Значение технологий информационной безопасности
Информационная безопасность в современном мире является неотъемлемой частью бизнеса, государства и частной жизни граждан. Жизнь стала цифровой, в различных ситуациях люди окружены информационными системами — будь то аэропорт, банк, магазин, аптека или МФЦ.
С 2022 года большинство иностранных разработчиков средств защиты покинули Россию, заморозили поставки продукции и остановили поддержку российских пользователей.
Компании, корпорации, государственные органы и организации вынуждены проходить этап импортозамещения, тестирования отечественных решений или развития собственных.
С такими “вводными” кибербезопасность касается всех, на фоне постоянно усиливающихся угроз и множащегося числа ИБ-продуктов, те, кто имеет ресурсы, переходят на новый уровень.
Некоторые принципы раскрытия правонарушений
Для раскрытия киберпреступлений силовые структуры применяют специализированные системы сетевого мониторинга, к примеру, «Сорм-3» для отслеживания трафика и метаданных в реальном времени. А также платформы для анализа цифровых следов — извлечение данных с изъятых устройств, восстановление удаленной информации, анализ логов и криптографических артефактов.
Важную роль играют базы данных IP-адресов, IMSI-кодов и сотрудничество с провайдерами и крупными ИТ-компаниями — для получения информации о пользователях.
Сотрудники правоохранительных органов прибегают к методам киберразведки: внедрение в преступные форумы, использование honeypot-систем и анализ транзакций в блокчейне для отслеживания криптовалютных переводов.
Однако эффективность этих механизмов ограничена анонимизацией трафика, шифрованием сквозного типа и юрисдикционными барьерами, особенно когда инфраструктура злоумышленников размещена за рубежом. Это обстоятельство мешает следить за гражданами в России.
Хакерство оперативника БСТМ
Одно из самых засекреченных подразделений МВД России — бюро специальных технических мероприятий (БСТМ). Именно эти сотрудники контролируют угрожающую власти активность в интернете и разрабатывают провокационные схемы. С обвинением в получении взятки в особо крупном размере (ч. 6 ст. 290 УК), а также в неправомерном доступе к компьютерной информации (ст. 272 УК), то есть к данным фигурантов. Именно на счету сотрудников БСТМ МВД одна из крупнейших взяток в истории российской полиции новейшего времени. Так начальник отделения по борьбе с преступлениями в кредитно-финансовой сфере, совершаемыми с использованием информационных технологий БСТМ при содействии коллеги получил от администратора криптовалютной биржи почти 5 млрд руб. за не привлечение фигуранта к уголовной ответственности. Основной упор интереса и деятельности БСТМ направлен на тех, кто обеспечен, с кого можно «взять».
Уровень раскрываемости киберпреступлений в России
Раскрываемость киберпреступлений в России по статистике 2024 года составляет примерно 34%, раскрывается примерно каждое третье преступление. Это подтверждается регулярно публикуемыми в СМИ сведениями «ответственных лиц», об ущербе, наносимом действиями мошенников посредством сети интернет, в отношении граждан и государственного бюджета, который измеряется в триллионах рублей.
По каждому факту совокупность связанных событий и обстоятельств надо доказать. Фактически устанавливают именно 30-34%, а доказывают примерно 10%. Эти дела уходят в суд, остальные “виснут” и расследуются годами, уходят в “архив”, возвращаются на дорасследование. Дело считается раскрытым, когда связь между инцидентом и преступником точно доказана.
Борьбу в правовом поле ведут сотрудники подразделений в отделах «К» территориальных и главных управлений МВД России в регионах страны. Материалы проверки и уголовные дела возбуждаются на основании признаков преступлений, относящимся к конкретным статьям уголовного кодекса.
Сотрудники отделов и управлений «К» считают одними из самых интеллектуально и технически подготовленных в системе МВД. Условно они на втором месте после профессионалов из отделов по расследованию экономических преступлений.
Механизмы и инструменты для поиска правонарушений
В оперативно–розыскных мероприятиях (ОРМ) действуют в соответствии с полномочиями и правилами, предусмотренными законом об оперативно розыскной деятельности, а в частности уголовно–процессуальным кодексом (УПК РФ).
Поиск правонарушителя и обеспечения первичной доказательной базы осуществляют оперативные сотрудники правоохранительных органов — в соответствии с подведомственностью и подсудностью дел. По ряду статей УК РФ — это сотрудники Следственного комитета, ФСБ, МВД; все они обладают полномочиями в ОРД и ОРМ.
