Текст книги "Цифровые доказательства в арбитражном суде"

Основные правила

Цифровые следы – это, конечно, интересно. Но прикладная польза от них появляется только в том случае, когда они могут быть преобразованы в полновесные доказательства по делу. Чтобы это произошло, нужно как минимум знать несколько базовых правил обращения с цифровыми следами.

Во-первых, важно знать, как и где искать. Следы могут быть умышленно или неумышленно уничтожены, изменены, зашифрованы. Для успешного поиска пригодятся знания и навыки, а также специализированное оборудование и софт. И тогда ноутбук расскажет все о логинах, паролях и ключах шифрования своего владельца, о его транзакциях и переписке. Смартфон дополнит историей звонков, фотографиями и геолокацией. Фитнес-трекер или умные часы расскажут о пульсе во время важного звонка. И это только часть знаний наших электронных спутников.

Во-вторых, цифровые следы – крайне «хрупки» и часто недолговечны. Неумелые действия или упущенное время могут привести к их безвозвратной утрате. Поэтому крайне важно работать с цифровыми следами по актуальным методикам. Простой пример – важно знать, что «обычное» копирование файлов радикально отличается от криминалистического побитового копирования. Для примера – криминалистический блокиратор-копировщик (или как минимум специальный софт) доказательства сохранит, а простая процедура «Ctrl+C/Ctrl+V» может изменить и испортить ключевые доказательства безвозвратно.

В-третьих, важно все сделать правильно не только технически, но и юридически. Знать и соблюдать процессуальные требования к сбору и фиксации цифровой информации. Иначе магия помещения цифровых следов в относимые и допустимые доказательства может не произойти.

Как же юристу, зная обо всех этих правилах и условиях, наиболее оптимально выстроить работу с цифровыми следами так, чтобы результат этой работы помог прийти к победе? Мы выделяем в такой задаче три блока:

1. Поиск и сохранение цифровых следов.

2. Анализ цифровых следов на предмет их доказательного потенциала.

3. Представление цифровых следов в качестве доказательств.

Поиск и сохранение цифровых следов

Исходная точка в доказывании определенных фактов на основе цифровых следов – это поиск и сохранение этих самых следов. Как мы уже говорили, крайне важно сделать это способами, обеспечивающими относимость, допустимость и полноту доказательств. Поэтому этот этап в большинстве случаев неразрывно связан с использованием компетенций в сфере форензики – важно понимать, что, как и где искать, а также уметь пользоваться соответствующим инструментарием. Поэтому без обладающего необходимыми знаниями, навыками и опытом специалиста будет непросто.

Что будет делать этот специалист? Его действия по работе с цифровыми следами имеют четкую структуру. Существуют стандарты и руководства, которые регламентируют общий порядок работы. Например, ГОСТ Р ИСО/МЭК 27037—2014. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме99
  С русскоязычной версией можно ознакомиться например тут – https://docs.cntd.ru/document/1200112857


[Закрыть]. Хотя этот документ относится к тематике расследования инцидентов информационной безопасности, а не к арбитражным судебным разбирательствам, он дает хорошее представление об общем алгоритме работы, основных его этапах. Пройдемся по его рекомендациям.

Идентификация. Этот этап заключается в определении перечня мест, где теоретически могут находиться искомые цифровые доказательства. После чего – поиск в этих местах, распознавание и документирование потенциальных доказательств, представленных в цифровой форме.

Посмотрев на пример с пересылкой документов по электронной почте (см. стр. 20) мы видим, что искать цифровые следы в системе контроля доступа в помещение или в системе электронной бухгалтерии вряд ли стоит. На локальном компьютере пользователя можно, но в описанных условиях высока вероятность нулевого результата (даже если исследовать компьютеры обеих сторон спора). А вот направление провайдеру соответствующих услуг запрос о предоставлении информации будет куда более действенно с точки зрения получения доказательств.

В случае же, когда в похожей ситуации стороны использовали собственные почтовые сервера, исследовать нужно именно их. Полученные данные об отправке и получении электронных сообщений стали бы основой для доказывания.

К этой ситуации мы еще вернемся в разделе про электронную переписку – ведь это одна из самых «популярных» тем.

Сбор. Процесс сбора объектов, которые потенциально содержат цифровые следы. Поскольку надежнее и безопаснее все действия по «доставанию» информации проводить в экспертной лаборатории, речь идет именно о самих объектах, содержащих информацию. Однако в значительном количестве случаев это невозможно. Например, когда речь о каком-то IT-оборудовании, обеспечивающем непрерывный производственный или бизнес-процесс. Или когда интересующие нас цифровые следы находятся в облачном хранилище, которое физически не получится «изъять» и доставить в лабораторию.

