Бесплатный фрагмент - Цифровые доказательства в арбитражном суде

Введение

Почта и мессенджеры, посты, лайки и фото в соцсетях, адреса в навигаторе и запросы в поисковиках — наши гаджеты знают о нас все больше. Похожая ситуация и в бизнесе. Даже те компании, которые на первый взгляд сложно причислить к сфере IT, активно внедряют системы управления технологическими процессами, аналитику больших данных и машинное обучение. Или хотя бы используют электронный документооборот или облачные сервисы для постановки и контроля задач. Про корпоративную почту или сервисы видеоконференций и говорить не стоит — давно стали обязательным атрибутом работы. Тем более, если компания сама игрок на рынке информационных технологий. Ее «продукт» и все процессы по созданию и поддержке — это уже практически бездонная кладезь информации.

Все это — цифровая информация. Она возникает и изменяется, отражая наши действия не только в цифровом пространстве, но уже и в физическом мире. Это наши цифровые следы. И чем их больше создается и накапливается, тем важнее и значимее они становятся. И вот уже переписка в мессенджере, страница сайта или код программы — не просто следы, а веские аргументы в споре. В том числе, и в судебном. Сегодня цифровые следы уже активно используются юристами в качестве доказательств в самых разных ситуациях:

• в спорах о правах на объекты интеллектуальной собственности;

• при возникновении претензий к качеству работ и услуг, причем не только в IT-сфере;

• при проведении внутренних аудитов и расследований случаев злоупотреблений внутри компании (так называемый корпоративный фрод);

• при оспаривании итогов конкурсов и закупок, например, в антимонопольных делах;

• при оспаривании фиктивных банкротств и розыске активов;

• при проведении M&A сделок и инвестировании.

Этот список далеко не окончен, его уже продолжают криптовалюты, дроны, роботы, искусственный интеллект и так далее.

При этом с цифровыми следами есть как минимум одна сложность — это сущности из мира IT. Это действительно отдельный мир, со своим особым набором знаний и компетенций, взглядом на вещи и даже языком. А вот обоснование позиции, судебные споры, представление доказательств — это мир юристов. Как же перевести важные категории, понятия и слова с языка одного мира на язык другого, не потеряв при этом смысл сказанного, точность и полноту смысла? Как разобраться во всех технологических тонкостях и выиграть дело?

Для решения этой задачи как нельзя лучше подходит дисциплина форензика или же компьютерная криминалистика. Да, криминалистика все чаще выходит за пределы уголовного процесса — ведь запрос на получение четкой картины события и аргументированных доказательств, безусловно, существует и в рамках арбитражных процессов. Сегодня форензика помогает юристам побеждать, используя доказательства современного мира — цифровые доказательства. И эта книга расскажет о них и об их возрастающей роли в арбитражных спорах 21 века.

---

Книга и ее структура

Эта книга — основанный на анализе практики команды DFСenter авторский взгляд на то, как зарождалась и успешно развивается возможно новая «подотрасль» компьютерной криминалистики — арбитражная форензика. Именно этот термин мы будем использовать наряду с терминами «компьютерная криминалистика» и «форензика», поскольку в этой книге речь пойдет о применении компьютерной криминалистики именно в рамках арбитражных процессов. В связи с чем методы и применяемые в работе экспертов практики также могут отличаться от применяемых в классической «уголовной» форензике.

Чем эта книга точно НЕ является, так это учебником для юридических ВУЗов или научной работой. Мы сознательно постарались уйти от излишнего теоретизирования и академизма в изложении. Наш приоритет — рассказать вам, как выглядит работа с цифровыми доказательствами с точки зрения практиков. Сделать это понятным языком, не для «технарей». Но сохранив при этом и прикладное значение, и изначальный смысл. Надеемся, что у нас это получилось.

Чтобы наилучшим образом разобраться в теме и принести пользу именно в вашей юридической практике, мы поэтапно расскажем о следующих «составных элементах» работы с цифровыми доказательствами:

Глава 1 — краткий экскурс в историю вопроса. Почему и как криминалистика, точнее ее раздел компьютерная криминалистика, стала помощницей юристов и в арбитражном суде. Исторический путь, иностранный опыт и почему именно «форензика».

Глава 2 посвящена главному, с чем работает форензика — цифровым следам. Что это, почему возникают, где и как их искать, собирать и анализировать. К каким результатам такой анализ может привести. И как, собственно, эти следы становятся цифровыми доказательствами.

