Журнал "Information Security/ Информационная безопасность" #1, 2026

Цифровые следы – это любые данные, зафиксиро- ванные в информационных системах и на устройствах, которые отражают действия пользователя. Даже если злоумышленник сначала похитил, а затем удалил базу данных, следы его активности сохраняются в разных слоях инфраструк- туры. Следы остаются в фай- лах подкачки, дампах памя- ти, временных файлах про- грамм, например кэш офис- ных программ или браузе- ров, точках восстановления ОС. Отдельное внимание уделяется истории браузе- ров, логам удаленного доступа (TeamViewer, AnyDesk) и записям о подключении внешних устройств – например, USB-накопителей. Для начала разберем- ся с тем, что именно следует искать. Цифро- вые следы – это любые данные, зафиксирован- ные в информационных системах и на устрой- ствах, которые отра- жают действия пользователя. Даже если злоумышленник сначала похитил, а затем уда- лил базу данных, следы его активности сохраняются в раз- ных слоях инфраструктуры. Где искать цифровые следы Источники условно делятся на несколько уровней, о каждом из которых мы расскажем под- робнее ниже. На уровне систем защиты информации следы кражи могут быть наиболее полными – это богатейший источник доказа- тельств. l DLP фиксируют попытки пересылки конфиденциальных данных по каналам почты, мес- сенджеров, на внешние носите- ли, а также позволяют сохранять копии перехваченных файлов. l Антивирусы и EDR-решения журналируют все запущенные процессы, сетевые подключе- ния, изменения в реестре, что позволяет восстановить цепочку действий злоумышленника. l SIEM-системы агрегируют события с различных источни- ков: контроллеров домена, сете- вых устройств, серверов, рабо- чих станций, DLP, EDR, антиви- русов, CRM-систем и т.д., выявляя сложные аномалии и взаимосвязи. Следующий уровень – рабо- чее место сотрудника. Здесь главными объектами исследо- вания являются персональные компьютеры или ноутбуки, а точнее их HDD и SSD. Как правило, речь идет о ком- пьютерах под управлением ОС Windows. Здесь анализируются журналы событий, системный реестр, метаданные файловой системы и даже незанятое про- странство диска – удаление файла не означает его немед- ленного уничтожения: до момен- та перезаписи данные можно восстановить. Следы остаются в файлах подкачки, дампах памяти, вре- менных файлах программ, например кэш офисных про- грамм или браузеров, точках восстановления ОС. Отдельное внимание уделяется истории браузеров, логам удаленного доступа (TeamViewer, AnyDesk) и записям о подключении внеш- них устройств – например, USB- накопителей. Еще один уровень – инфра- структура. Здесь главным обра- зом нас интересуют логи систе- мы контроля и управления доступом (фиксация нестан- дартного времени работы), записи камер видеонаблюде- ния. Они помогают подтвердить, когда именно сотрудник рабо- тал с данными и находился ли он на рабочем месте в интере- сующий нас момент времени. Типовой сценарий: сотрудник выгружает базу 1С, копирует ее на флешку, затем загружает в облако и удаляет исходный файл. Конечно его действия оставляют цепочку следов. Факт подключения USB-устройства фиксируется в реестре Win- dows. Операции с базой отра- жаются в журнале самой 1С и метаданных файловой систе- мы. Если использовался фай- ловый сервер, остаются записи о доступе к данным. Передача информации наружу может быть зафиксирована сетевыми средствами, а обращение к облачному сервису – в исто- рии браузера. В ряде случаев сам файл или его фрагменты можно восстановить с диска. Что делать при подозрении на утечку Главное правило – не пред- принимать самостоятельных активных действий на оборудо- вании подозреваемого. Даже попытка просто посмотреть папки может уничтожить оригинальные следы и поставить под сомнение обнаруженные доказательства. Необходимо как можно скорее привлечь экспертов. На первом этапе специалисты определяют объект утечки и круг причастных лиц. Для этого анали- зируют права доступа и косвенные признаки, например появление у конкурентов коммерческих предложений с использованием ваших данных (номенклатура, цены, персональные данные руководителей), осуществляют поиск слитой информации с помощью специализированных ресурсов (даркнет-форумы, биржи данных, соцсети) на пред- мет продажи или обсуждения вашей информации. Далее проводится фиксация и изъятие оборудования. Про- цедура должна проходить с оформлением акта и, жела- тельно, в присутствии комиссии. Если устройство не выключа- лось, важно корректно сохра- нить его текущее состояние: ввести в режим гибернации или сразу сохранить дамп опера- тивной памяти (например, Belkasoft Live RAM Capturer). Все действия нужно фиксиро- вать на видео и фото. Следующий шаг – создание точных копий носителей. С помощью специальных аппа- ратно-программных комплексов (Tableau Forensic Imager) или программ (FTK Imager) с изъя- тых носителей создаются посек- торные бинарные образы. Рабо- та ведется только с этими обра- зами, оригиналы опечатывают- ся и хранятся как вещественные доказательства. 64 • УПРАВЛЕНИЕ Как доказать в суде кражу базы данных – даже если сотрудник все удалил и один бизнес не застрахован от кражи конфиденциальных данных. Заметая следы, злоумышленник рассчитывает, что улик не осталось и нельзя будет ничего доказать. Но цифро- вой мир не знаком с понятием полного уничтожения. Разби- раемся, где искать доказательства кражи базы данных и как правильно подготовить их для суда. Н Роман Солодуха, ведущий эксперт RTM Group Фото: RTM Group