Извлечение и сохранение. Для того, чтобы цифровые следы имели шансы стать доказательствами, важно соблюсти требования к их относимости и полноте. Получение доступа к цифровым следам ни в коем случае не должно привести к нарушению их целостности, искажению и утрате. Поэтому перед началом основной работы эксперт с использованием специального оборудования или софта1010
  Популярны аппаратные блокираторы записи, например компаний Tableau и EPOS.


[Закрыть] – блокиратора записи создает криминалистическую копию – «образ» носителя информации (например, накопителя ноутбука). А далее работает только с этой копией. Это действие обеспечит сохранность и неизменность цифровых следов на оригинальном носителе. Если об этом этапе забыть, все дальнейшие действия приведут к изменению первоначального следа, а значит – к утрате доказательства.

На сегодняшний день создание криминалистического образа и работа с ним, а не с самой хранящей в себе цифровые следы системой – это «стандарт отрасли». Отступление от него допускается только в очень редких, исключительных случаях.

Когда копирование завершено, важно убедиться, что копия не отличается от оригинала. Для этого рассчитываются и сравниваются значения криптографической хэш-функции. Если значения хэш-функции оригинала и копии совпадают, то содержимое копии является полностью идентичным оригиналу.

Хэш-функция – специально созданный математический алгоритм, преобразующий по определенным правилам заданный массив входных данных произвольной длины в выходную битовую строку установленной длины. Преобразование, производимое хеш-функцией, называется хешированием, а полученные данный – хеш-суммой, контрольной суммой или ключом.

Существует большое количество видов и подвидов алгоритмов хэширования – MD5, SHA256, Стрибог и так далее. Главное, чтобы применялся только апробированный инструментарий, а процесс тщательно документировался исполнителем.

А теперь давайте поговорим про «источники цифровых следов»: что и где может быть найдено, а также в каких ситуациях это пригодится.

Источники цифровых следов

Электронные документы

В Законе «Об обязательном экземпляре документов»1111
  ст. 1 Федерального закона от 29.12.1994 №77-ФЗ «Об обязательном экземпляре документов».


[Закрыть] сказано, что документ – это «материальный носитель с зафиксированной на нем в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения».

А электронный документ – это документ, информация которого представлена в электронной форме1212
  п. 3.1 ГОСТ Р 7.0.8—2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения.


[Закрыть]. Или «документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах»1313
  п. 11.1 ст. 2 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»).


[Закрыть], если обратиться к другому источнику.

Принято разделять электронные документы на те, что были изначально созданы в электронном виде (и в бумаге их никогда и не существовало) и те, что создавались бумажными, а потом были «оцифрованы» (электронный образ документа). Знание такого различия имеет значение для установления и подтверждения свойств электронного документа (его аутентичности, достоверности, целостности и пригодности для использования), а также для соблюдения требований к разным видам электронных документов.

А с точки зрения форензики – также и для понимания природы формирования цифровых следов. Тут смысл в следующем: если был подделан изначально созданный в электронном виде документ, установить это поможет именно цифровая криминалистика и компьютерно-техническая экспертиза.

А вот с электронным образом документа ситуация иная. Если это скан-копия, в которую при помощи графического редактора были внесена изменения – дата или текст поправлены, подпись или печать дорисованы – методы форензики помогут это обнаружить. Но если все «корректировки» были проделаны еще с бумажным документом, который уже потом был отсканирован, то тут, к сожалению, форензика не поможет. Зато помогут классические почерковедческая и технико-криминалистическая экспертиза документов, которые могут дать много полезного даже при изучении скан-копий.

Цифровые фото– и видеоматериалы

До начала работы с этой книги мы хотели подробно рассказать про цифровые фото– и видеоматериалы. Однако уже в процесс решили, что поступим по-другому. Дело вот в чем. С одной стороны – это те же электронные документы, только не текстовые, а визуальные. Поэтому все сказанное выше про документы в целом справедливо и для изображений – если было изменено изначально созданное в электронном виде изображение, цифровая криминалистика и компьютерно-техническая экспертиза поможет установить это.

Если это скан-копия фотографии или оцифрованная с VHS запись (если кто помнит такие), в которую при помощи редакторов были внесены изменения, – методы форензики помогут обнаружить и это. Но если все дорисовки были проделаны еще с аналоговым изображением, то тут, к сожалению, форензика не поможет.

Аналогичная логика и для звукозаписей. Это ведь тоже в некотором роде электронный документ. Ведь компьютеру все равно, как это воспринимаем мы. Для него все это – определенным образом зашифрованная информация внутри файла конкретного расширения. И у этой информации есть конкретные атрибуты – метаданные, изучив которые можно сделать определенный вывод о наличии либо отсутствии изменений.

Но это все только верхушка айсберга. Ведь уже показывается из-под воды огромная махина, имя которой дипфейки. Определить подделку такого уровня – действительно архисложная задача. И, если говорить объективно, форензика пока в начале пути к эффективной работе с задачами такого уровня. Об этом мы поговорим в разделе про искусственный интеллект и его проявления.

