Форензика это что такое
Что такое форензик. Объясняем простыми словами
Форензик — комплекс услуг, которые направлены на выявление корпоративного мошенничества, неправомерных действий сотрудников и коррупции в компании.
Проще говоря, форензик-специалисты проводят расследования, чтобы выявить работников, которые занимаются мошенничеством, связаны с коррупцией или каким-то другим противозаконным способом наносят ущерб компании.
Руководитель компании не только узнаёт, чем промышлял недобросовестный сотрудник, но и с помощью форензик-специалистов сможет привлечь его к уголовной или административной ответственности, что позволит взыскать с виновных потерянные деньги компании.
Управляющий партнёр адвокатского бюро «Бишенов и партнёры» Алим Бишенов рассказывал «Секрету», что форензик включает в себя:
Пример употребления на «Секрете»
«Смысл форензика многие игроки понимают по-разному. Для кого-то это компьютерно-техническая экспертиза, для кого-то корпоративная разведка. Я и моя команда убеждены, что форензик — это расследование мошенничества, злоупотребления и конфликта интересов».
(Основатель и гендиректор Forensic & Business Solutions Алексей Фролов — в материале про форензик в России.)
Ошибки в употреблении
Не стоит путать форензик с форензикой — этот термин означает прикладную науку о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств и методах поиска. Форензика — один из подразделов криминалистики.
С английского языка слово forensic переводится как «судебный» или «криминалистический».
История
Термин впервые упоминался в научных работах в 1946 году. Услуга пришла в Россию с Запада на смену разборкам 90-х, «когда в стране появился запрос от бизнеса на законные правила и приёмы борьбы за экономические преимущества», по словам Бишенова.
Форензиком в России сейчас занимаются консалтинговые компании «большой четвёрки» (Deloitte, EY, PwC и KPMG — для них это одно из направлений работы), а также несколько десятков отдельных команд, специализирующихся именно на этой услуге.
Форензик: как выявить корпоративное мошенничество в компании
Коррупция и мошенничество могут процветать как на крупных предприятиях, так и в небольших компаниях. При этом собственники бизнеса часто даже не догадываются об утечке денежных средств. Определить, существует ли такая опасность, помогают форензик-специалисты
Однажды руководство российского автомобильного завода обратилось к специалистам нашего бюро с просьбой провести внутреннюю проверку и выявить инциденты корпоративного мошенничества и коррупции. Во время аудита мы обнаружили в документах парадоксальные вещи – в них было указано, что на производство одной машины требуется два кузова. Это яркий пример того, каким образом недобросовестные сотрудники крупного производства могут вступить в сговор и выводить денежные средства из компании.
Вместе с тем многие предприниматели даже не догадываются об утечке средств. Обычно она грамотно замаскирована. Тем не менее существуют индикаторы, которые позволяют выявить мошенничество в компании. А справиться с ним помогают форензик-специалисты.
Что такое форензик?
Форензик – это комплекс услуг, направленных на выявление корпоративного мошенничества и коррупции в компании. Форензик-специалисты проводят адвокатские расследования, позволяющие обнаружить недобросовестных работников и отдать их под следствие. То есть владелец бизнеса не просто узнает, кто из сотрудников, например, продает или приобретает продукцию по невыгодной для предприятия цене, но и с помощью специалистов привлечет их к административной или уголовной ответственности. А это позволит взыскать с виновных подчиненных выведенные деньги.
Какие услуги включает в себя форензик?
Внутреннее расследование инцидентов:
Какие индикаторы указывают на корпоративное мошенничество?
Наличие даже одного пункта из этого списка служит поводом обратиться за помощью к специалистам по форензику.
Каким бывает мошенничество в компании?
Чтобы показать, что собой представляет форензик, давайте рассмотрим наиболее распространенные виды корпоративного мошенничества в компании-производителе. Оно встречается в зонах закупок, производства и продаж. Сюда также можно отнести две дополнительные зоны расходов – персонал и непроизводственные издержки.
В каждом из этих звеньев возможна утечка средств. Но прежде чем приступить к проверке перечисленных зон, форензик-специалист проводит ориентацию поискового процесса. Она представляет собой составление списка людей, которые могут быть причастны к инцидентам корпоративного мошенничества и коррупции.
По каким критериям проводится проверка физического лица?
После того как ориентация поискового процесса закончена, форензик-специалисты переходят к аудиту каждого звена в структуре компании.
Как форензик-специалисты выявляют мошенничество в зоне закупок?
Распространенной схемой мошенничества является закупка излишков сырья, чтобы в сговоре с другими сотрудниками продавать неучтенную продукцию. Часто используется схема, когда сотрудник приобретает товар у своего поставщика по завышенной цене, а сумму переплаты делит с ним пополам. Сюда же относится приобретение товаров ненадлежащего качества.
