23/03/2018

Лаборатория криминалистического анализа компьютерных инцидентов в финансовой сфере – это структурное подразделение ФинЦЕРТ (Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) Банка России. Лаборатория была создана в декабре 2016 года и прошла период становления, в ходе которого активно подбирались кадры, закупалось специальное оборудование и программное обеспечение, вырабатывались основные подходы и методики. Что представляют собой лаборатория и её деятельность сегодня?

СФЕРА ОТВЕТСТВЕННОСТИ

В настоящее время в лаборатории работают высококвалифицированные специалисты – аналитики вредоносных программ, реверс-инженеры, компьютерные криминалисты. В ближайшее время будут завершены процедуры закупки необходимого оборудования. Основные направления работы лаборатории – анализ вредоносных программ, о которых сообщают в ФинЦЕРТ участники информационного обмена; оказание технической и консультативной помощи кредитным организациям, подвергшимся компьютерным атакам; проведение криминалистических исследований по запросам правоохранительных органов, проводящих проверки или расследующих уголовные дела по фактам компьютерных атак на организации кредитно-финансовой сферы.

Объем работ пока невозможно сравнить с «аналогичными периодами» прошлых лет, так как их не было, но можно уже уверенно утверждать, что скучать нашим сотрудникам не приходится: злоумышленники не дают. В отчётной документации ФинЦЕРТ содержится информация, в основном, о технических аспектах проведённых расследований. Потому что в задачи лаборатории не входит рассмотрение в каком-либо виде «юридических аспектов» расследований, это – прерогатива правоохранительных органов, с которыми мы сотрудничаем по реальным уголовным делам. Но при этом мы, разумеется, ориентируемся и на практику правоохранительных органов, изучаем доступные методики проведения исследований, учитываем решения высших судебных органов в касающейся нас части.

Заключения лаборатории используются в работе правоохранительных органах и в судебных процессах. За небольшой период, что существует лаборатория, проведено уже более 20 криминалистических исследований по самым разным материалам и уголовным делам. Специалисты лаборатории за этот год увидели и детально изучили все основные схемы атак, которые, применялись. Также ими разобраны вредоносные (и не только) программы и аппаратные средства, используемые для хищений денежных средств, о которых вы неоднократно слышали из новостных сообщений и читали в отчетах организаций, менее стесненных обязательствами конфиденциальности.

ПРОЦЕССУАЛЬНОЕ СОДЕЙСТВИЕ

Порядок привлечения лабораторией специалистов к процессуальным действиям строго регламентирован Уголовно-процессуальным кодексом Российской Федерации. В случаях, когда сотрудники лаборатории ФинЦЕРТ участвуют в каких-либо действиях в качестве специалистов, их задачи формулируются ст. 58 УПК РФ. А именно: «Содействие в обнаружении, закреплении и изъятии предметов и документов, применении технических средств в исследовании материалов уголовного дела, для постановки вопросов эксперту, а также для разъяснения сторонам и суду вопросов, входящих в его профессиональную компетенцию». При этом оформление процессуальных документов, а следовательно и решение юридических процессуальных вопросов, возлагается на следователей или действующих по их поручениям сотрудников оперативных подразделений.

В настоящее время практика работы лаборатории только формируется. Однако по накопленному на сегодня опыту мы уже можем присоединиться к большинству представителей профессионального, экспертного и юридического сообщества, которые говорят о несовершенстве ряда положений Федерального закона от 31 мая 2001 г. № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации». Прежде всего, в части регулирования судебно-экспертной деятельности лиц, не являющихся государственными судебными экспертами. Как известно, предложения об изменении данного закона или о принятии нового закона обсуждаются не один год.

ОБМЕН КРИМИНАЛИСТИЧЕСКОЙ ИНФОРМАЦИЕЙ

Лаборатория ФинЦЕРТ сотрудничает с аналогичными подразделениями государственных органов ‑ ФСБ России, МВД России и т.п., а также коммерческих компаний преимущественно в форме информационного взаимодействия.

Мы обмениваемся с государственными судебно-экспертными учреждениями и информацией общего характера – и о методиках проведения криминалистических исследований, и об отдельных, наиболее интересных, резонансных случаях из повседневной практики. Для нас ценен опыт, который накоплен государственными учреждениями. В то же время преимущество ФинЦЕРТ – это обладание информацией о вредоносных программах, используемых при совершении преступлений в отношении организаций кредитно-финансовой сферы и их клиентов.

Что касается коммерческих лабораторий, с которыми взаимодействует ФинЦЕРТ, то большинство из них является подразделениями известных компаний, оказывающих широкий спектр услуг и поставляющих различные продукты в сфере информационной безопасности. С ними ФинЦЕРТ заключает соглашения о сотрудничестве в сфере противодействия компьютерным атакам, обменивается информацией в рабочем порядке.

Надо отметить, что ФинЦЕРТ никоим образом не конкурирует с коммерческими компаниями, поскольку, в отличие от них, не оказывает каких-либо платных услуг. Мы действуем в разных плоскостях, а если какие-то направления совпадают, например, исследовательская деятельность лаборатории ФинЦЕРТ, то это идет только на пользу общему делу защиты кредитно-финансовой системы.

ПОВЫШЕНИЕ ПРОФЕССИОНАЛИЗМА

Деятельность лаборатории способствует повышению грамотности сотрудников коммерческих банков в юридических вопросах компьютерных инцидентов. Сотрудники лаборатории, как и многие другие сотрудники ФинЦЕРТ, постоянно участвуют в различных обучающих мероприятиях, проводимых, в том числе, и для сотрудников банков. В частности, в 2017 году несколько раз проводились лекции и семинары для сотрудников МВД России, для представителей национальных банков стран ЕврАзЭС. Ряд мероприятий предназначен для сотрудников кредитных организаций.

Однако подчеркнем ещё раз: вопросы права находятся вне компетенции лаборатории. Тем не менее, при необходимости мы всегда готовы дать разъяснения по порядку сохранения будущих вещественных доказательств для предоставления правоохранительным органам, проведения криминалистических исследований, трактовке их результатов в свете доказывания по уголовным делам.

Мы настоятельно рекомендуем всем представителям банков, столкнувшихся с инцидентами в сфере информационной безопасности, требующими привлечения правоохранительных органов, применять положения нашего документа ‑ Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» СТО БР ИББС-1.3-2016.

В будущем, безусловно, мы продолжим максимально активно нарабатывать опыт, расширять свою информационную и исследовательскую базу, будем стараться оказывать необходимую помощь как участникам информационного обмена, так и правоохранительным органам, ведущим нелёгкую борьбу с преступлениями, направленными против организаций кредитно-финансовой сферы и их клиентов. Одна из задач на следующий год – разработка и утверждение собственных методик исследования вредоносных программ и иной компьютерной информации.