Глава 3 о людях, обладающих «специальными знаниями». Расскажем про специалистов и экспертов, об их отличиях в компетенциях и статусе. Как с точки зрения процессуального законодательства, так и их «практического применения». А еще о том, на что обратить внимание при выборе эксперта.

В Главе 4 поговорим о собственно исследованиях и экспертизах, в этой главе два больших раздела. Про внесудебные исследования, где есть место не только чистой компьютерной криминалистике, но и аналитике данных, теории игр и даже «большой» математике. Далее — про судебные экспертизы. Порассуждаем о стратегии в постановке вопросов, рецензировании и выявлении неточностей в заключениях оппонентов.

Завершим книгу мы обсуждением того, куда может пойти арбитражная форензика на горизонте 5—10 лет — что нового в нее привнесет развитие технологий.

---

Благодарности

Эта книга была бы не больше, чем теоретическое эссе, если бы не основывалась полностью на анализе реальных кейсов, выполненных отличными экспертами — технической командой DFCenter для лучших юристов — наших клиентов. Мы очень рады, что работаем вместе. И всегда готовы к продолжению сотрудничества, выстраиванию новых партнерских отношений и началу новых проектов.

Также эта книга никогда бы не была написана, а компания DFCenter, возможно, и не возникла, если бы почти 20 лет назад автор не познакомился со своим будущим научным руководителем, проводником во многих теоретических и прикладных вопросах компьютерной криминалистики и IT-права, и просто учителем — Алексеем Николаевичем Яковлевым, кандидатом юридических наук, доцентом, автором множества научных работ по темам компьютерной криминалистики и СКТЭ. Проведшим несколько сотен компьютерно-технических экспертиз и подготовившим несколько сотен экспертов, работающих по всей России. Одним из отцов-основателей этого направления российской науки.

Глава 1. Арбитражная форензика

По устоявшемуся мнению ученых-юристов, криминалистика — это, прежде всего, наука о закономерностях механизма преступления, возникновения информации о преступлении и его участниках, закономерностях собирания, исследования, оценки и использования доказательств и основанных на познании этих закономерностей специальных методах и средствах судебного исследования и предотвращения преступлений. Отсюда и ее главная цель — обеспечение и сопровождение расследования преступлений. Следуя именно этой цели криминалистика долгие годы помогала Шерлоку Холмсу, Глебу Жеглову и многим их более реальным коллегам ловить преступников и раскручивать темные дела.

Однако сложные и запутанные ситуации встречаются ведь не только в уголовных делах, но и в арбитражных спорах. В 21-м веке, с его постоянно растущим количеством информации и технологий, таких ситуаций становится все больше. В некоторых из них разобраться без «специальных знаний» практически невозможно. Вот так, под влиянием запроса практики, криминалистика постепенно адаптирует некоторые свои направления и переходит на более-менее мирные рельсы арбитражных процессов. Конечно, не вся криминалистика, но отдельные ее направления — вполне успешно. Например, почерковедение и исследование печатей. Или компьютерная криминалистика.

Компьютерная криминалистика — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств и методах поиска, получения и закрепления таких доказательств.

Возникновение и развитие

Компьютерная криминалистика появилась в середине 60-х годов 20 века в США. Возникали новые технологические возможности — и их стали использовать не только в законных целях. Произошли первые «компьютерные», как бы сегодня их назвали, преступления. В ответ начали развиваться методы и практики их расследования.

До СССР это новшество докатилось чуть позже — в конце 70-х-начале 80-х годов. В 1979 году в стране еще не появились персональные компьютеры, но мошенники уже попытались украсть 80 000 рублей с помощью поддельных документов и перфокарт на одном крупном предприятии в Прибалтике.

В 1983 году не оцененный по достоинству молодой программист остановил на три дня производство Жигулей на заводе на АВТОВАЗ. Сделал он это при помощи первого в Советском Союзе компьютерного вируса, войдя в историю как «первый хакер в СССР». Примерно в это время началось и развитие отечественной компьютерной криминалистики.

