Нередки случаи, когда недобросовестный сотрудник, передаёт конфиденциальные данные за пределы компании через приложения, установленные на своем мобильном устройстве. В нашей практике мы выявляли следы утечки через мессенджеры, фото и облачные хранилища следующей информации:

В случае подобного инцидента мобильное устройство является объектом цифровой криминалистики (Digital Forensics) с целью поиска доказательств и проведения расследования.

Какие данные мобильного устройства, как объекта цифровой криминалистики, представляют интерес для специалиста в процессе проведения исследования?

Одним из самых популярных объектов исследования мобильной криминалистики является переписка, содержащаяся в различных приложениях. Чаще всего, это сервисы мгновенных сообщений (мессенджеры), такие как: WhatsApp, Viber, Telegram, VK, Facebook Messenger, Signal, Slack, Teams и т. д.

Переписку для анализа можно получить из самих мобильных устройств, их резервных копий и облачных хранилищ. Извлечение данных из устройства возможно выполнить встроенными средствами (iTunes для iPhone и PC Suit для Android), или специальными криминалистическими программно-аппаратными комплексами.

Сбор данных без использования специальных средств, возможен при наличии полного доступа к устройству (чаще всего — кода разблокировки), или если устройство не защищено паролем на вход. Чтобы извлечь информацию, устройство нужно подключить кабелем к компьютеру и запустить процесс резервного копирования. После создания резервной копии можно приступить к анализу данных.

В том случае, если получить информацию из мобильного устройства обычными способами невозможно (например, невозможно подключить устройство как внешниий диск или создать его резервную копию), информация извлекается с помощью специализированных программно-аппаратных комплексов:

С помощью таких специализированных решений можно провести комплексное исследование мобильного устройства и извлечь не только переписку из мессенджеров, но и другую доступную информацию: медиафайлы, журналы звонков, документы, и др. Кроме данных непосредственно из устройства, специализированные криминалистические программы дают возможность извлечь информацию из облачных сервисов. Для этого необходим доступ к сим-карте, к телефонному номеру которой, привязан аккаунт. Программное обеспечение формирует свой запрос авторизации в облачный сервис, далее мобильное устройство с сим-картой принимает SMS-сообщение с кодом подтверждения, введя который эксперт получает полный доступ к информации.

Цифровые доказательства очень чувствительны к изменениям, поэтому эксперты используют специальные подходы для сохранения их целостности и защиты от изменений. Неосторожная работа с электронными носителями может привести к уничтожению важной для исследования информации или компрометации доказательств. Например, открытие файла без защиты от записи ведет к изменению временных меток, что в последствии сильно затрудняет установление точной даты доступа к файлу со стороны злоумышленника.

Чтобы сохранить цифровые доказательства в неизменном виде и гарантировать их аутентичность эксперты используют блокираторы записи и специальные криптографические хэш-алгоритмы. Хэш-алгоритмы позволяют посчитать контрольную сумму для файла или всего содержимого носителя информации, которую можно использовать для последующего контроля целостности и отсутствия изменений. Если в файле или на диске поменяется хотя бы 1 бит информации, то значение контрольной суммы полностью изменится.

Обычно исследование цифровых доказательств проходит в несколько этапов.

Первые два этапа выполняются экспертом-криминалистом, так как требуют глубоких технических знаний и опыта в идентификации цифровых следов и их интерпретации. Для разрешения поставленных на исследование вопросов используется комплекс специализированных инструментов.

Для изучения содержимого документов можно использовать стандартные программные средства — программы из пакета Microsoft Office и другие, либо специальную платформу eDiscovery, которая позволит анализировать большие объемы информации (десятки и сотни тысяч документов) с участием нескольких аналитиков или юристов. Такие платформы предоставляют мощные аналитические возможности: полнотекстовый поиск, распознавание текста на графических изображениях, систематизацию файлов по типу, дате, автору и другим метаданным, построение социальных связей участников переписки, кластеризация документов по содержимому и использование систем искусственного интеллекта для поиска важных сведений.

В зависимости от поставленной задачи результаты работы специалиста могут быть оформлены и представлены в различных видах. При проведении исследования для внутренних целей компании может быть достаточно короткого отчета и выгрузки интересующих сведений. В случае, если результаты исследования могут потребоваться для официального использования, например в трудовом споре, гражданском или уголовном процессе, специалистом готовится заключение с подробным описанием и с выводами о проделанной работе, оформленные соответствующим образом (чаще всего, за основу берутся требования ФЗ № 73 «О государственной судебно-экспертной деятельности в Российской Федерации»). Если исследование проводится по назначению суда, то специалист становится экспертом и готовит необходимое заключение в соответствии с требованиями законодательства.

Заключение специалиста/эксперта всегда имеет юридическую значимость. Такие заключения обязательно будут приняты во внимание сторонами или судом и будут иметь определённый вес при принятии решения. Если суду или сторонам потребуются уточнения по проведённому исследованию, существует распространённая практика участия специалиста/эксперта в судебном заседании для дачи пояснений и защиты своего заключения.