Электронная почта

В 2023 году во всем мире было зарегистрировано несколько десятков миллиардов ящиков электронной почты – личные, корпоративные, технические и т. п. Каждый год отправляется и доставляется больше ста триллионов электронных писем. Это и спам, и технические сообщения, и письма от друзей и родственников, и, конечно, деловая переписка.

В России, по данным Rambler&Co, только четверть респондентов имеет лишь один ящик электронной почты, остальные – два и более. Также примерно каждый четвертый имеет хотя бы один ящик с зарубежным почтовым доменом, из которых самый популярный – gmail.com. Основная масса писем уходит на российские почтовые сервисы: 39% – на mail.ru и 13% – на yandex.ru. Почты на bk.ru, list.ru, inbox.ru, rambler.ru и ya.ru дают еще 10% в совокупности. Оставшиеся – это корпоративные ящики.

С такими объемами пересылаемых писем даже малый процент действительно важных из них превращается в весьма значительные числа. Поэтому и задача как-то сохранить и зафиксировать написанное в электронном письме, причем зафиксировать юридически значимо, возникает достаточно часто.

Согласование объема работ с подрядчиком или направление заказчику акта выполненных работ, отправка работником компании третьим лицам внутренних документов или обсуждение менеджером по закупкам «личной» доли в цене контракта, реальная дата получения от разработчика-удаленщика заявления на отпуск – все эти электронные письма могут помочь юристам в доказывании точки зрения доверителя. А для этого любому современному юристу важно понимать базовые принципы фиксации переписки в электронной почте.

Прежде чем говорить о способах сохранения потенциальных доказательств в email-переписке, было бы неплохо хотя бы в самом общем виде поговорить про технологии. Ведь, по идее, от них-то и должен зависеть способ «заверения» и его надежность. Однако… конкретные технологии меняются быстро. И если делать упор только на них, мы имеем риск бесконечной гонки все более актуальных способов. Причем все более сложных способов – технологии ведь усложняются. Поэтому задачи уровня про «конкретные технологии» – дело все-таки технических специалистов по этим технологиям. Которых в особо сложных случаях юристы привлекают, например, в качестве консультантов.

А вот юристам мы предлагаем куда более стабильный, на наш взгляд, путь. Он не меняется уже много лет, если даже не десятилетий. Это путь в определении того, как «организационно» выглядит взаимодействие сторон переписки. Ведь как раз от способа организации этого общения и будет на верхнем уровне зависеть способ «заверения» и степень его надежности. Ведь именно от этого зависит что искать и где.

Предвидим вопрос – как то есть «где»? Вот же наша переписка с контрагентом, вот документ прикрепленный отправили, что еще нужно? Все же наглядно и ясно.

С одной стороны, да. Но не совсем. Переписка – это двухсторонняя (как минимум) коммуникация. Всегда есть отправитель, всегда получатель. Даже если это одно и то же лицо. Даже если субъекта переписки как такового и нет, например, когда сообщения или ответы на них генерируются автоматически. И это важно понимать, потому что для максимально достоверного и неоспоримого подтверждения факта направления и получения сообщения по электронной почте нужно исследовать инфраструктуру с обеих сторон. И даже это, можно сказать, необходимый минимум.

Исследование инфраструктуры, проведенное только на стороне отправителя или только на стороне получателя, не может быть стопроцентно достоверным, и причин этому масса. Для доказывания этого утверждения пойдем от обратного. Далее мы приведем пример реального случая, когда это не было сделано, и покажем, к чему это привело.

Итак. Есть, по сути, три базовых варианта, как может организационно выглядеть взаимодействие сторон переписки. Участники переписки могут использовать:

1. Общедоступные публичные почтовые сервисы.

2. Независимые собственные почтовые серверы.

3. Переписка внутри общего почтового сервера.

Общедоступные публичные почтовые сервисы. Это тот случай, когда хотя бы одна из сторон переписки пользуется общедоступным публичным почтовым сервисом типа mail.ru, yandex.ru, gmail.com. Сюда же относятся и «корпоративные» ящики вида [email protected], но размещенные на почтовых серверах тех же VK или Яндекс (эти IT-компании предоставляют такой сервис). На сегодня это самый распространенный способ организации корпоративных почт для небольшого бизнеса.

В этом случае, что бы вы ни отправляли или получали, следов писем на вашем локальном компьютере может быть не много. Даже если вы пользуетесь почтовой программой типа Outlook, Thunderbird и их аналогами. А если только веб-версией почтового клиента – то тем более. Даже после простой очистки кэша браузера многое утрачено.

Но это не проблема – ведь почту-то храните не вы на своем ПК (хотя бывает и так, и тогда все становится проще), а почтовый сервер на стороне крупной компании-провайдера услуг