Период с середины 90-х до конца 2000-х годов в России ознаменовался созданием теоретической базы дисциплин «компьютерная криминалистика» и «компьютерно-техническая экспертиза». Такие российские ученые как Вехов В. Б., Мещеряков В. А., Нехорошев А. Б., Россинская Е. Р., Усов А. И., Яковлев А. Н. и другие, основываясь как на зарубежных источниках (отечественных прецедентов было относительно немного), так и на собственном практическом опыте, заложили основы этих научных дисциплин.

В начале 2000-х в России начали появляться частные компании, применяющие знания в компьютерной области для обеспечения информационной безопасности — себя или своих клиентов. Кто-то создавал продукты на основе этих знаний, кто-то оказывал услуги.

К концу 2010-х стало отчетливо видно, что знания и практики компьютерной криминалистики прекрасно подходят и для решения задач, далеких от ловли хакеров. Например, в спорах о правах на софт или о некачественно выполненных IT-услугах, при проблемных увольнениях разработчиков и при разрешении споров между акционерами и нанятым топ-менеджментом. Сегодня все эти дела объединяет одно — важную роль в них играет цифровая информация, а в суд в качестве доказательств все чаще попадают электронная переписка, страницы сайта, код программы и тому подобное. И чтобы их найти, собрать и выиграть спор — юристам все чаще нужна именно компьютерная криминалистика. Или форензика.

Новое имя

В практике зарубежных специалистов популярны названия «computer forensics» или «digital forensics». Собственно «forensic science» — это и есть наука о сборе и исследовании доказательств в широком смысле. В русском юридическом языке это ничто иное, как «криминалистическая наука» или «криминалистика». А «medical forensics», «fire forensics» или «computer forensics» — все это, соответственно, названия конкретных отраслей криминалистики.

В отечественной практике «computer forensics» постепенно русифицировалось и утратило первое слово в названии. А в середине 2000-х Федотов Н. Н. в своей одноименной книге одним из первых начал использовать слово «форензика» как имя собственное. Постепенно оно стало альтернативным названием для компьютерной криминалистики. Именно так сегодня этот термин зачастую и используется в российской практике.

Форензика — это компьютерная криминалистика.

Но не все с этим согласны. Ведь параллельно с форензикой есть еще и термин «forensic». Как они связаны и в чем отличия?

Форензика, как мы уже знаем, — это компьютерная криминалистика. Форензикой занимаются IT-криминалисты и эксперты компьютерно-технической экспертизы. То есть, по сути, узкоспециализированые айтишники. Кто-то с бэкграундом в сфере информационной безопасности, разработке, анализе данных, математике и так далее. Другие — бывшие сотрудники правоохранительных органов, поводили экспертизы в ведомственных лабораториях, например ЭКЦ МВД РФ, в том числе по крупным уголовным делам. Скорее всего получали дополнительное образование или проходили переквалификацию в учебных центрах.

Forensic же — это расследование фактов корпоративного мошенничества и коррупции в компании, кражи конфиденциальной информации и инсайдерских действий. Иногда сюда же включают даже «корпоративную разведку». Такой forensic, по одной из версий, еще в 70-80-е годы 20 века привнесла в бизнес-практику американская компания Kroll. Компания эта занимается расследованиями корпоративных и финансовых мошенничеств, и для этих задач ей нужен был подходящий инструмент.

Специалисты в forensic изучают финансовые документы, проводят анализ больших массивов данных, проверки контрагентов и Due Diligence, проводят «интервью» с сотрудниками и менеджментом компании, профайлинг. Этим занимаются бухгалтеры и аудиторы, юристы, аналитики и специалисты по Big Data и IT. То есть forensic — это все-таки другое. Но именно так этот термин понимают за рубежом или в крупных компаниях, работающих на международном рынке.

Такие услуги своим клиентам оказывают, например, международные аудиторские компании из Большой четверки — PWC, Deloitte, EY и KPMG. Либо специализированные, как сама Kroll.

Перспективы

В 2017 году начался достаточно знаковый, как тогда казалось, для российской IT-индустрии вообще и для BigData в частности судебный спор. Известная социальная сеть (которая уже в процессе стала частью Mail.ru Group, а потом уже сам Mail.ru переименовался в «VK») обратилась в Арбитражный суд города Москвы с иском к компании Double Data.

Как написано на сайте этой компании, с 2012 года она «специализируется на создании программных продуктов, в основе которых лежат собственные методы и алгоритмы для поиска, хранения и интеллектуального анализа больших объемов данных (Big Data и Data Mining). Решения компании направлены на снижение просроченной задолженности и выявление мошенничества в розничном кредитовании за счет использования новейших технологий и встраивания их в существующие банковские бизнес-процессы».

