В беседах с десятками следователей и специалистов по цифровой криминалистике регулярно всплывают одни и те же проблемы: нехватка оборудования в лабораториях и у выездных специалистов, недостаток подготовки и высокая текучесть кадров, «раздёргивание» специалистов, перегрузка делами и хронически устаревшее законодательство. В этой статье мы систематизируем наблюдения и сопоставим их с тем, как должна быть организована работа в идеальном мире.

Оснащение лаборатории: необходимый минимум и всем понемногу

Для полноценной работы лаборатории необходим целый набор разнообразных программ, включая такие, функционал которых пересекается и даже дублируется: это необходимо как для перепроверки результата, так и в тех случаях, когда заявленный в одной из программ функционал просто не работает в конкретных условиях, — ситуация совсем не редкая. Аппаратное оснащение должно включать не только форензик-станции и блокираторы записи, но и полный комплект вспомогательных средств: адаптеры, кабели, хабы, микроскопы, паяльные станции и т.д., с регулярным обновлением. Учитывая сложности с приобретением зарубежного софта, особенно после 2022 года, становится невозможным использовать те инструменты, к которым специалисты привыкли и которые объективно демонстрировали высокую надёжность. Существующие аналоги часто уступают по стабильности и функциональности.

В реальности ситуация несколько иная. Очень часто используется устаревшее оборудование; номенклатура программного обеспечения катастрофически недостаточна, при этом часто используется ПО без поддержки и обновлений. Потребности лаборатории стараются закрыть минимальным количеством программ, что временами приводит к закупкам одного-двух комбайнов «всё в одном», при этом запросы на обновление со стороны сотрудников часто блокируются руководством с формулировкой (позволим себе прямую цитату, да простит нас читатель) «покупали же недавно». Многие задачи решаются за счёт личной инициативы специалистов — или не решаются, если с инициативой есть проблемы.

Почему так происходит? Наши собеседники жаловались на бюрократию, осложняющую закупки; сложные и длительные конкурсные процедуры, не позволяющие приобрести инструмент, который нужен «здесь и сейчас», и отсутствием понимания потребностей специалистов со стороны руководства. Проблема осложняется тем, что, согласно ведомственным регламентам, региональные подразделения не могут закупать необходимое из собственного бюджета — поставки идут исключительно через Москву. Но ресурсов на всех не хватает, и в итоге действует принцип: лучше понемногу, но всем. В результате никто не получает всего необходимого для полноценной работы. Часто лаборатория ограничена одним-двумя программными продуктами (нередко устаревшими), оборудование закупается не по потребностям, а по формальному минимуму. Запросы специалистов на обновления либо остаются без ответа, либо блокируются под предлогом: «что-то же купили недавно». В результате многие задачи решаются за счёт личной инициативы сотрудников — за свой счёт, своими силами. Если инициативы нет — задачи не решаются вовсе.

Мы решили составить методическое пособие по организации криминалистической лаборатории. Как только оно будет дописано, мы опубликуем его в этой статье. Кроме того, мы собрали наши продукты в готовые комплекты, которые были сертифицированы и добавлены в соответствующие реестры — это существенно упростит задачу приобретения наших программ.

• Elcomsoft Premium Forensic Bundle
• Elcomsoft Desktop Forensic Bundle
• Elcomsoft Mobile Forensic Bundle

Оснащение выездных специалистов: импровизация и личная инициатива

Для эффективной работы с цифровыми носителями на выездах специалистам нужен хотя бы минимальный набор оборудования, состоящий из внешних аккумуляторов и клеток Фарадея (экранирующих контейнеров) для изъятия мобильных устройств; внешних SSD и USB-накопителей большого объёма; переходников и адаптеров. Не обойтись и без современных, быстрых и совместимых ноутбуков и программного обеспечения, посредством которого можно осуществить первичный анализ. Это — исключительно базовые средства, обеспечивающие возможность безопасной транспортировки изъятых устройств в лабораторию, быструю фиксацию и первичное копирование данных с компьютеров без потери или модификации информации.

В реальности такой комплект никогда и нигде не представлен в полном объёме. Внешних аккумуляторов и клеток Фарадея просто нет; внешние носители и адаптеры сотрудники приобретают самостоятельно, в том числе бывшие в употреблении. Современные ноутбуки, особенно устройства Apple, формально недоступны из-за отсутствия сертификации и административных запретов — если и используются, то личные. Нередко для решения узкоспециализированных задач выездные специалысты вынуждены буквально «добывать» нужные компоненты — или процесс срывается. Отдельно отмечают проблему с внешними накопителями, которые, как правило, приобщаются к материалам дела как вещественные доказательства в рамках протокола — и не возвращаются специалисту. И если у специалиста был один подходящий накопитель — на этом его выездная активность заканчивается.

