В конце 1970-х гг. с появлением первых персональных компьютеры, предназначенных для эксплуатации одним пользователем в его личных интересах, началась массовая компьютеризация и информатизация общества, а с развитием в начале 1990-х гг. сети общего пользования Интернет увеличилось количество киберпреступлений — преступлений, осуществляемых с использованием персонального компьютера.
В широком смысле, под компьютерным преступлением (киберпреступлением) следует понимать запрещенные уголовным кодексом под угрозой наказания виновно совершенные общественно опасные деяния, объектом преступных посягательств которых являются информационные правоотношения, связанные с правомерным использованием охраняемой законом компьютерной информации [2, с. 93]. Спектр видов киберпреступлений обширен: интернет-мошенничество, DoSатаки, создание вредоносного программного обеспечения, нарушение авторских прав и т. д. В рамках Всемирной паутины географическое местоположение злоумышленника не играет роли, преступления, содеянные в одной стране, могут совершаться людьми, находящимися в любой другой.
Для борьбы с нарастающей проблемой киберпреступности организовали новый раздел криминалистики — компьютерная криминалистика. В США компьютерная криминалистика получила название «computerforensics», что дословно переводится как «компьютерная экспертиза». При заимствовании слова из английского языка произошло сужение значения, поэтому в русском языке «форензика» означает не криминалистику в общем, а именно компьютерную криминалистику [3].
Форензика занимается сбором, исследованием, оценкой следов преступлений в компьютерной области, а также разрабатывает систему специальных приемов, методов и средств, применяемых в ходе предварительного следствия для предупреждения, раскрытия и расследования преступлений, а также при рассмотрении уголовных дел в судах.
Из-за исторических особенностей компьютерные технологии в России развивались медленнее, чем во всем мире, поэтому появление киберпреступности осталось практически незамеченным. В начале 2000-х гг. компьютеризация России поднялась на достаточно высокий уровень, т. е. когда весь мир уже активно боролся с киберпреступностью, Россия только стала знакомиться с ней, столкнувшись с вполне сформированной преступной деятельностью в сфере информационных технологий, развивавшейся в других странах постепенно.
Согласно исследованиям управления «К» МВД России в 2012 г. количество киберпреступлений в России выросло на 28 % по сравнению с 2011 г., чаще всего хищение финансовых средств происходило из систем дистанционного банковского обслуживания, а также со счетов физических лиц в банках[1].
По данным Group-IB, финансовые показатели оборота мирового рынка компьютерной преступности в 2011 г. Составили 12,5 млрд дол. На долю русских хакеров пришлось 4,5 млрд дол., из них 2,3 млрд дол. составляют доходы от киберпреступлений, совершенных непосредственно на территории РФ. В число данных преступлений вошли:
1 . И н т е р н е т — м о ш е н н и ч е с т в о — 942 млн дол. (41 %):
– мошенничество в системах интернетбанкинга — 490 млн дол. (21,3 %);
– обналичивание денежных средств — 367 млн дол. (16 %);
– фишинг — 55 млн дол. (2,4 %);
– хищение электронных денег — 30 млн дол. (1,3 %).
- Спам — 830 млн дол. (36,1 %):
– спам — 553 млн дол. (24 %);
– медикаменты и различная контрафактная продукция — 142 млн дол. (6,2 %);
– «поддельное» — 135 млн дол. (5,9 %).
- Внутренний рынок — 230 млн дол. (10 %):
– продажа трафика –153 млн дол. (6,6 %);
– продажа эксплойтов — 41 млн дол. (1,8 %);
– продажа загрузок — 27 млн дол. (1,2 %);
– анонимизация — 9 млн дол. (0,4 %).
- DDoS-атаки — 130 млн дол. (5,6 %).
- Иное — 168 млн дол. (7,3 %).
Согласно ежегодному докладу NortonCybercrimeReport, сделанному на основе онлайн-опроса летом 2012 г., среди жителей 24 стран 92 % пользователей из России становятся жертвами киберпреступлений в возрасте от 18 до 64 лет[2].
Всего от рук киберпреступников пострадали 556 млн пользователей Интернета (1,5 млн жертв в день). Совокупный ущерб пользователей Symantec оценила в 110 млрд дол., а от атаки на одного человека — около 200 дол. (в России — 2 тыс. р.).
С 2011 г. по 2012 г. 76 % российских пользователей стали жертвами вирусов, хакерских атак, вредоносного программного обеспечения, мошенничества, киберкраж (в среднем по миру этот показатель не превышает 46 %), у 43 % пользователей взломали аккаунт в социальных сетях. Однако стоит учитывать, что приведенные данные основываются на статистическом опросе людей и не отражают картину в полной мере.
