Есть такое «народное наблюдение»: из 100 людей 20 никогда не будут брать чужого, 20 будут стараться взять всегда, при первой возможности, а 60 — в зависимости от ситуации. Таким образом, форензик нужен там, где есть что терять и есть тот, кто может претендовать на чужое.

Примерно так описывали суть форензик еще несколько лет назад. В частности, данную статистику приводил Павел Самсонов, директор АНО «Финансовые расследования и судебные экспертизы», в статье «Форензик в России: “Самые удачные расследования — те, о которых мало кто знает”».

Заметание под ковер

Действительно, публичных кейсов успешного доведения дел до судов не так уж много, в большинстве случаев выявленные случаи мошенничества не выносятся за пределы компаний и заканчиваются внутри организаций некими соглашениями. И дело не только в нежелании «выносить сор из избы», но и, как полагают некоторые эксперты, в довольно медленном процессе выработки критериев того, какой набор действий можно считать форензиком, а какой отнести к внутреннему аудиту или к комплаенс-процедурам.

Павел Самсонов в этой связи дает следующее определение: «Форензик — это действия, направленные на выявление и предотвращение противоправных действий со стороны клиентов заказчика расследования, его сотрудников, конкурентов, партнеров по бизнесу».

Председатель Московской коллегии адвокатов «Юлова и партнеры» Елена Юлова в этой же статье подчеркнула другую важную особенность, на которой важно заострить внимание: «Какие отличия от иных “расследовательских процедур”? Самая известная процедура — оперативно-розыскная деятельность, осуществляемая сотрудниками правоохранительных органов, действующих на основании Закона “Об оперативно-розыскной деятельности“. Оперативно-розыскные мероприятия проводятся тогда, когда есть основания полагать, что действия тех или иных лиц подпадают под признаки преступления».

Это обстоятельство стало основанием для широко распространившегося в мнения о том, что «форензик-расследование является частным расследованием, которое, тем не менее, не может и не вправе заменить оперативно-розыскную деятельность. Основанием для форензик-расследований являются различные локальные нормативные акты, например приказ руководителя компании о проведении внутренней служебной проверки, договоры на оказание услуг аудиторами, экспертами и прочими специалистами. Адвокаты оказывают юридическую помощь доверителю на основании Закона “Об адвокатской деятельности и адвокатуре”».

Почему, говоря о форензике, по умолчанию имеют в виду его тесную связь с IT и информационной безопасностью? Исторически термин «форензик» — это калька с forensic science («судебная наука»), то есть наука об исследовании доказательств. В России это понятие чаще называют криминалистикой, а слово «форензик» закрепилось за компьютерной ее частью.

Сегодня практический форензик — это вотчина высококлассных экспертов из групп немедленного реагирования, часто из состава SOC или подразделений DLP, которые занимаются выявлением фактов утечки конфиденциальной информации за пределы компаний. В функционал экспертов-криминалистов входит выяснение того, как именно были реализованы атака, построение сценариев взлома или утечки с восстановлением хронологии, а также надлежащий сбор юридически значимых доказательств и артефактов. Финалом этой деятельности является этап формирования экспертного заключения по факту ИБ-инцидента для суда или иных компетентных государственных органов.

Так что же меняется?

О каких новых трендах в этой довольно консервативной с точки зрения динамики развития деятельности говорят аналитики? Отметим, что об инновациях заговорили не только практикующие юристы, но и представители научного сообщества. Почему? Изменения произошли в фундаментальных основах взаимоотношений классической криминалистики, форензика и информационной безопасности.

Во-первых, после ухода из России западных вендоров и международных аудиторско-консалтинговых компаний произошел отход от классических представлений о том, кто и какими инструментами должен производить расследования. Как оказалось, отечественной научной школе есть что предложить сообществу, например кибериммунологию и кибериммунитет, позволяющие построить самоорганизующиеся ИБ-системы. Особенно это касается российских вендоров DLP-систем, которые практически на 100% заняли свою нишу и активно развивают собственные консалтинговые подразделения с учетом всех тонкостей отечественного законодательства в области контроля над перемещением чувствительной информации посредством, например, e-mail и мессенджеров.

Во-вторых, поскольку комплексные ИБ-системы являются крайне дорогостоящими решениями, в последнее время стал уже практикой тренд на «переиспользование» ресурсов, относящихся к ведению департамента ИБ, иными подразделениями, например HR и службой экономической безопасности. Благодаря использованию технологий поведенческой аналитики (UBA) и достижениям в области искусственного интеллекта (AI) удалось совершить качественный технологический скачок. Он заключается в том, что за счет более полного покрытия информационных потоков внутри компаний, а также глубокой их аналитики в ряде случаев удается перейти от реагирования «постфактум» к превентивным действиям. Например, по внешне мало или никак не связанным действиям сотрудников, собранным DLP-системой, трудно доказать, что сотрудник, готовясь к увольнению, сливает базу данных клиентов или администратор использует служебное положение для противоправных действий. Об этом можно будет узнать лишь постфактум. А вот комплексный анализ с учетом поведенческих паттернов, обрабатываемых AI, может подсказать офицерам безопасности о росте того или иного риска заранее.

Третья причина — феномен синтеза новых знаний «продвинутым» AI. В частности, об этом шла речь в недавней беседе Сергея Петренко, CISO Университета «Иннополис», и Михаила Смирнова, главного редактора ассоциации по вопросам защиты информации BISA.

До сих пор считалось, что ИБ, а значит, и форензик, не являются научными дисциплинами, поскольку нет законов (количественных закономерностей), объясняющих развитие системы в пространстве и времени. Действительно, в ИБ невозможно было создать «модель конфликта», позволяющую теоретически вывести закономерности. Единственная возможность — кропотливый и долгий сбор статистики. Поэтому нормативная документация покрывает лишь базовый уровень ИБ, а повышенный уровень приходится «закрывать» методами управления рисками.

После увеличения интенсивности кибератак в 2022 году как минимум в 15 раз появился поток статистики, который до этого приходилось собирать десятилетиями. При этом стали использоваться весьма сложные сценарии, в которых практически всегда задействованы внутренние сотрудники компаний — объекты анализа форензик-аналитиков. Меняются и цели: намерение «претендовать на чужое» зачастую заменяется «саботажем и выводом объектов из строя».

После увеличения интенсивности кибератак в 2022 году как минимум в 15 раз появился поток статистики, который до этого приходилось собирать десятилетиями

Однако важно то, что AI способен успешно работать в этих условиях и предлагать новые архитектуры ИБ, основанные на собранной статистической информации. Это все означает, что барьеры для признания и ИБ, и форензика научными дисциплинами рушатся. Для последнего это может означать, что со временем удастся стереть границу между ним и классической криминалистикой, а это значит, что киберпреступления скрывать больше не удастся.