Такой пример: к нам обратились акционеры крупной компании, чтобы провести расследование инцидента на производстве. Специалист, монтировавший электрическое оборудование, в ходе работ сгорел. Выяснилось, что поставщик продал контрафактные средства индивидуальной защиты, что и привело к гибели человека. В результате нам удалось привлечь к ответственности недобросовестного подрядчика и спасти репутацию руководства компании.
Форензик-специалисты проводят тщательный поиск, который позволяет выявить:
1. Выбор своего поставщика на невыгодных для предприятия условиях, а также махинации при проведении тендеров:
Как борются с мошенничеством в зоне производства?
Чаще всего в компаниях, где процветает корпоративное мошенничество, необоснованно списывают брак либо производят манипуляции с классификаторами и справочниками.
Еще одной распространенной схемой является параллельный бизнес. Допустим, в организации два учредителя. Один из них делами компании не занимается. Второй при получении заказа, вместо того чтобы выполнить его силами компании, нанимает субподрядчика. При этом в качестве субподрядчика выступает фирма, которая является его же собственностью. В вопиющих случаях штат основной компании является штатом параллельной. Так выводятся средства из бизнеса в обход одного из учредителей.
Рассмотрим пример из нашей практики. Компания занимается поставкой энергооборудования. Ей поступил заказ условно на 1 млн долларов. 15–20% от этой суммы, т. е. 200 тыс. долларов, занимало гарантийное и постгарантийное обслуживание. Один из учредителей оформил документы так, будто в компании недостаточно собственных ресурсов для выполнения работ. После этого была нанята фирма-субподрядчик, которая принадлежала этому учредителю. Ей отдали 199 тыс. долларов. То есть прибыль получил субподрядчик, при этом оборудование обслуживали сотрудники компании, изначально принявшей заказ.
Нередко мошенничество в компании процветает за счет накопления и реализации неучтенной готовой продукции, излишков сырья, полуфабрикатов и прочих материалов (запчастей, деталей, ГСМ). Обычно это делается посредством:
Форензик-специалисты выявляют, где формируются неучтенная готовая продукция и излишки материалов. Совместно с основными методами проверки на данном этапе используются и дополнительные:
Как нейтрализуют мошенничество в зоне продаж?
Менеджер по продажам может сбывать товар по заниженной цене и за это получать откат. Эта схема является основной. Нередко встречаются и ее вариации.
В качестве примера можно рассмотреть такую ситуацию: компания занимается закупкой шин в Японии. В ходе форензик-расследования были выявлены излишние траты: слишком большое складское помещение, которое не соответствовало объему поставок, раздутый штат ЧОПа и т.д. При этом оказалось, что склад был полностью заполнен шинами. В результате специалисты обнаружили, что менеджер по продажам закупал через теневых посредников за полцены контрабандные шины, а затем продавал их со скидкой за откат, используя отдел продаж и другие ресурсы компании.
Форензик-специалисты выявляют факты предоставления отдельным покупателям и подрядчикам преимуществ, дискриминирующих интересы собственника:
Какие риски форензик-специалисты выявляют в зонах «Персонал» и «Непроизводственные расходы»?
Форензик-специалисты ориентированы на выявление необоснованных расходов, противоречащих интересам собственника бизнеса:
Владельцам каких компаний следует опасаться корпоративного мошенничества?
Принято считать, что коррупция и мошенничество встречаются только в крупных компаниях, где труднее контролировать процессы. Между тем маленькому бизнесу и стартапам управление рисками необходимо ничуть не меньше. Это связано с тем, что дело просто не будет развиваться, если деньги станут утекать сквозь пальцы. Кроме того, бизнес будет трудно продать, ведь если покупатель увидит, что в компании не все в порядке, то сделка не состоится.
Как обезопасить бизнес?
Поможет комплаенс. Он является составной частью форензика и представляет собой комплекс мер, корректирующих или вводящих новую систему контроля во избежание повторения или возникновения инцидентов корпоративного мошенничества и коррупции.
Комплаенс-услуги включают в себя:
Если у владельцев компании нет возможности нанять специалистов в области форензика и комплаенса, необходимо в первую очередь обратить внимание на индикаторы риска, указанные в начале статьи. Обнаружение одного из перечисленных факторов является поводом провести внимательную проверку. Кроме того, крайне нежелательно, чтобы в компании осуществлялась оплата наличными. Это увеличивает риск злоупотреблений.
Форензик – эффективный инструмент защиты бизнеса
управляющий партнер адвокатской конторы «Бородин и Партнеры», к. ю. н.
специально для ГАРАНТ.РУ
«Бизнес – это сочетание войны и спорта», – говорил французский писатель Андре Моруа. Нередко собственники вынуждены защищать свои активы от неправомерных манипуляций топ-менеджеров и иных работников – мошеннических действий, коррупционного поведения, разглашения корпоративной тайны.
Для обороны бизнеса привлекаются войны права с особым статусом – адвокаты, которые обладают арсеналом средств для проведения корпоративного расследования – форензика.
