Журнал "Information Security/ Информационная безопасность" #1, 2026

Если есть основания полагать, что база уже используется, можно ини- циировать контрольную закупку – попытку получить доступ к данным под видом клиента. Задача экспертизы – не только установить обстоя- тельства инцидента, но и транслировать доказатель- ства из мира цифровой кри- миналистики так, чтобы суть была понятна руководству и причастным сотрудникам. При этом эксперта можно привлекать как на досудеб- ной стадии (для внутреннего расследования и подтвер- ждения исковых требова- ний), так и в рамках судебно- го процесса по определению суда. Хорошей практикой является нотариальное назначение экспертизы в порядке обеспечения дока- зательств. Это придает леги- тимности досудебным иссле- дованиям. Сам факт проведения серьезного расследования сильно дисциплинирует кол- лектив, показывая, что циф- ровая активность не являет- ся анонимной. Аналогичные процедуры про- водятся при получении логов с серверов, систем защиты информации (DLP, SIEM) и сете- вого оборудования. Извлечен- ные данные хранятся отдельно, для контроля целостности рас- считывается хэш-значение фай- лов. Работа ведется с копиями. Если есть основания пола- гать, что база уже используется, можно инициировать контроль- ную закупку – попытку получить доступ к данным под видом клиента. Эти действия требуют участия юристов или частных детективов, чтобы их результа- ты имели доказательственную силу. Экспертиза: правильные и неправильные вопросы Задача экспертизы – не толь- ко установить обстоятельства инцидента, но и транслировать доказательства из мира цифро- вой криминалистики так, чтобы суть была понятна руководству и причастным сотрудникам. При этом эксперта можно привлекать как на досудебной стадии (для внутреннего расследования и подтверждения исковых тре- бований), так и в рамках судеб- ного процесса по определению суда. Хорошей практикой является нотариальное назначе- ние экспертизы в порядке обес- печения доказательств. Это при- дает легитимности досудебным исследованиям. Одним из самых важных моментов, на который не всегда обращают внимание, является корректная постановка вопро- сов. Важно понимать, что от этого зачастую зависит исход дела. Частая ошибка – задавать вопросы правового характера, например: "Была ли украдена база?" или "Виноват ли сотруд- ник?". На них эксперт не должен отвечать. Корректно будет задать кон- кретные технические вопросы: l Есть ли на носителе копии определенного файла (указать модель и серийный номер)? l Фиксировались ли передачи данных объемом свыше 100 Мбайт за пределы сети (ука- зать идентификатор сотрудни- ка в домене)? l Подключались ли внешние устройства (указать идентифи- каторы и период)? l Какие файлы удалялись и под каким аккаунтом? Именно такие ответы затем ложатся в основу юридической позиции. Юридические аспекты Для успеха в суде необходи- мо, чтобы сама база данных была надлежащим образом защищена внутри компании. Если организация не следует правилам обеспечения без- опасности информации, то доказать нарушение вряд ли возможно. В организации должны дей- ствовать базовые документы, которые подписывают сотруд- ники: "Положение о коммерче- ской тайне", "Политика инфор- мационной безопасности", "Инструкция по работе с кон- фиденциальной информацией". В трудовом договоре должен быть пункт о неразглашении. Ответственность сотрудника В зависимости от обстоя- тельств возможны разные виды ответственности. l Дисциплинарная ответ- ственность подразумевает увольнение по статье (п. 6 "в" ч. 1 ст. 81 ТК РФ – разглашение охраняемой законом тайны). Это актуально, если нарушитель не перешел к конкурентам. l Материальная ответствен- ность предусматривает взыска- ние прямого ущерба через суд (ст. 238 ТК РФ). l Административная ответ- ственность предполагает штраф 5–10 тыс. руб. для сотрудника по ст. 13.14 КоАП РФ "Разгла- шение информации с ограни- ченным доступом". В случае причинения крупно- го ущерба (свыше 3,5 млн руб.) или наличия корыстного мотива, а также если нарушение совер- шено группой лиц, может насту- пать и уголовная ответствен- ность, которая предусмотрена ст. 183 УК РФ "Незаконные получение и разглашение све- дений, составляющих коммер- ческую тайну" – наказание может достигать лишения сво- боды до 7 лет. Для квалифика- ции по этой статье заключение эксперта о наличии цифровых следов и связи их с конкретным лицом критически важно. Выводы и профилактика Как ни странно, для руково- дителя, пережившего инцидент, есть и поводы для оптимизма! Ведь что в сухом остатке? Инци- дент – это не только ущерб (финансовые потери, разоча- рование в сотруднике, злоупо- требившем доверием), но и спо- соб увидеть слабые места в про- цессах. Такие ситуации помо- гают: l выявить лояльность контр- агентов – теперь ясно, на кого можно рассчитывать; l осуществить инспекцию собственной ИТ-инфраструкту- ры на предмет уязвимостей; l вскрыть ранее неизвестные утечки или серые схемы работы сотрудников (передача данных партнерам в обход установлен- ных правил). Сам факт проведения серь- езного расследования сильно дисциплинирует коллектив, показывая, что цифровая актив- ность не является анонимной. Чтобы снизить риски в буду- щем, внедрите меры профи- лактики, не требующие значи- тельных затрат: l Включите логирование ключевых событий. Обеспечьте централизованный сбор и хра- нение логов в течение 6–12 месяцев. l Разработайте и утвердите регламент реагирования на инциденты ИБ, включающий порядок изъятия техники и взаи- модействия с экспертами. l Заранее найдите (и проте- стируйте на небольшой задаче) надежного подрядчика по циф- ровой криминалистике. l Регулярно проводите обуче- ние сотрудников с разбором реальных кейсов об ответствен- ности за нарушения. l Разработайте и обеспечьте подписание сотрудниками базо- вых регламентов по обеспече- нию информационной безопас- ности и режима коммерческой тайны. Кража цифровых активов – не приговор бизнесу. Это повод выстроить профессиональную систему защиты и реагирова- ния, где судебная экспертиза цифровых следов является не последней надеждой, а четким, технологичным и грозным инструментом восстановления справедливости. l База клиентов с их кон- тактами, историями зака- зов и прочими подробно- стями, может быть отнесе- на к коммерческой тайне (ст. 1465 ГК РФ). Персо- нальные данные клиентов защищаются от разглаше- ния 152-ФЗ "О персональ- ных данных". • 65 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru