Неправильная обработка доказательств по компьютерному преступлению может отрицательным образом повлиять на судебное дело, которому может быть отказано в судопроизводстве. Наш положительный опыт способствует минимизации этого потенциального риска.
Чтобы помочь вам в обработке доказательств по ходу расследования, мы сделаем следующее:
• Охарактеризуем компьютерную судебную экспертизу и в общих чертах наметим типы доказательств, которые необходимо учитывать.
• Познакомим вас с процессом сбора, идентификации, защиты и хранения доказательств.
• Обсудим ключевые моменты обработки информации на цифровых носителях (digital media).
Как профессионал в области безопасности, вы не обязательно являетесь экспертом по правовым вопросам. Тем не менее вы можете нести ответственность за реакцию на инцидент с компьютерными преступлениями, сбор доказательств и представление их на рассмотрение либо внутренней комиссии по расследованию, либо судебному разбирательству. Если вы неправильно обрабатываете доказательства, скорее всего, вы не будете очень успешным в уголовном преследовании преступника. В этой статье мы предоставим некоторые рекомендации, чтобы помочь вам в управлении доказательствами, связанными с компьютерным преступлением.
Характеристика компьютерной экспертизы
Согласно (англоязычной) Википедии, «компьютерная экспертиза — это применение научного метода к цифровым носителям, чтобы установить фактическую информацию для судебного контроля». Этот процесс часто включает в себя исследование компьютерных систем для определения, являются ли они или были ли они использованы для незаконных или запрещенных видов деятельности.
Компьютерные эксперты исследуют устройства хранения данных, любые фиксированные устройства, например жесткие диски или съемные, такие как компакт-диски, а также полупроводниковые устройства. Вообще роль компьютерного эксперта заключаются в:
• идентификации источников доказательств;
• сохранении доказательств;
• анализе доказательств;
• представлении добытых сведений.
Компьютерная судебная экспертиза должна соблюдать стандарты доказательств, которые являются допустимыми в суде общей юрисдикции. По существу, компьютерная судебная экспертиза должна быть технико-правовой по своей сути, а не просто технической или просто правовой.
Существует две основные причины для того, чтобы практиковать компьютерную судебную экспертизу, как описано ниже:
• Анализ компьютерных систем, связанных с нарушением законов.
• Анализ компьютерных систем на предмет соответствия установленным политикам организации.
Типы доказательств
Доказательства — это то, что доказывает или опровергает утверждение или факт. В отношении процессуальных действий доказательства должны соответствовать следующим критериям:
• Достаточность. Доказательства должны быть убедительными и неоспоримыми.
• Компетентность. Доказательства должны быть юридически квалифицированными и достоверными.
• Релевантность. Доказательства должны присутствовать в материалах дела или находиться в вашем распоряжении.
Как вы, возможно, подозреваете, не все доказательства созданы равносильными. Самые убедительные доказательства — те, что могут быть доказаны непосредственно через пять чувств: слух, обоняние, зрение, осязание и вкус. Этот тип доказательств описан ниже наряду с другими (менее убедительными) их типами:
• Прямое доказательство. Знание фактов, связанных с инцидентом, например, устные показания очевидца. Свидетель должен иметь знания, полученные на основании своих пяти чувств, а не через умозаключения и предположения.
• Вещественное доказательство. Реальные, материальные объекты, которые доказывают или опровергают факт, например, владения злоумышленника украденным портативным компьютером. Этот вид доказательств связывает подозреваемого с преступлением.
• Документальное доказательство. Доказательство в виде печатной документации, например деловые книги, журналы регистрации и кассеты видеонаблюдения. Это наиболее распространенный тип доказательств, связанных с компьютерным преступлением. Приобрести камеры видеонаблюдения для такого дела вы можете в компании Компьютерные Системы.
• Наглядное доказательство. Вспомогательные средства, которые доказывают, что инцидент произошел, например модели, вещественные доказательства и схемы. Этот тип доказательств обычно предоставляется присяжным, чтобы помочь им в понимании фактов.
Основная проблема с доказательствами в компьютерных преступлениях
Доказательство в компьютерном преступлении требует чрезвычайного напряжения сил, поскольку сами по себе данные не могут быть прочувствованы непосредственно органами чувств человека — они находятся в промежуточном (двоичном) формате. Данные должны, таким образом, пройти через своего рода фильтр (преобразование из машиночитаемой формы в форму, читаемую человеком), чтобы их можно было оценить. Это часто является предметом беспокойства судебной системы, потому что такое доказательство на один шаг удаляется от своего первоначального состояния.
Продолжение следует.