Одна из причин сложившегося положения кроется в безразличном отношении самих пользователей к собственной безопасности. Так, согласно тому же докладу NortonCybercrimeReport, 30 % опрошенных не задумываются о киберугрозах, поскольку не ожидают, что это может случиться с ними, 21 % не принимают никаких действий, чтобы защитить персональную информацию в Интернете, а 40 % не знают, что вредоносное программное обеспечение может работать, не нарушая основных функций компьютера. Больше половины опрошенных пользователей (63 %) в России получают уведомление о необходимости сменить пароль, для того чтобы сделать его более безопасным. Так, 32 % опрошенных получили уведомление от почтовых сервисов, а ведь если преступник получит доступ к почтовому аккаунту, то он сможет получить доступ не только к личной или корпоративной информации, но и к другим аккаунтам, зарегистрированным на данный почтовый адрес.
Другой причиной активного роста киберпреступлений в России является малое количество экспертов-форензиков и существующая законодательная база. Причем основная проблема законодательства не в том, что оно слабо развито, а в том, что оно развивается медленно. Так, например, только в последней редакции Федерального закона «Об информации, информационных технологиях и защите информации» даны определения таким терминам, как сайт, хостинг, владелец сайта и др.
В связи с несовершенством законодательства, наблюдались случаи, когда дела не возбуждались несколько лет. Всем понятно, что без места преступления нет и самого преступления. Но как быть, если злоумышленник украл деньги у банка в Москве, обналичил их в любом другом городе, а сам при этом находится в Иркутске[3]? Как в этом случае определить место преступления? Не прояснив этот вопрос, уголовное дело не возбудишь.
Еще одной причиной является сбор улик. Если у криминалиста, собирающего улики на месте преступления, где была совершена обычная кража, не возникает вопросов, как и чем собирать улики, поскольку процедура их сбора хорошо описана в литературе и отработана годами практики, то специалист в области киберпреступлений не обладает такой информацией. Форензик как обладатель специальных знаний должен понимать и знать тонкости сбора улик из различных источников. Собираемые в компьютере улики — это сведения, которые по природе своей нематериальны, и только они являются уликой, а не их материальный носитель.
Например, если взять оперативную память, то мы знаем, что она регенерируется раз в несколько миллисекунд (записанные там сигналы фактически стираются и записываются вновь) [2]. Кроме того, память энергозависима, соответственно, при перезапуске персонального компьютера теряются все данные текущей сессии. Для эффективной работы специалиста-форензика требуются отлаженные механизмы сбора улик, подкрепленные не только знаниями, но и соответствующими инструментами.
Такими инструментами могут служить различные специальные программные продукты:
– AccessDataForensicToolkit — программное обеспечение для проведения компьютерных экспертиз, для анализа дампа оперативной памяти, использует мощный инструмент поиска, осуществляет архивацию данных и проводит полное исследование компьютера в рамках судебной экспертизы;
– BrowserForensicTool — инструмент для извлечения информации о действиях пользователя из различных браузеров;
– TheSleuthKit (TSK) — библиотеку консольных программ, предназначенных для проведения анализа данных на произвольных файловых системах. Используя это программное обеспечение, следователи могут идентифицировать и восстановить удаленные данные из образов, снятых во время расследования или с работающих систем;
– EncryptedDiskDetector — программа, которая помогает найти на локальном компьютере скрытые зашифрованные тома TrueCrypt, PGP и Bitlocker, используя подпись/сигнатуру шифрования диска в главной загрузочной области.
Описанные инструменты по большей части применяются после совершения преступления, однако существуют программные продукты, позволяющие специалисту-форензику зафиксировать момент совершения преступления и собрать необходимые доказательства. Такими программными продуктами являются различные DLP-системы (DataLossPrevention), созданные для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. DLP-системы (Securit ZGate, InfoWatch Traffic Monitor, Symantec Data Loss Prevention, Search Inform Контур информационной безопасности, FalconGaze SecureTower) строятся на анализе потоков данных, выходящих за пределы корпоративной сети, в случае обнаружения передачи конфиденциальной информации такие системы либо блокируют передачу данных, либо посылают уведомления офицеру безопасности[4].
Кроме того, причиной роста количества киберпреступлений можно считать активный рост количества пользователей сети Интернет. Так по статистическим данным «Фонда общественного мнения»[5] количество людей, выходящих в сеть Интернет хотя бы раз в месяц в конце 2011 г. составило 57,8 млн чел. (50 % населения), а в конце 2012 г. уже 64,4 млн чел. (55 % населения). То есть годовой прирост интернет-пользователей, выходящих в сеть хотя бы раз за месяц, составил 11 %.
Подводя итог, можно сделать вывод, что киберпреступность в России активно развивается. В значительной степени этому способствует недостаток специалистов-форензиков, проблемы в законодательстве, а также постоянный приток новых пользователей сети Интернет, большинство из которых по статистике станут жертвами киберпреступников по своей же халатности. Например, если в РФ в 2011 г. зафиксировали 2 123 киберпреступлений, связанных с хищением денег у пользователей, то в 2012 г. таких преступлений было зарегистрировано 3 645[6].
Следовательно, если противодействие останется на таком же уровне, как и сейчас — Россия займет лидирующее место в мире по количеству совершаемых киберпреступлений.
