Компьютерные преступления

Как обеспечить возможность

проведения расследования?

Основными причинами и условиями, способствующими совершению компьютерных преступлений, в большинстве случаев стали:

• неконтролируемый доступ сотрудников к клавиатуре компьютера;

• бесконтрольность действий обслуживающего персонала;• низкий уровень программного обеспечения, не имеющего

контрольной защиты, обеспечивающей проверку соответствия и правильности вводимой информации;

• несовершенство парольной системы защиты;• отсутствие должностного лица, отвечающего за режим

секретности и конфиденциальности коммерческой информации и ее безопасности в части защиты от несанкционированного доступа;

• отсутствие категорийности допуска сотрудников к документации строгой финансовой отчетности, в т. ч. находящейся в форме машинной информации;

• отсутствие договоров с сотрудниками на предмет неразглашения коммерческой и служебной тайны, персональных данных и иной конфиденциальной информации.

2

Совершение компьютерного преступления – вопрос времени

3

Большинство компьютерных преступлений совершается при непосредственном участии самих служащих. Результаты исследований, проведенных с привлечением банковского персонала, показывают, что доля таких преступлений приближается к отметке 70%

4

Предположим факт преступления замечен (именно замечен, а не установлен – это

важная разница)

5

Кстати – как отличить обычный инцидент безопасности от компьютерного

преступления? Ведь действия, которые нужно предпринять в этих случаях

совершенно разные…

6

Конфликт интересов:

• руководства компаний-жертв,• системных администраторов и специалистов

по безопасности компаний-жертв,• специалистов по расследованию

компьютерных преступлений

7

Причина № 1

Руководство компаний-жертв, понимая, что даже сам факт расследования может привлечь нежелательное внимание к компании – и клиентов и надзорных органов, не хочет выносить сор из избы и достаточно часто пытается решить проблему собственными силами.

8

Конфликт интересов и отсутствие опыта сбора доказательств:

• Системные администраторы, не зная необходимости ряда процедур, необходимых для привлечения к ответственности виновников проблемы, хотят максимально быстро устранить уязвимость в системе

9

Причина № 2

• Сотрудник службы информационной безопасности не может постоянно отслеживать правовые решения по компьютерным преступлениям, от которой зависит, как именно необходимо настроить систему журналирования в информационных системах и выстроить процедуру реагирования на инциденты информационной безопасности, отвечающую реальной проблематике и обеспечивающую правовой сбор доказательств.

• Для проведения расследования требуется специальное оборудование и программное обеспечение

• Расследование инцидента информационной безопасности может занимать несколько месяцев - сотрудник, проводящий расследование, будет оторван от текущей работы

• Если инцидент произошел по вине службы информационной безопасности, то стоит ли ждать объективной оценки происходящего?

• Служба безопасности не может расследовать внешние инциденты

10

• Компании боятся возможной утечки материалов следствия и не обращаются за расследованием,

• Органы полиции зачастую не обладают опытом проведения расследования компьютерных преступлений, не имеют необходимого оборудования, опытных специалистов в области анализа компьютерных данных (или их необходимого количества) – в результате даже явного преступления для осуждения преступника не хватает доказательств

11

Кто может быть признан виновным и должен пострадать?

12

В качестве виновных могут выступать несколько категорий лиц – от системных администраторов и руководителей, не обеспечивших создание надежной системы защиты и до непосредственных виновников возникновения инцидента

13

Какова должна быть процедура расследования?

14

• Установление факта преступления• Установление места, времени и способа

проникновения/проникновений в компьютерную систему или сеть

• Выявление обстоятельств, способствовавших компьютерному преступлению

• Установление виновности и мотивов лиц, как совершивших преступление, так и способствовавших ему.

• Установление последствий преступления.

15

Против вас совершено противоправное действие — могут присутствовать признаки преступлений, предусмотренных ст 159.6, 163, 165, 272, 273 УК РФ

Что необходимо для начала расследования?

16

Для начала расследования необходимо информация о нем – заявление потерпевших или должностных лиц, результаты контрольно - ревизионных проверок, сведения, полученные в результате иных оперативно-розыскных мероприятий, непосредственное обнаружение следователем, прокурором или судом признаков преступления, статьи, заметки и письма, опубликованные в средствах массовой информации.

Если у вас откажутся принять заявление — получите письменный отказ и обращайтесь с жалобой в вышестоящий орган полиции (к начальнику полиции вашего города или области).

Образец заявления

Внимание! Приготовьтесь к тому, что ваш компьютер будет изъят на какое-то время на экспертизу.

17

Что дальше?

18

В сильно упрощенном виде:• Предварительная проверка материалов, поступивших в

правоохранительные органы• Получение информации от заявителя или лиц,

указанных в заявлении• Осмотр места происшествия и проведение оперативно-

розыскных мероприятий, получение необходимой информации (в том числе в ходе экспертиз либо путем допросов)

• Задержание преступника и установление связей задержанного и лиц, причастных к совершению преступления

• Анализ полученной информации

19

Что потребуется кроме средств аудита?

20

Для эффективного проведения расследования необходимо наличие специального программного обеспечения, что позволяет избежать искажения информации в ходе технических экспертиз.

Также необходимо наличие в штате сотрудников, имеющих опыт проведения подобных мероприятий, так как их проведение требует особой квалификации

21

Обнаружение, осмотр и изъятие компьютеров и компьютерной информации в процессе следственных действий могут совершаться при следственном осмотре (ст. 190 КПК), при обыске (ст. 178 КПК), выемке (ст. 179 КПК), воспроизведении обстоятельств и обстановки происшествия (ст.194 КПК).

