Отечественная юридическая практика знает огромное количество случаев, когда досудебная экспертиза становилась решающим аргументом в пользу вынесения решения суда. Закон определяет её результаты как доказательство, которое может быть использовано в рамках судебного процесса.
Особое место в досудебном сборе доказательств занимает компьютерно-техническая досудебная экспертиза. Её можно определить как применение методов расследования и анализа для сбора и сохранения доказательств с конкретного вычислительного устройства в форме, пригодной для представления в суде.
Основная задача: провести структурированный анализ и сохранить документированную цепочку доказательств, чтобы выяснить, что именно произошло на вычислительном устройстве и кто несет за это ответственность.
Кратко о проведении компьютерно-технической экспертизы
По факту всё начинается со сбора информации. Делается это таким образом, чтобы сохранить ее целостность.
Затем эксперты анализируют данные или систему, чтобы определить, были ли они изменены, как они были изменены и кто внес изменения.
Кстати: компьютерно-техническая экспертиза не всегда связана с расследованием правонарушений. Например, она для восстановления данных, для сбора данных с повреждённого сервера, вышедшего из строя диска, переформатированной операционной системы (ОС) или в других ситуациях, когда имеет место программная или аппаратная проблема.
Важность компьютерно-технической экспертизы
В системе гражданского и уголовного правосудия компьютерная криминалистика помогает обеспечить целостность цифровых доказательств, представленных в суде. Поскольку компьютеры и другие устройства для сбора данных все чаще используются во всех сферах жизни, цифровые доказательства, как и процесс досудебной экспертизы, используемый для их сбора, сохранения и исследования – становятся все более важными для раскрытия преступлений и других юридических вопросов.
Человек, не являющийся профессионалом, никогда не увидит большую часть информации, собираемую цифровыми устройства. Например, CRM-системы собирают отчёты абсолютно обо всех действиях, даже, казалось бы, самых незначительных. Однако эта информация может оказаться критически важной для раскрытия судебного дела или преступления, и досудебная компьютерно-техническая экспертиза часто играет решающую роль в выявлении и сохранении этих данных.
Важно: доказательства полезны не только при раскрытии преступлений в цифровой отрасли (кража данных, взлом сетей и незаконные онлайн-транзакции). Они также используются для расследования противоправных деяний в физическом мире (кражи со взломом, нападения, ДТП и убийства и т.д.).
Крупные предприятия используют многоуровневую стратегию управления данными, управления данными и сетевой безопасности для обеспечения сохранности собственных данных. Это может очень хорошо помочь в том случае, если компании потребуется досудебная компьютерно-техническая экспертиза.
Основные этапы досудебной компьютерно-технической экспертизы
С технической точки зрения проведение компьютерно-технической экспертизы включает в себя большое количество сложных операций, которые проводят сертифицированные специалисты. Однако нам не обязательно углубляться в подробности. Рассмотрим процесс в обобщённом виде:
Этап сбора данных
Сбор информации, хранящейся в электронном виде, должен осуществляться таким образом, чтобы сохранялась ее целостность. Часто для этого необходимо физически изолировать исследуемое устройство, чтобы исключить возможность его случайного загрязнения или несанкционированного вмешательства. Эксперты делают цифровую копию данных с устройства, а затем запирают оригинал девайса в сейфе или другом надежном месте, чтобы сохранить его изначальное состояние. Расследование проводится на основе цифровой копии. В других случаях может использоваться общедоступная информация, например, страница в Facebook и других социальных сетях.
Анализ
Следователи анализируют цифровые копии носителей информации в закрытой среде, чтобы собрать информацию для дела. Для помощи в этом процессе используются различные инструменты, включая Autopsy от Basis Technology для исследования жестких дисков и анализатор сетевых протоколов Wireshark.
Подготовка заключения. Заключение досудебной компьютерно-технической экспертизы является полноценным доказательством, которое можно использовать как непосредственно в рамках судебного процесса, так и до него. Грамотно проведённая экспертиза нередко позволяет решать вопрос до обращения в суд, что экономит огромное количество денег и времени.