В разрешенной полномочиями области аттестованным сотрудникам допустимы получение информации о жизни, рабочей деятельности, материальной базе фигуранта (с негласным контролем его транзакций и банковских инструментов), о его знакомых и связях, которые также проверяются («пробиваются») на предмет зарегистрированных ранее преступлений по той же направленности и сведениях о судебном преследовании, открытых уголовных делах. А также негласное наблюдение за фигурантом и введение в его круг общения «оперативного» сотрудника под видом заинтересованного лица (под прикрытием).
В частности, приемов очень много — от организации негласного наблюдения силами профильных отделов МВД (сотрудников которых называют на сленге «Николай Николаевич» — по имени отчеству первого руководителя управления, в функциях которого наружное наблюдение МВД) до «постановкой на контроль» обмена потоковыми данными в любой форме. Даже если гражданин использует VPN (и другие средства защиты оборудования от трекеров и «меток») — это не панацея.
Адрес IP, уникальный идентификатор оборудования (компьютера), идентификатор IMEI сотового телефона фиксируются уже на уровне провайдера и выхода в интернет. Поэтому такие средства относительно нетрудно отслеживать, как и их владельцев.
Кроме того, среди средств правоохранительных органов есть набор довольно значительный. Это и программное обеспечение для контроля интернет –общения «по словам» (по определенным наборам слов), видеонаблюдение во дворах жилых зон и транспортных магистралях (к примеру, система выявления автомашин правонарушителей «Поток») и система контроля билетов на транспорт «Магистраль». Последняя дает четкое представление — когда и куда фигурант «путешествовал» и (или) приобрел билеты для поездки. Это удобно, чтобы задержать его прямо на вокзале.
Есть и другие способы разведки и доказательной базы.
Как правило опытные киберправонарушители пользуются изощренными способами личной защиты. К примеру, используют виртуальные сим–карты, чат–боты, и прочие средства, затрудняющие их обнаружение. Кроме того, используют оборудование для связи в «одноразовом режиме». Задействованный смартфон, как и сим–карту после проведения «акции» выбрасывают в утиль или продают на вторичном рынке.
Если правонарушитель в другой стране
В процессе оперативно–розыскных мероприятий сотрудники правоохранительных органов устанавливают личность правонарушителя, его местонахождение, связи, а также формируют доказательную базу с опорой на триаду «время, место, способ».
Эти составляющие должны быть доказаны и связаны с мотивом правонарушителя, с его умыслом. Преступником гражданина (и группу лиц) может назвать только суд и то после вступления приговора в законную силу.
В процессе сбора этой информации о причастной к противоправной деятельности персоналии или, как говорят профессионалы — фигурантах дела, совершают выходы в адрес, проверка по месту жительства, а при невозможности установить нахождение фигуранта, по каналам межведомственного взаимодействия в пограничную службу ФСБ России направляется запрос — не пересекал ли гражданин границу страны. Так выявляются лица, находящиеся за рубежом, в отношении которых имеются достаточные основания полагать об их причастности к совершению преступлений, связанных к кибербезопасностью.
Если киберправонарушитель находится в другой стране, в МИД и правоохранительные органы соответствующей страны отправляются соответствующие запросы. Это могут быть отдельные поручения для «опроса» по месту нахождения конкретного лица для получения ответов на конкретные вопросы следователя, а если доказательная база собрана в достаточном объеме и есть поддержанное прокуратурой постановление суда о розыске и аресте фигуранта, тогда тем же каналом направляется запрос на экстрадицию в Россию конкретного лица. В данном формате правоохранительные органы разных стран действуют на основе международных договоренностей и почти всегда успешно сотрудничают, в том числе в формате Интерпола.
Кроме случаев, когда в дело вмешивается «политический» фактор, к примеру, между Российской Федерацией и Израилем (и некоторыми другими странами) нет договоренности о выдаче преступников. Это не значит, что преступник не будет экстрадирован. Но значит, что не обязательно будет выдан, а на усмотрение руководства страны и ряда сопутствующих факторов.
В информационной безопасности необходимы понятная систематизированная аналитика, тиражирование лучших практик защиты и реагирования на кибератаки, регулярный разборы инцидентов, объяснение серьезности вновь выявляемых угроз, обзоры перспективных технологий защиты.
