В нашем недавнем посте (см. https://cobralegalsolutions.com/coming-to-terms-with-speaking-technical-in-ediscovery/ ) мы говорили о том, каким образом можно на техническом языке обсуждать вопросы э-раскрытия (в американском праве, обязательное раскрытие всей относящейся к делу электронной информации в ходе расследований и судебных споров; в контексте деятельности государственных архивов э-раскрытие также может включать раскрытие документов и информации в ответ на запросы на основе закона о свободе доступа к государственной информации – Н.Х.), поняв смысл рада очень важных терминов. Ещё одним важным аспектом такого обсуждения является понимание разницы между э-раскрытием (eDiscovery) и цифровой криминалистикой (digital forensics), а также конкретных вариантов использования цифровой криминалистики.
Различия между э-раскрытием и цифровой криминалистикой
У э-раскрытия и цифровой криминалистики есть некоторые сходные черты. Например, обе дисциплины имеют дело с электронными доказательствами, и в их деятельности существует много одинаковых этапов - обеспечение сохранности, сбор, обработка, проверка, анализ и представление - хотя могут быть существенные различия в том, как эти этапы выполняются. Ниже перечислены некоторые различия между э-раскрытием и цифровой криминалистикой
- Поток рабочих процесс в сравнении с процессом расследования: Э-раскрытие - это набор рабочих процессов ( https://cobralegalsolutions.com/trust-the-process/ ), составляющих поток процессов (workflow), решающий задачи э-раскрытия в рамках жизненного цикла электронной EDRM-системы управления документами и контентом. Цифровая криминалистика - это процесс расследования, направленный на выявление цифровых доказательств или закономерностей в цифровых доказательствах.
- Непосредственно доступные доказательства в сравнении со скрытыми: В раках э-раскрытия основные доказательства легко доступны в приложениях, которые используются в ходе обычной повседневной деловой деятельности. Управление этими доказательствами в рамках э-раскрытия включает достаточно прямолинейные процессы «проведения» этих доказательных материалов через рабочий процесс. В цифровой криминалистике доказательства часто бывают удалены или скрыты, и требуются определенные технические навыки (таких как вычленение однородных массивов данных - data carving, https://www.computerhope.com/jargon/d/data-carving.htm ) для реконструкции доказательств, которые в противном случае были бы утрачены.
- Целенаправленный сбор и сохранение в сравнении с широкоохватным: В последние годы сохранение и сбор электронных доказательств в рамках э-раскрытия стали более целенаправленными в интересах снижения затрат на последующих этапах обработки. В цифровой криминалистики процесс сохранения/сбора данных обычно включает в себя резервное копирование потока битов со всего устройства с целью обеспечения сохранности и сбора доказательств, при этом одновременно также используются технологии и наилучшие практики для того, чтобы обеспечить подготовку и передачу на дальнейшие этапы обработки целенаправленного набора данных.
- Понятие «криминалистическая экспертиза» (forensics) в сравнении с понятием «адекватности с криминалистической точки зрения» (forensically sound). Вероятно, одним из самых путающих терминов, которые Вы слышите в контексте наборов доказательств, является слово «криминалистическая экспертиза». В своей простейшей интерпретации он означает установление адекватности доказательств и используемых для их сбора инструментов, цепочки ответственного хранения и целостности данных.
Демонстрация того, что цифровые доказательства, собранные в ходе криминалистической экспертизы, не были изменены и являются верной копией оригинала, имеет ключевое значение и является основанием для того, чтобы говорить об «адекватности с криминалистической точки зрения».
Делаем ещё один шаг вперед: если цель заключается в создании побитовой «здравой с криминалистической толчки зрения» копии, а затем также в том, чтобы проанализировать, например, данные в неиспользуемом пространстве памяти, или же определить, были ли какие-либо данные удалены, изменены, скопированы или перемещены, - мы обычно говорим об этом более высоком уровне как о «криминалистической экспертизе». - Одна профессиональная сертификация в сравнении с несколькими: Специалист в области э-раскрытия может, по своему выбору, пройти сертификацию своих возможностей (например, получив профессиональную квалификацию «сертифицированный специалист в области э-раскрытия» - Certified E-Discovery Specialist, CEDS, см. https://aceds.org/ceds-certifications/ ) от профессиональной ассоциации ACEDS (см. https://aceds.org/ - ассоциация также позиционирует себя как ведущий мировой центр обучения и сертификации в области э-раскрытия, стратегического управления информацией и взаимосвязанных юридических дисциплин – Н.Х.).