Однако, по мнению VK, суть инноваций сводилась к «извлечению и последующему использованию информационных элементов из Базы данных пользователей Социальной сети «ВКонтакте», что является «нарушением исключительных прав ООО «В Контакте» как изготовителя Базы данных». Говоря проще речь о скрапинге и последующей переупаковке и перепродаже данных. И суду предстояло разобраться был ли этот самый скрапинг, а если был, то насколько это законно.

Дело прошло две судебные инстанции с переменным успехом для каждой из сторон и оказалось в кассационной — в Суде по интеллектуальным правам. И все глубоко изучив СИП высказал крайне важное мнение, которое могло серьезно отразиться не только на исходе конкретного дела, но и на отрасли в целом. Причем отрасли экспертиз. Суд по интеллектуальным правам указал, что: «При возникновении у судов сомнений в технических принципах работы программы… при квалификации действий… в качестве нарушения исключительного права… суды, рассматривающие дело по существу, могли предложить… вопрос о назначении экспертизы». А также что «суду следовало предложить сторонам представить надлежащие доказательства либо самостоятельно… установить, какие действия алгоритма работы программного обеспечения… свидетельствуют о нарушении ответчиком исключительного права истца, и отразить соответствующие выводы в судебном акте».

Своим постановлением СИП определил по сути, что теперь ни один связанный с IT-технологиями сложный спор не может решаться без проведения компьютерно-технической экспертизы или хотя бы без привлечения IT-специалиста. Ведь технологии усложняются, а значит и споры о них становятся все более запутанными.

И действительно, хотя по прошествии времени кратного роста и не произошло, но положительная динамика налицо. Во-первых, количество арбитражных дел (а эта книга только о них), где цифровые доказательства играют важную роль, растет. В 2020 году количество связанных с IT судебных дел увеличилось примерно на 20% к 2019 году, и тенденция сохраняется. Так, увеличивается количество споров между компаниями о правомерности использования программ для ЭВМ, о качестве услуг, связанных с разработкой или использованием таких программ — за 2023 — первую половину 2024 года наблюдается рост примерно на 30%. Все чаще до суда доходят и споры между бывшими работодателями и работниками о том, кому принадлежат права на созданный софт.

Во-вторых, сама процедура назначения в суде компьютерно-технической экспертизы перестала быть чем-то уникальным и редким. В подавляющем большинстве дел, в которых участвовала наша компания либо юристы, которых мы консультировали, суды удовлетворяют соответствующие ходатайства сторон и выбирают предложенных ими экспертов.

2022 год внес существенные коррективы. Значительное количество международных компаний по собственной инициативе разорвали договорные отношения с российскими контрагентами и покинули рынок. Это уже приводит к судебным спорам, в том числе и с IT элементом — не всегда и не все требования закона, да и бизнес этики были соблюдены при этом спешном исходе. И в таких спорах изучение цифровых доказательств играет не последнюю роль.

Одновременно с этим все большее значение приобретает технологический суверенитет. В совершенно разных сферах российской экономики и производства активнейшим образом внедряются отечественные IT-решения, развиваются технологические компании, создаются целые новые отрасли. И хотя это иногда и приводит к противостоянию между конкурентами, но объективное изучение всех обстоятельств дела вполне способно привести к оптимальному решению таких споров. И в этом тоже помогает независимый экспертный взгляд на предмет спора — технологии и IT-разработки.

В связи с этим нам кажется, что перспективы у арбитражной форензики как инструмента доказывания в арбитражном суде весьма положительные. Поэтому предлагаем вам «обзорную экскурсию» по предмету.

Глава 2. Цифровые следы и их поиски

Что такое цифровой след

Итак, наши взаимодействия с современным миром — и отправка сообщения в мессенджере, и подключение к wi-fi в кафе, и изменение в корпоративной базе данных — оставляют следы. Каждый раз. Всегда. Даже отсутствие следов — само по себе уже след того, что что-то не так. Ведь это одно из врожденных свойств информационных технологий — любое действие с системой всегда приводит к изменению ее состояния. И любое изменение состояния системы всегда записывается, логируется.

