обеспечения следственных действий на современный уровень. Результативное участие экспертно-криминалистических подразделений ОВД и следователей-криминалистов СК России в обнаружении, фиксации,изъятии,предварительном и экспертном исследовании электронных (цифровых) следов, остающихся в киберпространстве и изымаемых в ходе производства следственных действий, будет способствовать раскрытию и расследованию киберпреступлений, становящихся все более распространенными и изощренными, даст в руки следствия современные судебные доказательства”»
Важнейшей составляющей здесь является специфическое мышление криминалиста, которое лежит в основе процесса познания негативных общественных процессов (явлений), а также обоснования принимаемых решений по установлению обстоятельств расследуемого события. В процессе изучения применяется не одна, а, как минимум, четыре методики (программы) работы: а) общая (базовая) методика расследования; б) методика работы с первичной информацией; в) методика
криминалистического анализа информации, выдвижения, разработки версий и формирования системы доказательств; г) тактико-методический алгоритм обоснования, принятия и реализации решения о проведении отдельного тактического действия или их комплекса.
Исследователи выделяют отдельные трудности расследования преступлений, совершаемых с использованием возможностей IT-технологий:
- зачастую правоохранительным органам не сразу удается выявить сам факт правонарушения. Преступники с особой легкостью могут получить информацию, которая скрыта и об этом никто не узнает;
- степень причиненного вреда может быть очень значительна: злоумышленник может взломать базу данных какого-нибудь банка и снять денежные средства со счетов клиентов;
- преступник, который совершил деяние на территории той или иной национальной юрисдикции, может быть при этом из абсолютно любой точки мира;
- интеллектуальная составляющая данного вида преступной деятельности довольно высока. Как правило, преступники наделены незаурядным интеллектом, умеют хорошо скрывать следы, что создает сложности в борьбе против них.
Специалисту-криминалисту приходится постоянно следить за новыми техническими средствами, которые появляются у преступников и жертв, разбираться в принципах работы всё новых социальных сетей и учиться в них взаимодействовать с подозреваемыми. Брайан Вила, профессор Вашингтонского университета, утверждает, что за последующие 20 с лишним лет криминалистика эволюционирует, и в 2040 году большая часть усилий будет направлена на профилактику преступлений и выявление неблагонадежных личностей до того, как они будут успевать совершать противозаконные действия. По его мнению, базы данных полиции в скором времени станут доступны и простым гражданам, это создаст эффект гражданского контроля: бдительные жильцы станут проверять новых соседей.
Компьютерная криминалистика — это новый вид деятельности при работе с цифровыми следами преступлений. Специфический характер цифровых следов требует использования новых технико-криминалистических средств, выработки строгих руководящих принципов, новых стандартов объективности, проверки, достоверности и оценки доказательств. Специфичность цифровых следов проявляется в том, что компьютерные данные мгновенно меняются; компьютерные данные невидимы для человеческого глаза; их можно рассматривать только с применением обычных компьютерных средств или специального экспертного оборудования и проведения соответствующих процедур.
Процесс сбора компьютерных данных может существенно изменить его, а процесс открытия файла или его распечатки не всегда нейтрален. Исследование цифровых следов происходит, например, в ходе криминалистической деятельности по установлению: какие веб-сайты были посещены пользователем; какие файлы были загружены; когда файлы были в последний раз доступными; попытки скрыть или уничтожить доказательства; какие были попытки сфабриковать доказательства; электронных копий документов, которые были удалены из печати; отправленных файлов по электронной почте и др. Причем предварительное и экспертное исследование требует сохранности исследуемого объекта в первоначальном виде для возможной перепроверки в ходе уголовного судопроизводства.
Специалист в сфере компьютерной криминалистики может (и должен) выполнять следующие функции:
- сбор данных;
- дублирование и сохранение данных;
- восстановление данных;
- поиск документов;
- преобразование мультимедиа;
- выступление в качестве экспертов и/или свидетелей в суде;
- исследование компьютерных данных;
- иные функции.
Одним из уникальных технико-криминалистических средств, используемых в компьютерной криминалистике для исследования мобильных телефонных устройств, является аппаратно-программный комплекс “Мобильный Криминалист”, который позволяет специалисту исследовать:
- общую детальную информацию об устройстве;
- контакты (все поля и фотографии);
- пропущенные/исходящие/входящие звонки, звонки Facetime, а также автоматически восстановленные удаленные звонки с определенными ограничениями;
- органайзер (встречи, напоминания, дни рождения, заметки, задачи и т.д.);
- сообщения SMS, MMS, iMessage, E-mail с вложениями, а также автоматически восстановленные удаленные сообщения с определенными ограничениями;
- созданные пользователем словари;
- фотографии, видео, аудио записи, а также голосовые заметки;
- GPS и XMP-координаты фотографий, сделанных камерой устройства;
- соединения Wi-Fi;
- логи устройства;
- пароли к учетным записям владельца устройства и точкам Wi-Fi;
- данные из более 400 приложений: Apple Maps, Booking.com, Facebook, Google+, PayPal, Safari, Skype, Viber, WhatsApp и т.д.;
- удаленные данные, найденные с помощью встроенного Просмотрщика баз SQLite;
- данные, сохраненные в файлах .plist;
- лента событий — все события в хронологическом порядке с координатами из одного или нескольких устройств;
- анализ активности владельца устройства;
- маршрут передвижения владельца устройства;
- объединенные контакты — контакты, взятые из разных источников, в том числе из приложений;
- статистика общения одного или нескольких устройств;
- социальные связи одного или нескольких владельцев устройств, показанные на диаграмме или графе;
- важные улики — удобный способ поместить интересующие события из нескольких устройств в один список для дальнейшего анализа или экспорта.
Большинство вакансий для специалистов по цифровой криминалистике можно найти в государственном секторе. Помимо очевидных должностей в правоохранительных и правительственных учреждениях, есть также вакансии, предлагаемые в частном секторе — частные ИТ-компании, государственные учреждения, финансовые организации и многие другие.
«Наша работа происходит так: кто-то выдает теорию, пытаемся ее подтвердить или опровергнуть. Это не просто какая-то версия, а именно теория — потому что теорию можно доказать. Если ты даешь теорию — значит, у тебя точно есть варианты, как доказать, что это так. Либо доказать, что это не так. Теория проверилась — идем дальше: либо да, либо нет. Одновременно с этим другой криминалист читает огромные простыни журнальных файлов, пытается зацепиться за какой-то момент, который может быть интересен. Любое действие журналируется — включение компьютера, сбой приложения, удаленное подключение к вам — все это где-то прописывается. И даже факт того, что журналы были удалены или очищены в определенное время — для нас это уже очень о многом говорит. Находим момент, за который как за якорь можно здесь закрепиться. Мы знаем, что здесь удалены журналы — значит, нужно проверить, что было в это время и посмотреть, на каких машинах еще удалены журналы. Это уже будет база», — говорит digital forensics analyst Артем Артемов, руководитель Лаборатории компьютерной криминалистики в европейской штаб-квартире Group-IB (Амстердам).
Подводя итоги, можно сказать, что специалисты в этой области играют две ключевые роли. Они либо предотвращают возможные киберпреступности и обеспечивают кибербезопасность, либо участвуют в расследовании уже совершенных преступлений. В зависимости от ученой степени, навыков, опыта и стажа в цифровой криминалистике доступны разные роли.