Термин Discovery родился в судебной практике и означал процесс предоставления суду всей массы информации по делу, а приставку `е-` обрел в 2006 г., когда в американский аналог Гражданско-процессуального кодекса (US Federal Rules of Civil Procedure) были внесены соответствующие поправки. Под Electronic Documents Discovery (eDiscovery), таким образом, понимается комплекс мер по предоставлению в судебные органы электронной информации, включая хранящиеся на сетевых и локальных дисках, на электронной почте, на удаленных серверах, мобильных устройствах и т.д. текстовые документы, электронные таблицы, почтовые сообщения, аудиовизуальные данные и т.п. Особенность eDiscovery заключается в том, что, поскольку эта информация необходима для проведения судебного разбирательства, она должна быть запротоколирована, подлежит строгому учету и не может быть изменена.

Особое место в сборе релевантных данных в ходе расследования занимает электронная почта, поскольку она позволяет оперативно обмениваться деловой информацией и, соответственно, является основным средством коммуникаций практически для всех современных компаний. Но вместе с тем электронная почта наиболее уязвима в отношении различных угроз, в том числе спама, вредоносных приложений, сложных мошеннических схем, способных нанести организации серьезный ущерб. Оценить, каким образом и с помощью каких инструментов эксперты решают задачи расследования инцидентов, связанных с использованием электронной почты, лучше всего на конкретном примере.

Допустим, сотрудник компании, получил по электронной почте компрометирующие его анонимные сообщения. С явной целью навредить деловым отношениям аналогичные сообщения были разосланы клиентам, с которыми работал сотрудник. Разумно предположить, что автором анонимок может быть недовольный коллега или подчиненный, так как список адресатов писем мог быть составлен лишь человеком, хорошо осведомленным о текущих деловых операциях компании. Кроме того, автор использовал стороннего поставщика услуг электронной почты и ложную личную информацию, чтобы замести следы, следовательно, у него есть причины скрываться.

Рассмотрим, каким образом специалисты осуществляют расследование, имеющее своей целью поиск доказательств в среде электронной информации и выявление автора клеветнических сообщений.

Методология

Информационные технологии в рамках судебных разбирательств, как правило, связаны со сбором, изучением, анализом информации и составлением итогового отчета. Увязка этих этапов с базовой моделью сбора и предоставления в суд электронной информации (Electronic Discovery Reference Model, EDRM) позволяет дополнять традиционные методы расследований специфическими способами и подходами eDiscovery.

Идентификация

На этом этапе решается задача выявления круга подозреваемых, поиска потенциальных источников данных, а также определения дальнейших путей расследования. Большое внимание уделяется вопросам рационализации усилий и временных затрат, поиску релевантных сведений.

На практике осуществляется опрос адресатов о положении в компании, чтобы сузить круг подозреваемых, получение сведений о политике в области программного и аппаратного обеспечения и в отношении копирования информации, чтобы четко определить картину взаимоотношений в подразделениях компании. По итогам опросов и сбора данных, хранящихся на электронных носителях, а также анализа данных видеонаблюдений выделяется ограниченное число приоритетных подозреваемых.

Сбор и сохранение

Этот этап расследования характеризуется изъятием и документированием всех обнаруженных цифровых данных. В частности, на примере описанной выше ситуации при расследовании инцидентов, связанных с использованием электронной почты, эксперты обычно используют следующий инструментарий:
• Dossier – устройство, позволяющее осуществлять копирование данных с жестких дисков.
• Aceso – устройство компании Radio Tactics, осуществляющее извлечение данных с мобильних цифровых устройств, в том числе сотовых телефонов, sim-карт, gps-устройств.
• Exchange Mailbox Merge Wizard (ExMerge) – утилита Microsoft Exchange Server, позволяющая экспортировать все почтовые сообщения из данного почтового ящика или набора почтовых ящиков в персональные хранилища (PST), которые затем могут использоваться в дальнейшем расследовании или передаваться в правоохранительные органы.

В целях сохранности собранных данных осуществляется штрих-кодирование каждой улики и создается база данных с соблюдением необходимых юридических норм. Все данные копируются на отдельные жесткие диски и опечатываются.

Обработка данных

Один из инструментов сбора цифровых улик и обработки данных, традиционно используемых экспертами – продукт EnCase – является стандартом в области компьютерно-технической экспертизы. Он дает возможность просматривать уже полученные данные и параллельно получать новую информацию с других накопителей. После создания файлов образов дисков эксперты могут анализировать данные с многочисленных накопителей, осуществлять поиск необходимой информации по ключевым словам, при помощи анализа значений хэш-функций, анализа сигнатур файлов, а также используя различные фильтры файлов. Будучи разработанной специалистами в области судебных криминалистических расследований, программа EnCase признается судебными органами по всему миру. Встроенный язык программирования EnScript позволяет автоматизировать необходимые эксперту функции и решать нестандартные задачи.
Именно этот инструмент позволяет существенно сократить исходную выборку данных с компьютеров подозреваемых для более эффективного проведения последующего анализа.

Анализ и обзор

Основным инструментом экспертов на этой стадии становится пакет Attenex Patterns eDiscovery, позволяющий выявлять, анализировать и классифицировать собранную цифровую информацию в одном приложении в виде визуальной карты, отображающей всю базу данных. Эксперт может быстро создавать кластеры документов, соответствующих запросам, и, таким образом, сосредоточиваться на каком-либо конкретном аспекте расследования и делать выводы о релевантности сведений.

Как следствие, Attenex позволяет сузить до предела круг подозреваемых, в частности, может помочь обнаружить высокорелевантные сообщения электронной почты у одного из подозреваемых. Сам по себе этот факт не является неопровержимым доказательством вины, поэтому за ним следует исследование жесткого диска компьютера, мобильного телефона и анализ данных видеонаблюдений за подозреваемым. Совокупность осуществленных мероприятий с высокой степенью точности позволяет выявить виновного в рассылке анонимных сообщений электронной почты.

Объединение подходов eDiscovery с традиционными методами проведения цифровых расследований позволяет существенно сократить исходную массу данных и выделить релевантную информацию особенно в ситуациях, когда круг подозреваемых очень широк. Кроме того, следование базовой модели eDiscovery позволяет гарантировать сохранность цифровых улик и возможность их дальнейшего использования в гражданском или уголовном судебном процессе.