Вопросы судебного преследования
Если ваша организация стала жертвой компьютерного преступления, то вы можете обратиться за помощью к правоохранительным органам, чтобы наказать обидчиков. Это решение не следует принимать в приступе гнева. Скорее всего, детальное рассмотрение всех параметров и процессуальных мероприятий нужно обсудить при выполнении ответных действий на инцидент (см. лекцию 6). Во время этой процедуры ваша организация должна привлечь юристов и получить консультации от местных правоохранительных органов. Совместное обсуждение даст информацию относительно их возможностей, интереса в раскрытии преступления и о нанесенном ущербе (эту оценку нужно сделать заранее, до совершения реального взлома).
Примечание
После выявления инцидента проконсультируйтесь с главным юрисконсультом вашей организации, перед тем как обращаться к правоохранительным органам.
Сбор доказательств
Независимо от ваших намерений касательно судебного преследования нужно выполнить множество мероприятий в ходе расследования преступления и возвращения систем в рабочее состояние. Сначала мы рассеем один миф, широко распространенный в сфере безопасности. Миф заключается в том, что якобы требуются специальные меры предосторожности для сохранения доказательств, если вы решили преследовать преступника по суду, и если информация будет использоваться при вынесении приговора.
Давайте внесем ясность в этот вопрос. Во-первых, во время проведения стандартных деловых процедур в качестве доказательства может использоваться любая информация. Если вы обычно делаете резервные копии своих систем, то в них содержится информация о том, где произошла атака и что было при этом сделано, которая пригодится при расследовании. В этом случае не нужны никакие специальные предосторожности для сохранения информации как доказательства. Создание системным администратором резервных копий перед внесением в систему каких-либо изменений, чтобы зафиксировать состояние системы, - хорошая идея, однако это не является необходимым.
Примечание
Формально информация не является доказательством до тех пор, пока вы не передадите ее представителю правоохранительных органов.
Поэтому то, что вы делаете, является сохранением целостности информации, а не защитой вещественных доказательств.
Второй пункт немного сложнее. Если организация обращается к внешнему консультанту для выполнения судебной экспертизы систем, то эти действия обычно не входят в практику стандартных деловых процедур. В этом случае необходимо соблюдать соответствующие предосторожности.
- Создать по крайней мере две копии образа жестких дисков компьютера.
- Ограничить доступ к одной из копий и надежно ее упаковать, чтобы идентифицировать любые попытки фальсификации.
- Создать защищенные контрольные суммы информации на дисках, чтобы идентифицировать изменение информации.
В любом случае процедура, которой следует придерживаться, должна быть разработана до инцидента, и при ее создании необходимо предварительно проконсультироваться с адвокатом организации и с представителями правоохранительных органов.
Следует принять во внимание и тот факт, что информация на компьютерной системе жертвы - это не единственное место для получения сведений об атаке. В файлах журналов сетевого оборудования или сетевых систем мониторинга тоже содержатся данные об инциденте.
Примечание
Если информацию, полученную с помощью стандартных деловых процедур, можно использовать как доказательство в суде, то не упускайте такой возможности и соберите необходимые сведения. Однако если вы несерьезно относились к созданию резервных копий, то пользы от них будет немного. Если у вас возникли сомнения относительно собранной информации, свяжитесь с судебным экспертом или правоохранительными органами - в любом случае это правильный шаг.
Взаимодействие с правоохранительными органами
Перед тем как обращаться в правоохранительные органы, свяжитесь с главным юрисконсультом своей организации. Он должен присутствовать во время переговоров с представителями этих служб.
Как только представители правоохранительных органов появятся в вашей организации для проведения расследования, правила изменятся. Они будут действовать как судебные приставы-исполнители в соответствии с правилами, установленными для сбора информации, используемой в качестве вещественных доказательств.
После получения резервных копий или информации, хранящейся в системе, они будут контролировать доступ к этим вещественным доказательствам и защищать их в соответствии с законом.
Вопрос к эксперту
Вопрос. Если в организации осуществляется мониторинг ее сети, то является ли это нарушением закона об электронном прослушивании?
Ответ. Организация является владельцем и оператором компьютерной сети, поэтому ей разрешено собирать подобную информацию. Это не является нарушением законов 2511 и 2701 об электронном прослушивании.
Более того, если сбор последующей информация связан с получением ее из сети, правоохранительные органы имеют право предъявить повестку для вызова в суд или ордер на получение дополнительных сведений. Эти документы позволят им сделать запрос на журналы от поставщика услуг связи или установить аппаратуру для мониторинга. Без предъявления ордера это сделать невозможно. В данном случае представители правоохранительных органов действуют опять же в соответствии со своими собственными процедурами.
Совет
Правоохранительным органам не нужен ордер, если информация предоставляется по собственному желанию (например, самой организацией). Однако, если их представители захотят получить данные с вашего сайта, лучше потребовать предъявления соответствующего ордера, поскольку это защитит вас от некоторой ответственности. Такой подход следует использовать, если организация является поставщиком услуг связи, и правоохранительным органам нужны журналы, где регистрируется деятельность, осуществляемая в сети. В любом случае запрос о выдаче магнитных лент или файлов журналов должен пройти через юридическое ведомство организации.