Централизованное снабжение, как и в случае с лабораториями, приводит к тому, что никто не получает всего необходимого, но «немного» есть у всех. Процедуры поставок громоздки, любой необычный запрос — длительное согласование. В результате каждый комплект собирается буквально по крупицам, а многие компоненты добываются зачастую весьма нетривиальными путями.

Со своей стороны мы собрали самые разнообразные (и нужные!) переходники, кабели и адаптеры в один комплект, который существенно облегчит работу специлистов на выезде.

• Аппаратные решения Элкомсофт

Квалификация: недостаток, текучка и самоучки

Цифровая криминалистика требует высокой технической квалификации, системного мышления и непрерывного обучения. Идеальная модель — стабильный кадровый состав, прошедший целевую подготовку, с регулярными курсами повышения квалификации и участием в отраслевых конференциях и семинарах. В этой сфере критически важно быстро адаптироваться к изменяющейся ситуации и владеть не только инструментами, но и методологией их применения. Проблема не только в отсутствии базовой подготовки, но и в слабом уровне даже тех, кто уже работает.

На практике кадровая ситуация критическая. Из-за низких зарплат и перегруженного графика многие опытные специалисты уходят; на их место приходят молодые сотрудники, которые рассматривают свою новую должность в качестве стартовой позиции — и вскоре также уходят. Обучение — для галочки: курсы повышения квалификации по формальным программам, построенным на устаревших (зато одобренных в высоких инстанциях) подходах. Целевой подготовки в вузах практически нет. Отраслевые курсы от вендоров гораздо полезнее, но они платные и доступны немногим. Участие в семинарах и практических мероприятиях затруднено из-за бюрократии — нужно согласование, обоснование, служебные записки, — но даже так практически все доступные курсы и семинары — формальны, не дают новых знаний и не соответствуют текущим задачам. Как отмечали собеседники, цифровой криминалистике трудно «научить» — это, скорее, тип мышления и подход к анализу, чем набор знаний.

Наконец, наши собеседники говорят о ещё одной проблеме, которая всё больше губит качество работы: оценке труда технических специалистов не по качеству, а по количеству завершённых исследований. Такая система стимулирует как руководство, так и самих специалистов фокусироваться на скорости — сокращать сроки, упрощать анализ, использовать минимум инструментов. Количество напрямую влияет на премии и отчётные показатели. В итоге перед каждым ставится выбор: быть «умным, но бедным» или выдавать отчёты с максимальными показателями. И большинство, естественно, выбирает второе.

Проблема носит системный характер. Цифровой криминалистике не учат должным образом, а внутренняя подготовка — редуцирована до минимума. Руководство часто не понимает, зачем тратить ресурсы на обучение «технарей», и его сложно осуждать с учётом высокой текучки. Саморазвитие становится единственным источником компетенции, и далеко не все к этому готовы или имеют возможность. Наши собеседники отмечают, что руководство и следователи нередко недооценивают сложность задач: распространён миф об «одной кнопке» — запустил программу, получил отчёт. В действительности, даже с самыми современными интегрированными пакетами поиск решения нередко занимает часы. Отсюда — непонимание, давление, выгорание.

Со своей стороны мы проводим конференции и семинары, публикуем образовательные статьи, ведём насыщенный информацией блог, публикуем и распространяем учебные пособия как в электронном, так и в печатном виде. Мы опубликовали несколько брошюр, плакатов и методичек, некоторые из которых можно скачать с нашего сайта:

• Методическое пособие по работе с мобильными и IoT устройствами (PDF)
• Методическое пособие по восстановлению паролей и расшифровке информации (PDF)

Перегруженность специалистов

В нормальной практике каждый специалист должен работать в своей предметной области, хорошо разбираясь в инструментах и методиках, относящихся к конкретному направлению. На практике наблюдается противоположная картина: единственный специалист зачастую закрывает сразу несколько направлений, выступая в роли «многостаночника». Ему приходится работать с компьютерами, мобильными устройствами, облачными аккаунтами, видеозаписями, специфическим оборудованием и нестандартными форматами данных. В крупных городах ситуация лишь немного лучше, в регионах — это норма. Формальное разделение на направления либо отсутствует, либо существует только на бумаге. Специалисты вынуждены работать в условиях постоянной перегрузки, не имея ни времени, ни ресурсов на глубокую проработку каждого кейса.