Цифровой след — результат воздействия субъекта на цифровую среду, выраженный в любом изменении информации в такой среде.

Такие цифровые следы можно вполне успешно находить. Например, изучая электронные документы, цифровые фото- и видеоматериалы, электронную переписку, программный код и так далее.

Но возникает резонный вопрос — а можно ли этим цифровым следам доверять и насколько? Говорят, можно вручную поменять время на компьютере и все — дата создания документа будет «нужной». Или подправить что-то на фотографии с помощью фотошопа. Чуть посложнее, но вполне по силам рядовому пользователю. Получается, толку от этих цифровых следов мало — как можно на них опираться, тем более в юридическом споре, если их так просто подделать. Или все-таки тут есть нюансы?

Есть. Все, что связано с IT — сложное и комплексное. Это система с многочисленными связями и зависимостями. Внутри такой системы практически никакое изменение отдельного элемента не проходит незамеченным, оно всегда где-то фиксируется или влияет на что-то еще. И с цифровыми следами так же.

События внутри IT-системы сменяют друг друга, подчиняясь закону причинно-следственных связей, и порождают таймлайн — линию времени, на которой располагаются отдельные события. Если одно из таких событий странным образом выбивается и логики этой последовательности, это значит, что в нее кто-то умышленно вмешивался. Увидеть это — задача для эксперта.

Таймлайн — расположенные в хронологической последовательности события.

Откуда эксперт возьмет все эти данные, события, последовательности? Из самой IT-системы. На наших устройствах немало программ, ведущих логи. Это списки, куда записываются все «ходы», как в шахматах.

Пример из практики. Генеральный директор общества заключил ряд убыточных контрактов с подозрительными контрагентами. После увольнения в отношении него инициировали корпоративное расследование. Выяснилось, что вся корпоративная почта директора заблаговременно стерта, а рабочий ноутбук случайно залит кофе.

Комментарий эксперта. Любые действия в цифровом мире оставляют следы, которые можно найти, интерпретировать и представить суду в определенной процессуальной форме. К примеру, удаленные с компьютера файлы можно восстановить с помощью специальных криминалистических программ, подчищенную электронную переписку воспроизвести из резервных копий на корпоративном сервере, а действия пользователя в бухгалтерской системе выявить с точностью до минуты благодаря их аналитической обработке.

Но бывают и случаи, когда следов действительно почти не осталось. Как подтвердить или опровергнуть факт отправки электронного письма, если вся почта находилась на общедоступном почтовом сервере типа mail.ru и на нее заходили только через веб-форму? В таком случае сложно утверждать, было письмо или не было — после удаления из «Корзины» его уже не восстановить. А если и временные файлы были заботливо уничтожены программой-клинером, то следов не осталось вовсе.

Означает ли это, что поиски зашли в тупик и до истины не докопаться или все-таки есть шанс найти следы спорного письма?

Пример из практики. Одним из доказательств в споре заказчика и исполнителя по договору было сообщение в электронной почте. Истец утверждал, что письмо с документами было, и даже представил суду протокол нотариального осмотра. Ответчик — что письма не было, а что там заверил нотариус ему не известно.

Комментарий эксперта. Шанс есть. Дело в том, что сложная информационная система не ограничивается конкретным ноутбуком. В примере с почтой система гораздо больше — настолько больше, что в нее включена инфраструктура этого почтового сервера. Если подтверждение получения или удаления сообщения нельзя найти на локальном компьютере, его можно получить от провайдера интернет-услуг, от владельца почтового сервера и так далее. Тут поможет технически и юридически правильно составленный запрос, направленный по нужному адресу. Конечно, если почта не ваша или вашего доверителя, такой запрос может быть оставлен без ответа. Но это уже, все-таки, не про криминалистику.

Так что уничтожить или подделать цифровые следы, конечно, возможно. Как и любые другие следы. Но и выявить это вполне реально, обладая должными знаниями и опытом.

Основные правила

Цифровые следы — это, конечно, интересно. Но прикладная польза от них появляется только в том случае, когда они могут быть преобразованы в полновесные доказательства по делу. Чтобы это произошло, нужно как минимум знать несколько базовых правил обращения с цифровыми следами.