Как снять доказательства?Типичные ошибки

22

• никогда и ни при каких условиях не работать на изъятом компьютере - компьютер объект исследования специалиста.

• до передачи экспертам компьютер желательно даже не включать, категорически запрещено исполнять любые операции на изъятом компьютере, не обеспечив необходимых мер защиты (например, защиты от модификации или создания резервной копии)

• не допускается загрузка такого компьютера с использованием его собственной операционной системы.

23

• Допуск к компьютеру владельца (пользователя) компьютера должен быть исключен.

• Для исключения возможности опровержения в суде идентичности предъявленного на процессе программного обеспечения тому, которое находилось на данном компьютере на момент изъятия - компьютер, следует опечатать в присутствии понятых, не включая.

• До начала экспертизы необходимо снять копию с жесткого магнитного диска или иного носителя - вещественного доказательства – с помощью спецоборудования

Часто под давлением защиты в суде электронные доказательства не принимаются во внимание. Чтобы исключить такую ситуацию необходимо строго придерживаться уголовно-процессуального законодательства, а также стандартизированных приемов и методик их изъятия 24

Экспертиза ВКИ

Экспертиза ПО, использованного для совершения компьютерного мошенничества, является одним из процессуальных действий при расследовании киберпреступлений, одним из важнейших элементов доказательственной базы.

Компания «Доктор Веб» производит экспертизу компьютерных инцидентов против конфиденциальности, целостности и доступности компьютерных данных и систем, для совершения которых использовались вредоносные программы и потенциально опасное ПО.

25

Перечень услуг экспертизы ВКИ «Доктор Веб»

• Предварительная оценка инцидента, объема экспертизы и мер, необходимых для устранения последствий произошедшего.

• Экспертные исследования компьютерных и других артефактов (накопителей на жестких магнитных дисках, текстовых, звуковых, фото-, видеоматериалов), предположительно имеющих отношение к ВКИ.

• Рекомендации по вопросам построения системы антивирусной защиты с целью недопущения ВКИ или сокращения их количества в будущем.

Все исследования производятся с соблюдением требований ст. 79, 84, 85, 86 Гражданского процессуального кодекса РФ и ст. 57, 195, 204 Уголовно-процессуального кодекса РФ.

26

27

Вопросы Ответы

Что было скомпрометировано (объект экспертизы)

Была ли нарушена целостность компьютерной системы. Был ли КИ совершен с помощью вредоносного ПО (в этом случае он является ВКИ, а значит, лежит в пределах границ экспертизы «Доктор Веб»). Являлся ли ВКИ последствием умышленных действий.

Где произошел ВКИ (среда ВКИ)

Описание технических характеристик и особенностей системы, в которой произошел ВКИ, а также ее окружения. Цели использования системы заказчиком (необходимо для правильной приоритизации ИИБ). Есть ли признаки несанкционированного доступа к компьютерной системе. Описание средств защиты системы, в которой произошел ВКИ, и были ли они скомпрометированы. Если да — что послужило причиной компрометации.

Каким образом совершен ВКИ

Перечень вирусов и вредоносного ПО, использованного для совершения ВКИ, с описанием их функциональных особенностей (как задействованных злоумышленником в данном ВКИ, так и несущих потенциальную угрозу). Действия, предпринятые сотрудниками заказчика для обнаружения ВКИ, и после его обнаружения. Оценка правильности этих действий.

К каким результатам привел ВКИ

Текущее состояние компьютерной системы. В чем состоит факт компрометации (что похищено). Последствия компрометации. Можно ли продолжать пользоваться скомпрометированной компьютерной системой.

Перечень услуг экспертизы ВКИ «Доктор Веб»

28

Вопросы Ответы

Что послужило причиной возникновения (совершения) ВКИ

Какие нарушения правил эксплуатации компьютерной системы или политики безопасности со стороны персонала послужили причиной ВКИ.

Кто причастен к ВКИ Круг лиц, причастных к ВКИ (умышленно или по халатности), и мера причастности каждого.

Какие собраны доказательства совершения ВКИ

Находится ли ВКИ в области юрисдикции судебной компьютерно-технической экспертизы (СКТЭ). Возможно ли обращение в правоохранительные органы и затем в суд. Шансы на выигрыш дела. Перечень собранных доказательств.

Как не допустить подобных ВКИ в будущем

Рекомендации по построению системы антивирусной защиты с целью недопущения ВКИ или сокращения их количества в будущем.

Перечень услуг экспертизы ВКИ «Доктор Веб»

Преимущества экспертизы «Доктор Веб»

• Знание современных вирусных угроз, их постоянный мониторинг и изучение, наличие собственных методик их обнаружения (детектирования).

• Эффективное противостояние новым угрозам, непрерывная разработка технологий борьбы с новыми еще неизвестными вредоносными программами и уловками злоумышленников.

• Высокая квалификация персонала. • Собственная служба глобального вирусного мониторинга. • Собственная антивирусная лаборатория.• Наличие специального оборудования, позволяющего снимать

информацию в соответствии с процедурами, исключающими неполное снятие информации и обеспечивающими неопровергаемую доказательную базу в суде.

29

Вопросы?

Благодарим за внимание!Желаем вам процветания и еще больших успехов!

www.drweb.com

Номер службы технической поддержки8-800-333-7932

Запомнить просто! – возникла проблема – набери DRWEB!8-800-33-DRWEB