Мифы и реалии цифровых расследований Согласно данным ФБР, в 2010 году в США количество компьютерных преступлений незначительно снизилось (приблизительно на 10% по сравнению с 2009 годом). Между тем в мире и в России сохраняется тенденция роста числа киберпреступлений (по разным данным в России в 2010 году прирост составил 80-100% по сравнению с 2009 годом). В этой связи в частном и государственном секторах заметно повысился интерес к проблемам информационной безопасности и в том числе к практике цифровых расследований. И, как любая востребованная дисциплина, расследования компьютерных преступлений успели обрасти рядом мифов, которые важно и должно развенчивать. МИФ №1. ВРЕМЯ Один из наиболее распространенных мифов состоит в том, что существует линейка доступных инструментов и методик, позволяющая быстро провести цифровое расследование и практически немедленно получить ответ. Рождением этого мифа мы большей частью обязаны кино и телевидению. На практике цифровое расследование состоит из таких трудо- и времязатратных этапов, как: • анализ рамок проводимого расследования и необходимых действий; • сбор, защита и сохранение исходных доказательств; • изучение и сопоставление цифровых доказательств с событиями для успешного обращения в правоохранительные органы; • сбор и организация полученной информации, написание итогового отчета. Очевидно, что все эти задачи просто не могут быть решены быстро и привести к немедленным результатам. МИФ №2. СТАНДАРТ Еще один миф заключается в наличии некого единого стандартизированного алгоритма, по которому проводятся все расследования. На самом деле, единого подхода к проведению расследований не существует. У каждого специалиста, занимающегося цифровыми расследованиями, может быть свой набор процедур, методов и инструментов. Главное - это достижение цели, выявление преступника, и, если не нарушены никакие законы, то не так уж и важно, какими путями эта цель достигнута. Отчет Центра расследования компьютерных преступлений при университете Дублина (Centre for Cybercrime Investigation University College Dublin) демонстрирует неоднородность стандартов и инструкций, используемых различными компаниями и организациями. Так, более 58% респондентов заявили о собственных разработках по созданию стандартных процедур работы. Report of digital forensic standards, processes and accuracy measurement, 2010 МИФ №3. ТЕХНОЛОГИЯ Наконец, последний миф гласит, что представленные на рынке программного обеспечения продукты для проведения цифровых расследований способны решить любую задачу. Действительность такова, что цифровые расследования представляют собой сложнейший комплекс подходов, методологий и правил, реализуемых командой специалистов с широким спектром знаний и навыков. Несомненно, проведение цифровых расследований требует знания широкой линейки программных продуктов, но не менее, если не более, важно глубокое понимание методик, правил и подходов к проведению расследований. Ведущие специалисты в области информационной безопасности признают важность формирования профессиональной команды, специализирующейся исключительно на предупреждении и расследовании уже произошедших инцидентов. Исполнительный вице-президент и директор информационной службы страховой компании Zurich North America Дэвид Соул считает, что «хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них». «Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак», - добавляет Соул. Подбор специалистов с правильным набором навыков и опыта, разбирающихся не только в технологии, но и блестяще владеющих методологией сбора данных и анализа следов преступления, а также хорошо знакомых с юридическими аспектами подготовки доказательств для суда и возможными законодательными препятствиями на пути следствия, по мнению директора по расследованиям KPMG Кейта Баргера, является ключевым аспектом построения системы безопасности организации. Все перечисленные мифы так или иначе высвечивают проблему противостояния сторонников технологических и организационных подходов. Несомненно одно: первую скрипку в цифровом расследовании должен играть человек, а не технологии. Программные решения обеспечивают специалистов удобными инструментами для эффективной передачи и переработки информации, но и только. Поэтому технологии в цифровых расследованиях должны рассматриваться лишь как инструмент в руках хорошо подготовленного специалиста. _________________________________ Источники: 1. «The Need for Forensics», интервью с Кейтом Баргером, директором по расследованиям KPMG, BankInfoSecurity.com, 2009. 2. Brian Carrier, «File System Forensic Analysis», Addison-Wesley Professional, 2005 (переведена издательством «Питер» в 2007 г.). 3. Joshua Isaac James, Pavel Gladyshev «Report of digital forensic standards, processes and accuracy measurement», Centre for Cybercrime Investigation University College Dublin, 2010. 4. Suzanne Widup, «The Leaking Vault. Five Years of Data Breaches», Digital Forensics Association, 2010. 5. Eric Berkman, «How To Staffup For Security», CIO, 2002. 6. «2010 Internet Crime Report», Internet Crime Complaint Center, 2011. 7. «Фундаментальное руководство по расследованию компьютерных происшествий для Windows», Microsoft, 2007. Раздел: Расследования Дата: 20-07-2011 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|