Дополнительной проблемой становится то, что даже если специалист готов использовать несколько инструментов для верификации результатов, следователь, получающий отчёты, просто не успевает их читать и сравнивать. Объёмы объектов на одном деле могут достигать сотен — отчёты из нескольких источников становятся непрактичными. В итоге используется один инструмент, а перепроверка результатов — теоретическая опция.

Такой подход — следствие проблем, описанных в предыдущем разделе: хронической нехватки кадров, высокой текучки при огромных объёмах работы, которые постоянно увеличивается. В условиях дефицита времени и ресурсов задачи решаются формально: используются автоматизированные отчёты с минимальной интерпретацией или вообще без неё, отсутствуют какие-либо дополнительные проверки результатов (а тем более — при помощи альтернативных инструментов). В худшем случае фиксируется невозможность выполнения — НПВ («Не Представляется Возможным»). Это позволяет закрыть экспертизу и переключиться на следующее дело, но не обеспечивает ни качества, ни достоверности результатов, и, как следствие — возможности наказать виновного, а адвокату — защитить невиновного.

Изменение рынка: монополизация, уход вендоров и серые зоны

Для стабильной работы лабораторий необходимо разнообразное программное обеспечение от разных производителей с обязательной поддержкой и регулярными обновлениями. В условиях конкуренции рынок сбалансирован: представлены как зарубежные, так и отечественные решения, между ними есть конкуренция, обеспечивающая развитие продуктов и сдерживание цен.

После 2022 года большинство западных компаний прекратили официальные поставки и поддержку. Оставшиеся вендоры заняли монопольное положение: поднялись цены, у ряда вендоров заметно снизилось качество поддержки. Отечественных разработчиков мало, часть решений нестабильна или не охватывает нужный функционал. В условиях дефицита возник серый рынок: используются пиратские версии, часто устаревшие, со всеми сопутствующими юридическими и техническими рисками.

Это результат санкций, технологической зависимости и отсутствия внутренней индустрии. Специалисты вынуждены делать трудный выбор: использовать дорогие продукты от сертифицированных вендоров или любыми путями доставать неформальные решения. Во многих лабораториях ситуация решается индивидуально — за счёт личных ресурсов и неофициальных каналов. Разумеется, такая ситуация далека от нормальной.

Юридическая база: назад, в прошлое!

Современная цифровая криминалистика требует чётко прописанных правовых рамок для работы с данными: от методов изъятия и фиксации цифровых доказательств до процедуры их передачи, анализа и представления в суде. В ряде юрисдикций давно урегулированы такие вещи, как порядок доступа к облачным сервисам и удалённым источникам данных, в том числе физически хранящихся на зарубежных сервисах; использование специализированного программного обеспечения, стандарты по обеспечению криминалистической чистоты, правила верификации полученных данных (в том числе с помощью хэшей), а также нормативно закреплённые требования к квалификации экспертов и допустимым методикам анализа.

На практике законотворчество решает совершенно другие задачи. Вопросы цифровой криминалистики прописаны в законодательстве фрагментарно и устарели на десятилетия; имеющаяся стандартизация учитывает реалии, сложившиеся ещё в начале века. Работа с данными из облачных сервисов фактически происходит в правовом вакууме; чёткого механизма их легализации в процессуальном порядке не существует, что в ряде случаев приводит к вопиющей небрежности.

Стандарты по сохранению целостности данных носят декларативный характер: хэши в лучшем случае считаются, но не проверяются, цепочка сохранности данных (chain of custody) нигде не фиксируется и не верифицируется. Процедура обращения с цифровыми доказательствами редко документируется в должной мере, и это остаётся незамеченным до тех пор, пока данные не попадают в суд в качестве вещественных доказательств — где может оказаться, что они не имеют юридической силы.

Вектор развития российской правовой системы направлен в прошлое: в середину и начало XX века и даже глубже, в пучины века XIX. Возможности повлиять на развитие правовой системы, оставаясь в рамках действующего правового поля, у нас нет.

Вместо заключения

Все описанные выше проблемы — это не частные случаи, а элементы общей системной картины. Они взаимосвязаны, усиливают друг друга и в конечном счёте приводят к одному результату: снижению качества, выгоранию специалистов, формализации подхода и размыванию самой сути цифровой криминалистики. Решения существуют, но они требуют не только ресурсов, но и изменения подхода — на уровне процессов, управления и культуры.