Во-первых, важно знать, как и где искать. Следы могут быть умышленно или неумышленно уничтожены, изменены, зашифрованы. Для успешного поиска пригодятся знания и навыки, а также специализированное оборудование и софт. И тогда ноутбук расскажет все о логинах, паролях и ключах шифрования своего владельца, о его транзакциях и переписке. Смартфон дополнит историей звонков, фотографиями и геолокацией. Фитнес-трекер или умные часы расскажут о пульсе во время важного звонка. И это только часть знаний наших электронных спутников.

Во-вторых, цифровые следы — крайне «хрупки» и часто недолговечны. Неумелые действия или упущенное время могут привести к их безвозвратной утрате. Поэтому крайне важно работать с цифровыми следами по актуальным методикам. Простой пример — важно знать, что «обычное» копирование файлов радикально отличается от криминалистического побитового копирования. Для примера — криминалистический блокиратор-копировщик (или как минимум специальный софт) доказательства сохранит, а простая процедура «Ctrl+C/Ctrl+V» может изменить и испортить ключевые доказательства безвозвратно.

В-третьих, важно все сделать правильно не только технически, но и юридически. Знать и соблюдать процессуальные требования к сбору и фиксации цифровой информации. Иначе магия помещения цифровых следов в относимые и допустимые доказательства может не произойти.

Как же юристу, зная обо всех этих правилах и условиях, наиболее оптимально выстроить работу с цифровыми следами так, чтобы результат этой работы помог прийти к победе? Мы выделяем в такой задаче три блока:

1. Поиск и сохранение цифровых следов.

2. Анализ цифровых следов на предмет их доказательного потенциала.

3. Представление цифровых следов в качестве доказательств.

Поиск и сохранение цифровых следов

Исходная точка в доказывании определенных фактов на основе цифровых следов — это поиск и сохранение этих самых следов. Как мы уже говорили, крайне важно сделать это способами, обеспечивающими относимость, допустимость и полноту доказательств. Поэтому этот этап в большинстве случаев неразрывно связан с использованием компетенций в сфере форензики — важно понимать, что, как и где искать, а также уметь пользоваться соответствующим инструментарием. Поэтому без обладающего необходимыми знаниями, навыками и опытом специалиста будет непросто.

Что будет делать этот специалист? Его действия по работе с цифровыми следами имеют четкую структуру. Существуют стандарты и руководства, которые регламентируют общий порядок работы. Например, ГОСТ Р ИСО/МЭК 27037—2014. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме. Хотя этот документ относится к тематике расследования инцидентов информационной безопасности, а не к арбитражным судебным разбирательствам, он дает хорошее представление об общем алгоритме работы, основных его этапах. Пройдемся по его рекомендациям.

Идентификация. Этот этап заключается в определении перечня мест, где теоретически могут находиться искомые цифровые доказательства. После чего — поиск в этих местах, распознавание и документирование потенциальных доказательств, представленных в цифровой форме.

Посмотрев на пример с пересылкой документов по электронной почте (см. стр. 20) мы видим, что искать цифровые следы в системе контроля доступа в помещение или в системе электронной бухгалтерии вряд ли стоит. На локальном компьютере пользователя можно, но в описанных условиях высока вероятность нулевого результата (даже если исследовать компьютеры обеих сторон спора). А вот направление провайдеру соответствующих услуг запрос о предоставлении информации будет куда более действенно с точки зрения получения доказательств.

В случае же, когда в похожей ситуации стороны использовали собственные почтовые сервера, исследовать нужно именно их. Полученные данные об отправке и получении электронных сообщений стали бы основой для доказывания.

К этой ситуации мы еще вернемся в разделе про электронную переписку — ведь это одна из самых «популярных» тем.

Сбор. Процесс сбора объектов, которые потенциально содержат цифровые следы. Поскольку надежнее и безопаснее все действия по «доставанию» информации проводить в экспертной лаборатории, речь идет именно о самих объектах, содержащих информацию. Однако в значительном количестве случаев это невозможно. Например, когда речь о каком-то IT-оборудовании, обеспечивающем непрерывный производственный или бизнес-процесс. Или когда интересующие нас цифровые следы находятся в облачном хранилище, которое физически не получится «изъять» и доставить в лабораторию.

