Расследование инцидентов ИБ и компьютерная экспертиза (Форензика)

Инциденты информационной безопасности и преступления с использованием компьютерных технологий приносят бизнесу большие финансовые и репутационные потери. Кибератаки совершаются и будут совершаться, их нельзя предугадать, ведь злоумышленник может использовать уникальные уязвимости компьютерных системы. Даже если защита от вторжений по внешнему периметру настроена на отлично, всегда есть угроза атаки из внутренней сети. Следовательно, узнать об этом можно только после того, как компьютерный инцидент произойдет. И тогда необходимо направить силы на его расследование и выявить, каким же именно способом и кем он был совершен, в противном случае инцидент может повториться. 

К инцидентам информационной безопасности можно отнести:

• разглашение конфиденциальной информации и персональных данных;
• неправомерный доступ к компьютерной информации;
• несанкционированное копирование, удаление или модификация компьютерной информации;
• блокирование компьютерной информации;
• использование вредоносного, не лицензионного («пиратского») и программного обеспечения, запрещенного политикой компании;
• и др.

Основной задачей Форензики является проведение независимых расследований компьютерных инцидентов, которые позволяют выявить, каким же именно способом и кем были совершены противоправные действия.

Специалисты компании «Информзащита» помогут:

• восстановить хронологию событий;
• выявить используемое злоумышленником программное обеспечение;
• собрать цифровые доказательства;
• определить вектора атаки;
• оценить возможные последствия атаки.

В отдельных случаях для сохранения финансов и репутации компании мало найти, каким же именно способом и кем была совершена атака, необходимо провести полноценную Компьютерную экспертизу на основании Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации» от 31.05.2001 N 73-ФЗ ст 41 (ред. от 26.07.2019) и обратиться в суд.

Компьютерная экспертиза — род криминалистической экспертизы, проводимой в целях получения доказательств по уголовным и гражданским делам, устанавливаемым на основе изучения закономерностей функционирования информации в средствах вычислительной техники.

Эксперты Информзащиты обладают необходимыми компетенциями для проведения Компьютерной экспертизы, которая позволит произвести:

• поиск информации на машинном носителе (в средстве вычислительной техники), созданной с помощью прикладных программ;
• поиск информации на машинном носителе о действиях пользователя (процессах обработки файлов, ведения баз данных, работе в сетях передачи данных и т.п.);
• определение свойств программ и программных продуктов;
• определение возможности совершения каких-либо действий с помощью средств вычислительной техники;
• определение принадлежности программ и данных к конкретным классам;
• установление материальных объектов по компьютерной информации (проводится в комплексе с другими видами экспертиз);
• установление фактических обстоятельств совершения преступления (проводится при наличии информации, полученной из различных источников).

Объекты компьютерно-технической экспертизы

1. аппаратные объекты: системные блоки персональных компьютеров, переносные персональные компьютеры (ноутбуки), накопители на жестких магнитных дисках (HDD), твердотельные накопители (SDD), оптические диски, флэш-накопители, RAID-массивы хранения данных, карманные персональные компьютеры, мобильные телефоны сотовой связи.
2. программные объекты: системные – операционные системы; прикладные – прикладное программное обеспечение указанных аппаратных средств и операционных систем; 
3. информационные объекты (данные) – файлы, подготовленные с использованием соответствующих прикладных программ (с расширениями текстовых и графических форматов, форматов баз данных, электронных таблиц, форматов мультимедиа и др.).