Найти киберулики

Почему расследованием инцидентов с персональными данными должны заняться цифровые криминалисты

Злоумышленники постоянно совершенствуют способы обмана и активно используют достижения технического прогресса. На этом фоне для более качественного расследования правонарушений в России должна появиться профессия цифрового криминалиста. Почему острая необходимость в таких экспертах возникнет после увеличения штрафов за утечки персональных данных, читателям RSpectr рассказывает юрист, заместитель начальника отдела специальных проектов и академических программ Научно-технического центра ФГУП «ГРЧЦ» Станислав Махортов.

НЕ ТОЛЬКО РАССЛЕДОВАНИЕ

Согласно учебнику «Криминалистика» МГУ имени М.В. Ломоносова под редакцией профессора И.М. Комарова, общая задача криминалистики – сделать деятельность органов предварительного следствия, криминалистической экспертизы и суда оптимальной, научно обоснованной и оснащенной современными средствами и методами борьбы с преступностью.

В настоящий момент данный подход как никогда актуален, поскольку само преступление и посягательство на него воспринимается иначе в контексте развития информационных технологий.

Из-за развития средств массовой коммуникации и интернета доступ преступников к гражданам сегодня сильно упростился

Это не может не тревожить – ведь звонок злоумышленника жертве в мошеннических целях в определенной степени уже можно квалифицировать как покушение на преступление.

Роскомнадзор по своему статусу не является правоохранительным органом, но при этом уполномочен на возбуждение дел об административных правонарушениях в сфере персональных данных (ПД). Безусловно, административное правонарушение не равно «преступление», но с учетом внедрения цифровых технологий в жизнь граждан утечки личной информации часто связаны, а иногда и вовсе выступают в какой-то степени средством совершения преступления – мошенничества в отношении граждан.

Но не только утечки, в определенных ситуациях

незаконной обработки небольшого набора сведений уже достаточно, чтобы злоумышленники воспользовались ими для совершения преступления

Например, если данные принадлежат пенсионеру или другому лицу, находящемуся в зоне риска с точки зрения цифровой грамотности.

Поэтому термин «криминалистика» в широком смысле и с точки зрения взгляда в будущее нужно воспринимать не только в контексте расследования уголовных преступлений, но и в рамках предотвращения других правонарушений, находящегося, в частности, в компетенции Роскомнадзора.

Кроме того, в настоящее время при ведомстве действует Центр правовой помощи гражданам в цифровой среде, который бесплатно оказывает правовую помощь и представляет интересы граждан, ставших жертвами мошенников.

БУДЕТ ЧТО СКРЫВАТЬ

Речь идет в первую очередь о правонарушениях в области персональных данных:

• нарушениях прав субъекта ПД (утечки, обработка данных без согласия, незаконная передача данных третьим лицам);
• использовании данных граждан злоумышленниками для совершения преступлений финансового характера.

При обнаружении в открытом доступе базы данных, являющейся источником личных сведений, при наличии информации об операторе такой базы данных

у Роскомнадзора имеется нормативно-правовой механизм для инициирования контрольных мероприятий и привлечения оператора к ответственности в случае наличия доказательств его вины

Но в доказательствах (вернее, в их достаточности) как раз и проблема. В настоящее время размер санкции за так называемую «утечку» (термина «утечка» в законе не содержится) относительно невелик и составляет для юридических лиц от 60 тыс. до 100 тыс. рублей.

Сейчас крупному юридическому лицу, допустившему утечку, проще заплатить этот штраф без лишних споров с Роскомнадзором и судом и заняться решением репутационных вопросов.

Совсем другой станет ситуация при принятии законопроекта об оборотных штрафах за утечки персональных данных. На момент подготовки статьи проект находится на рассмотрении Госдумы, принят в первом чтении. Когда речь пойдет не о 100 тыс. рублей (максимум), а о процентах от годового оборота,

у компаний появится мотивация говорить, что потерянная база информации им не принадлежит или вовсе скомпилирована из предыдущих утечек

В этой ситуации дата-сет включает в себя наборы информации из разных утечек, произошедших ранее.

На практике действительно очень сложно определить и однозначно доказать в суде, что конкретная база данных принадлежит конкретному оператору или не скомпилирована. Поэтому технологии и, конечно,

специалисты-эксперты (цифровые криминалисты) в сфере защиты персданных необходимы прямо сейчас

Какие-либо либо акты нормативного характера или подзаконные методики, описывающие достаточность, достоверность, допустимость и относимость доказательств, что утечка принадлежит конкретному оператору, отсутствуют.

Кроме этого, при проверках деятельности оператора, даже при наличии утечки и явном подозрении, что утечка произошла у конкретно проверяемого оператора, деятельность контролирующих лиц осложнена невозможностью получения доступа ко всем данным оператора (коммерческая, банковская и другие виды тайн). Это также осложняет доказывание.

БЫСТРЕЕ В ПРАКТИКУ

Научно-технический центр ФГУП «ГРЧЦ» систематически занимается исследованием этого вопроса и поиском приемлемых организационно-правовых решений для реализации контроля и проверок операторов персональных данных.

Наиболее приемлемым решением с точки зрения сохранения баланса между эффективным контролем за обработкой данных и оптимальным объемом доступа к информсистемам оператора ПД для надзорного органа представляется запрос копии всех данных корпоративных систем конкретной организации, не обладающих конфиденциальным статусом (за исключением статуса персональных данных).

Однако данный способ осложнен высокой трудоемкостью анализа данных, создает дополнительный риск возможной утечки данных в процессе передачи и попросту неэффективен, поскольку дает возможность недобросовестному оператору предоставить данные, исключающие его вину.

Представляется возможной также реализация автоматизированной методики оценки корректности обработки персональных данных путем анализа логов журналов событий, записываемых при обработке баз данных, без непосредственного обращения к записям в таблицах.

Здесь необходимо констатировать, что ни один из исследованных и приведенных способов контроля операторов и проверки баз данных не позволяет со стопроцентной гарантией доказать, что «утекшая» база данных принадлежит конкретному оператору. Поэтому и необходимо развитие криминалистики как науки и как практической деятельности в современных реалиях.

Кроме всего перечисленного,

эффективная деятельность экспертов-криминалистов необходима при доказывании позиции гражданина, если он стал жертвой мошенников

А также при расследовании дел о распространении противоправного контента, созданного при помощи инновационных технологий.

Так, сейчас среди мошенников набирает популярность применение дипфейк-технологий для введения граждан в заблуждение, это актуально не только с точки зрения мошенничества, но и в части распространения деструктивного контента и вовлечения граждан в противоправную деятельность (вплоть до склонения граждан к совершению преступлений). Здесь криминалистика и развитие соответствующих технологий и экспертов необходимы как никогда.