Оппонент удалил электронные доказательства. Как их восстановить с помощью цифровых следов
Представим ситуацию, что финансовый директор общества заключил ряд убыточных контрактов с подозрительными контрагентами. После увольнения в отношении него инициировали корпоративное расследование. Выяснилось, что вся корпоративная почта директора заблаговременно стерта, а рабочий ноутбук случайно залит кофе. Между тем любые действия в цифровом мире оставляют следы, которые можно найти, интерпретировать и представить суду в определенной процессуальной форме. К примеру, удаленные с компьютера файлы можно восстановить, подчищенную электронную переписку — воспроизвести из резервных копий на корпоративном сервере, а действия пользователя в бухгалтерской системе — выявить с точностью до минуты. Рассмотрим, как действовать юристу в подобной ситуации.
Алгоритм поиска цифровых следов
Работу юриста с цифровыми следами условно можно разделить на три этапа:
- поиск и фиксация цифровых следов;
- преобразование цифровых следов в доказательства;
- представление доказательств в суд для их последующего исследования и оценки судом.
Представьте суду заключение специалиста с CD-диском и протокол осмотра доказательств нотариусом
Первый этап: поиск и фиксация цифровых следов. Ключевым этапом в выстраивании стратегии доказывания определенных фактов на основе цифровых следов являются поиск и сохранение таких следов способами, обеспечивающими относимость, допустимость и полноту доказательств. Этот этап неразрывно связан с использованием форензики (компьютерной криминалистики).
Н. Дудкин, А. Дубова
Стороны согласовали условия сделки по электронным каналам. Как подтвердить это в суде
Важно понимать, что, как и где искать. Цифровые следы порождаются самыми разными процессами. Они могут представлять собой сетевые временные файлы с расширениями html, текстовые документы txt, docx, журналы системы, почтовые архивы и т. д. Их можно умышленно или неумышленно скрыть, уничтожить, изменить, зашифровать — причем эти действия тоже оставляют цифровые следы. Для доступа к таким следам требуются не только специальные знания и навыки, но и специализированное криминалистическое оборудование и программное обеспечение. Соответственно, поиск цифровых следов необходимо проводить при содействии специалиста с профильным образованием и опытом.
Перед началом поиска цифровых следов специалисту необходимо снять криминалистическую копию (создать образ) накопителя (например, жесткого диска), с которой он будет работать. Это позволит обеспечить сохранность и неизменность цифровых следов на основном носителе.
Цифровые следы — уникальная совокупность цифровых данных, возникающая в результате взаимодействия пользователя с информационной системой.
После этого специалист может восстановить все удаленные файлы и найти информацию по ключевым словам. В ход идут резервные копии системы, дампы оперативной памяти, файлы системных журналов, переписка в мессенджерах. Специалист анализирует совокупность найденных объектов и выстраивает таймлайн произошедшего, то есть четкую и технологически обоснованную последовательность того, что происходило в системе, чем был вызван конкретный процесс и какие последствия он повлек (см. пример). Это позволяет четко и обоснованно выстроить все изменения в системе в строгом порядке и выявить недостающие или умышленно подмененные элементы.
Пример таймлайна, который установил специалист
Второй этап: преобразование цифровых следов в доказательства. Использовать цифровые следы для целей доказывания определенных фактов в арбитражном процессе можно путем придания им соответствующей процессуальной формы. Цифровые следы сами по себе представляют собой непонятный неспециалисту набор данных, который суд не может оценить непосредственно в исходном виде.
Процессуально этап поиска и фиксации цифровых следов можно оформить в виде заключения специалиста, который провел исследование. В заключении специалист излагает суть проведенных над объектом исследования действий, а именно: что и где он обнаружил в ходе поиска цифровых следов, каким образом и куда он сохранил указанную информацию. При этом важно, чтобы специалист в рамках поиска и фиксации цифровых следов использовал апробированное экспертным сообществом лицензионное программное обеспечение. Специалист может записать цифровые следы на CD-диск и представить его в качестве приложения к своему заключению.
Также целесообразно привлечь нотариуса, который обеспечит осмотр цифровых следов и в протоколе нотариального осмотра доказательств отразит хронологию их поиска на основании ст. 102 Основ законодательства Российской Федерации о нотариате. Такой протокол нотариального осмотра доказательств можно представить в суд вместе с заключением специалиста.
Наиболее популярные объекты, которые могут содержать цифровые следы
| Объект исследования | Цифровые следы |
|---|---|
| Корпоративный смартфон | Переписка в мессенджерах и электронной почте, история в браузере, история звонков, контакты, фото, видео, геолокация |
| Образ оперативной памяти компьютера | Информация из запущенных приложений, информация о транзакциях, переписка в мессенджерах и электронной почте, история в браузере, фото |
| Жесткий диск компьютера, сервера | Удаленные файлы, журналы системы, временные файлы, резервные копии, информация о транзакциях, переписка в мессенджерах и электронной почте, история в браузере, фото, видео |
Третий этап: представление доказательств в суд. Обнаруженные цифровые следы ценны в той мере, в которой они способны подтвердить или опровергнуть точку зрения представившей их стороны, помочь суду разобраться в сути спора. Для этого важно не только обнаружить цифровые следы, но и определить их доказательственную силу, показать причинно-следственные связи с иными событиями в рамках спора. Эту задачу можно решить путем проведения следующих процессуальных действий:
- компьютерно-технической экспертизы по вопросам, поставленным сторонами процесса или судом;
- судебного эксперимента;
- опроса специалиста.