Извлечение и сохранение. Для того, чтобы цифровые следы имели шансы стать доказательствами, важно соблюсти требования к их относимости и полноте. Получение доступа к цифровым следам ни в коем случае не должно привести к нарушению их целостности, искажению и утрате. Поэтому перед началом основной работы эксперт с использованием специального оборудования или софта — блокиратора записи создает криминалистическую копию — «образ» носителя информации (например, накопителя ноутбука). А далее работает только с этой копией. Это действие обеспечит сохранность и неизменность цифровых следов на оригинальном носителе. Если об этом этапе забыть, все дальнейшие действия приведут к изменению первоначального следа, а значит — к утрате доказательства.

На сегодняшний день создание криминалистического образа и работа с ним, а не с самой хранящей в себе цифровые следы системой — это «стандарт отрасли». Отступление от него допускается только в очень редких, исключительных случаях.

Когда копирование завершено, важно убедиться, что копия не отличается от оригинала. Для этого рассчитываются и сравниваются значения криптографической хэш-функции. Если значения хэш-функции оригинала и копии совпадают, то содержимое копии является полностью идентичным оригиналу.

Хэш-функция — специально созданный математический алгоритм, преобразующий по определенным правилам заданный массив входных данных произвольной длины в выходную битовую строку установленной длины. Преобразование, производимое хеш-функцией, называется хешированием, а полученные данный — хеш-суммой, контрольной суммой или ключом.

Существует большое количество видов и подвидов алгоритмов хэширования — MD5, SHA256, Стрибог и так далее. Главное, чтобы применялся только апробированный инструментарий, а процесс тщательно документировался исполнителем.

А теперь давайте поговорим про «источники цифровых следов»: что и где может быть найдено, а также в каких ситуациях это пригодится.

Источники цифровых следов

Электронные документы

В Законе «Об обязательном экземпляре документов» сказано, что документ — это «материальный носитель с зафиксированной на нем в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения».

А электронный документ — это документ, информация которого представлена в электронной форме. Или «документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах», если обратиться к другому источнику.

Принято разделять электронные документы на те, что были изначально созданы в электронном виде (и в бумаге их никогда и не существовало) и те, что создавались бумажными, а потом были «оцифрованы» (электронный образ документа). Знание такого различия имеет значение для установления и подтверждения свойств электронного документа (его аутентичности, достоверности, целостности и пригодности для использования), а также для соблюдения требований к разным видам электронных документов.

А с точки зрения форензики — также и для понимания природы формирования цифровых следов. Тут смысл в следующем: если был подделан изначально созданный в электронном виде документ, установить это поможет именно цифровая криминалистика и компьютерно-техническая экспертиза.

А вот с электронным образом документа ситуация иная. Если это скан-копия, в которую при помощи графического редактора были внесена изменения — дата или текст поправлены, подпись или печать дорисованы — методы форензики помогут это обнаружить. Но если все «корректировки» были проделаны еще с бумажным документом, который уже потом был отсканирован, то тут, к сожалению, форензика не поможет. Зато помогут классические почерковедческая и технико-криминалистическая экспертиза документов, которые могут дать много полезного даже при изучении скан-копий.

Цифровые фото- и видеоматериалы

До начала работы с этой книги мы хотели подробно рассказать про цифровые фото- и видеоматериалы. Однако уже в процесс решили, что поступим по-другому. Дело вот в чем. С одной стороны — это те же электронные документы, только не текстовые, а визуальные. Поэтому все сказанное выше про документы в целом справедливо и для изображений — если было изменено изначально созданное в электронном виде изображение, цифровая криминалистика и компьютерно-техническая экспертиза поможет установить это.

Если это скан-копия фотографии или оцифрованная с VHS запись (если кто помнит такие), в которую при помощи редакторов были внесены изменения, — методы форензики помогут обнаружить и это. Но если все дорисовки были проделаны еще с аналоговым изображением, то тут, к сожалению, форензика не поможет.

Аналогичная логика и для звукозаписей. Это ведь тоже в некотором роде электронный документ. Ведь компьютеру все равно, как это воспринимаем мы. Для него все это — определенным образом зашифрованная информация внутри файла конкретного расширения. И у этой информации есть конкретные атрибуты — метаданные, изучив которые можно сделать определенный вывод о наличии либо отсутствии изменений.

Но это все только верхушка айсберга. Ведь уже показывается из-под воды огромная махина, имя которой дипфейки. Определить подделку такого уровня — действительно архисложная задача. И, если говорить объективно, форензика пока в начале пути к эффективной работе с задачами такого уровня. Об этом мы поговорим в разделе про искусственный интеллект и его проявления.

