Расследование сложных дел может длиться достаточно долго и затрагивать правоохранительные органы различных юрисдикций. И в процессе следствия часто возникает необходимость обмениваться цифровыми данными.

Обмен цифровыми разведданными может занимать минимальное время, но тем не менее, он намного сложнее, чем это было, когда следователи могли просто передавать друг другу папку с документами и фотографиями. В процессе копирования и передачи цифровых данных, полученных с устройств, информация может повреждаться или даже намеренно искажаться. А это создает условия для невозможности использовать данные в качестве улик против подозреваемых и для защиты пострадавших. (Цифровые разведданные - это данные, собранные и сохранённые на цифровых устройствах и источниках сбора цифровой информации (например, смартфоны, компьютеры, «облако»), а также процесс, с помощью которого правоохранительные извлекают, просматривают, анализируют и получают информацию из этих данных для более эффективного проведения своих расследований.)

Для того, чтобы сотрудники правоохранительных органов могли обмениваться полученными цифровыми данными, без ущерба для их сохранности и расследования преступлений, нужно соблюдать несколько правил.

1. «Золотая копия»

Этот термин обозначает исходную версию данных (так сказать, оригинал), извлечённых из устройства. Эту версию необходимо бережно хранить для того, чтобы можно было при необходимости представить адвокату или суду.

При необходимости предоставить данные участникам следствия, нужно делать копии с «золотой копии», чтобы сама она оставалась в неизменном состоянии.

Зачем нужна «золотая копия»? Предположим, вы получили от коллеги из правоохранительных органов файлы. Но обнаружили, что часть из них повреждена, или часть информации пропала. Вы просите отправить файлы снова. И если «золотой копии», то есть исходных данных, нет, то коллега не сможет Вам помочь. И на этом этапе у вас будет «провал» в расследовании.

Для хранения исходных файлов («золотых копий») можно создавать репозитории. Если необходимо работать или анализировать полученные цифровые доказательства с помощью каких-либо технологий (ПО), то просто делаются копии исходных данных. Следователи и эксперты никогда не должны работать с исходными данными, только с копиями. Они могут быть недостаточно опытными и случайно повредить данные.

2. Хэш-коды

Превращение файлов с помощью хэш-функции в набор цифр и букв позволяет идентифицировать данные, поскольку каждый хэш-код уникален, как отпечаток пальца. Исходные данные, превращённые алгоритмом в хэш-код, можно сравнивать с другими данными, и понимать, имеем ли мы дело с одинаковой информацией или с разной. Кроме того, хэширование защищает данные от возможных подозрений в недостоверности или искажении информации. Это важно, если суд хочет убедиться, что в цифровые данные не были внесены изменения.

3. Работа с данными, а не со списком данных 

Для расследования недостаточно просто увидеть таблицу со списком полученных файлов, необходимо самостоятельно исследовать все фактические данные. Поэтому, запрашивайте копии исходных файлов.

4. Доверяй, но проверяй

Убедитесь, что тот, кто получит копии данных, обладает правом для их просмотра и изучения. Например, данные американских граждан могут быть исследованы только в пределах страны, если, конечно, речь не идёт об особых обстоятельствах.

5. Фиксация любого обмена данными

Запросы о предоставлении данных и их получении необходимо документировать. Еще лучше, если запросы направляются в письменном виде.

Зачем нужна такая скрупулёзность? Когда следователь закончит сбор цифровых данных, он должен сфотографировать устройства, на которых они хранились, включая любую маркировку на этих устройствах, особенно, серийный номер устройства или/и IMEI для телефонов. Некоторые дела могут длиться годами, поэтому, при возникновении вопросов о хранении и предоставлении доступа к цифровым устройствам, такая информациям будет способствовать продвижению расследования.

Советы от эксперта в цифровой криминалистике Хизер Махалик. Она возглавляет отдел Цифровой криминалистики в компании Cellebrite (Израильская компания, которая специализируется на создании ПО для взлома мобильных устройств), ее профессиональный стаж - 18 лет. Принимала участие как эксперт при расследовании различных громких дел.

Краткий перевод с английского Наталья Вознесенская