Хороший специалист по цифровой криминалистике, как правило, имеет несколько подтверждающих его квалификацию сертификатов, в том числе - сертификат «Сертифицированный специалист по расследованию хищений и мошенничества» (Certified Fraud Examiner, CFE, https://www.acfe.com/become-cfe-qualifications.aspx ) от ACFE (см. https://www.acfe.com/default.aspx);
- сертификат «Сертифицированный компьютерный эксперт-криминалист» (Certified Forensic Computer Examiner, CFCE, https://www.iacis.com/certification/cfce/ ) от IACIS (см. https://www.iacis.com/ ); и
- сертификат «Сертифицированный компьютерный эксперт» (Certified Computer Examiner, CCE) от ISFCE (см. https://www.isfce.com/index.html );
- Просто работа эксперта в сравнении со свидетельскими показаниями эксперта в суде: Для предоставления услуг в обеих дисциплинах требуется опыт. Однако в оказание услуг в сфере цифровой криминалистики с намного большей вероятностью может потребовать выступления эксперта в суде с показаниями с целью обсуждения результатов расследования.
Варианты использования услуг цифровой криминалистики
В некоторых связанных с э-раскрытием ситуациях с большей вероятностью также могут потребоваться услуги в области цифровой криминалистики. Вот два примера:
- Кража интеллектуальной собственности: В делах, связанных с предполагаемой кражей интеллектуальной собственности, услуги в области цифровой криминалистики часто требуются для реконструкции улик, которые были удалены в попытке скрыть противоправные действия. На сайте «Э-раскрытие сегодня (eDiscovery Today), являющемся образовательным партёром фирмы Cobra, рассказано о двух недавних делах, связанных с правами интеллектуальной собственности (см. https://ediscoverytoday.com/2020/08/11/terminating-sanctions-and-injunction-for-defendant-upheld-by-fourth-circuit-ediscovery-case-week/ , https://ediscoverytoday.com/2021/05/25/in-a-case-of-deja-vu-all-over-again-court-orders-mobile-phone-forensic-examination-ediscovery-case-law/ ), в рамках которых судебно-криминалистическая экспертиза либо выявила факты уничтожения доказательств, либо была проведена ввиду соответствующих подозрений.
- Уголовные дела: Само собой, в делах, связанных с предполагаемыми уголовно наказуемыми действиями, часто поднимается вопрос о возможном уничтожении улик, который необходимо расследовать, особенно на мобильных устройствах.
Конечно, любое судебное дело или расследование является потенциальным кандидатом для использования услуг цифровой криминалистики с целью проверки подлинности доказательств, если есть подозрения в том, что те были несанкционированно изменены или фальсифицированы. Например, в прошлогоднем деле о дискриминации при приеме на работу (см. https://ediscoverytoday.com/2021/08/19/plaintiffs-fabrication-of-emoji-and-text-evidence-leads-to-case-dismissal-monetary-sanctions-ediscovery-case-law/ ), включавшем обвинения в сексуальных домогательствах и неправомерном увольнении, с помощью сервисов цифровой криминалистики было установлено, что истица сфабриковала обмен текстовыми сообщениями между ней и её руководителем, отчасти на основании того, что смайлики, использованные в сфабрикованных сообщениях, не поддерживались её версией iOS!
Также есть несколько вариантов использования сервисов цифровой криминалистики, которые не связаны непосредственно с э-раскрытием (или, по крайней мере, не начинаются таким образом). Вот два примера:
- Внутрикорпоративные расследования: Когда сотрудник подозревается в совершении неправомерных действий, может потребоваться привлечение компьютерного эксперта-криминалиста для оценки и, возможно, восстановления выполненных сотрудником операций с целью подтверждения или опровержения имеющихся подозрений. Часто подтвержденные случаи неправомерных действий приводят к судебным разбирательствам, которые уже включают э-раскрытие.
- Реагирование на инциденты: Нарушения безопасности часто требуют криминалистического анализа для отслеживания масштабов и источника атаки.
Заключение
Способность обсуждать вопросы э-раскрытия на техническом уровне включает в себя понимание того, чем цифровая криминалистика отличается от э-раскрытия, а также понимание того, когда могут понадобиться услуги цифровой криминалистики - либо в контексте проекта э-раскрытия, либо в каком-либо ином варианте использования.
В следующем посте мы продолжим обсуждение данной темы с дискуссии о, пожалуй, самом важном, но неправильно понимаемом типе данных - о метаданных!
Для получения дополнительной информации об услугах цифровой криминалистики компании Cobra см. https://www.digitaldiscoveryesi.com/services .
Источник: сайт COBRA Legal Solutions
https://cobralegalsolutions.com/speaking-technical-in-ediscovery-understanding-how-it-differs-from-digital-forensics/
Комментариев нет:
Отправить комментарий