Электронная почта

В 2023 году во всем мире было зарегистрировано несколько десятков миллиардов ящиков электронной почты — личные, корпоративные, технические и т. п. Каждый год отправляется и доставляется больше ста триллионов электронных писем. Это и спам, и технические сообщения, и письма от друзей и родственников, и, конечно, деловая переписка.

В России, по данным Rambler&Co, только четверть респондентов имеет лишь один ящик электронной почты, остальные — два и более. Также примерно каждый четвертый имеет хотя бы один ящик с зарубежным почтовым доменом, из которых самый популярный — gmail.com. Основная масса писем уходит на российские почтовые сервисы: 39% — на mail.ru и 13% — на yandex.ru. Почты на bk.ru, list.ru, inbox.ru, rambler.ru и ya.ru дают еще 10% в совокупности. Оставшиеся — это корпоративные ящики.

С такими объемами пересылаемых писем даже малый процент действительно важных из них превращается в весьма значительные числа. Поэтому и задача как-то сохранить и зафиксировать написанное в электронном письме, причем зафиксировать юридически значимо, возникает достаточно часто.

Согласование объема работ с подрядчиком или направление заказчику акта выполненных работ, отправка работником компании третьим лицам внутренних документов или обсуждение менеджером по закупкам «личной» доли в цене контракта, реальная дата получения от разработчика-удаленщика заявления на отпуск — все эти электронные письма могут помочь юристам в доказывании точки зрения доверителя. А для этого любому современному юристу важно понимать базовые принципы фиксации переписки в электронной почте.

Прежде чем говорить о способах сохранения потенциальных доказательств в email-переписке, было бы неплохо хотя бы в самом общем виде поговорить про технологии. Ведь, по идее, от них-то и должен зависеть способ «заверения» и его надежность. Однако… конкретные технологии меняются быстро. И если делать упор только на них, мы имеем риск бесконечной гонки все более актуальных способов. Причем все более сложных способов — технологии ведь усложняются. Поэтому задачи уровня про «конкретные технологии» — дело все-таки технических специалистов по этим технологиям. Которых в особо сложных случаях юристы привлекают, например, в качестве консультантов.

А вот юристам мы предлагаем куда более стабильный, на наш взгляд, путь. Он не меняется уже много лет, если даже не десятилетий. Это путь в определении того, как «организационно» выглядит взаимодействие сторон переписки. Ведь как раз от способа организации этого общения и будет на верхнем уровне зависеть способ «заверения» и степень его надежности. Ведь именно от этого зависит что искать и где.

Предвидим вопрос — как то есть «где»? Вот же наша переписка с контрагентом, вот документ прикрепленный отправили, что еще нужно? Все же наглядно и ясно.

С одной стороны, да. Но не совсем. Переписка — это двухсторонняя (как минимум) коммуникация. Всегда есть отправитель, всегда получатель. Даже если это одно и то же лицо. Даже если субъекта переписки как такового и нет, например, когда сообщения или ответы на них генерируются автоматически. И это важно понимать, потому что для максимально достоверного и неоспоримого подтверждения факта направления и получения сообщения по электронной почте нужно исследовать инфраструктуру с обеих сторон. И даже это, можно сказать, необходимый минимум.

Исследование инфраструктуры, проведенное только на стороне отправителя или только на стороне получателя, не может быть стопроцентно достоверным, и причин этому масса. Для доказывания этого утверждения пойдем от обратного. Далее мы приведем пример реального случая, когда это не было сделано, и покажем, к чему это привело.

Итак. Есть, по сути, три базовых варианта, как может организационно выглядеть взаимодействие сторон переписки. Участники переписки могут использовать:

1. Общедоступные публичные почтовые сервисы.

2. Независимые собственные почтовые серверы.

3. Переписка внутри общего почтового сервера.

Общедоступные публичные почтовые сервисы. Это тот случай, когда хотя бы одна из сторон переписки пользуется общедоступным публичным почтовым сервисом типа mail.ru, yandex.ru, gmail.com. Сюда же относятся и «корпоративные» ящики вида pupkin@svoyapochta.ru, но размещенные на почтовых серверах тех же VK или Яндекс (эти IT-компании предоставляют такой сервис). На сегодня это самый распространенный способ организации корпоративных почт для небольшого бизнеса.