Что такое «форензик», и кому он необходим?
Форензик – деятельность по предупреждению и выявлению фактов корпоративного мошенничества, коррупционных схем и иных неправомерных действий работников компании. Форензик – явление многоплановое, такого рода услуги оказывают не только профессиональные юристы, но и бывшие работники спецслужб и IT-специалисты, экономисты и финансисты, психологи и социологи. Родиной форензика считаются США. В России пока форензик не получил широкого распространения, а наблюдаются лишь его частные проявления в отдельных направлениях, например, поиск выведенных активов, «пробив подозреваемых» или анализ деятельности топ-менеджеров и работников на предмет уголовной составляющей.
Уверен, что отечественная бизнес-адвокатура обладает организационной, интеллектуальной и юридически пригодной базой для развития форензика на российском правовом пространстве. Адвокаты имеют необходимый объем полномочий для проведения поисковой, аналитической и юридической работы в целях выявления, предупреждения и правового оформления фактов «воровства из кармана собственника».
С другой стороны, на фоне криминальных сводок об уголовных делах в отношении предпринимателей российский бизнес стремится к минимизации рисков, в том числе путем привлечения специалистов для комплексной проверки деятельности компании. Это касается и случаев внутрикорпоративной недобросовестности, когда собственники, не дожидаясь раскачки правоохранительного механизма, самостоятельно пытаются изобличить виновных.
Какие же факты-индикаторы свидетельствуют о корпоративном мошенничестве? Это могут быть и необоснованное повышение объемов закупки сырья либо снижение качества продукции, и несоответствие расходов и доходов персонала, и стремительное увеличение расходов представительского характера, и другие обстоятельства.
Правовая основа и инструменты адвокатского расследования
Инструменты для проведения адвокатского расследования корпоративного состояния компании легитимированы в Федеральном законе от 31 мая 2002 г. № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации» (далее – Закон № 63-ФЗ), а также методических рекомендациях ФПА РФ.
Современный адвокат – не только «судоговоритель», но и аналитик, психолог, немного экономист и финансист, а иногда – и социолог. Как следствие, юридическая помощь доверителю начинается задолго до входа в судебные залы. Адвокатская внесудебная помощь включает широкий спектр возможных действий – от анализа документов и дачи устных консультаций по отдельным вопросам до проведения комплексной проверки компании.
При этом Закон № 63-ФЗ предусматривает ряд доказательственных атрибутов, которые позволяют полно и объективно установить случаи корпоративного мошенничества. Адвокатский опрос, адвокатский запрос и привлечение узкопрофильных специалистов (ст. 6 Закона № 63-ФЗ) – эффективные полномочия адвоката, а гарантийные правовые атрибуты в виде адвокатской тайны (ст. 8 Закона № 63-ФЗ) и уголовно-процессуальных привилегий (ст. 450.1 Уголовно-процессуального кодекса) – необходимое подспорье для сохранности собранной информации.
В совокупности эти механизмы дают возможность для осуществления активной внесудебной помощи доверителю, в том числе путем проведения корпоративного расследования. В ходе расследования фактов внутрикорпоративных неправомерных действий адвокаты реализуют комплекс мер по защите бизнеса доверителя, в частности:
В результате адвокатского расследования формируется пакет сведений, позволяющих пролить свет на обстоятельства неправомерного поведения топ-менеджеров и работников – нередко криминального характера.
Как поступить с собранной информацией? Увольнение неблагонадежного работника, привлечение к гражданско-правовой или материальной ответственности либо инициирование уголовного преследования – с учетом интересов доверителей и требований законодательства. На этой стадии помощь адвоката пригодится – сопровождение в суде или в ходе процессуальной проверки сообщения о преступлении, участие в переговорных или примирительных процедурах или обращение в специализированные органы по защите прав предпринимателей.
Форензик в адвокатской среде – возможно ли?
Адвокатура с осторожностью относится к расследованиям корпоративного мошенничества. Сейчас такая деятельность – исключение, а не общее правило. Только немногие российские адвокатские образования в качестве направления юридической помощи открывают «расследование корпоративного мошенничества».
Однако многие инструменты, о которых мы говорили выше, используются в повседневной адвокатской практике при оказании юридической помощи доверителю. В моей профессиональной деятельности приходится сталкиваться с необходимостью использования механизмов адвокатского расследования. Например, для установления фактической и юридической аффилированности, выявления фактов привлечения к административной и уголовной ответственности, анализа текущего финансового состояния лица используются методики «пробива подозреваемых» – целенаправленной деятельности по поиску, анализу и обобщению информации о физических и юридических лицах путем использования открытых источников. Адвокатский опрос и адвокатский запрос позволяют зафиксировать значимую информацию для дальнейшего процессуального использования, а обращение к сведущим лицам – частным детективам, оценщикам, психологам – эффективный путь получения новой информации.
Экспресс-советы для предпринимателя
Лучшее лекарство от корпоративного мошенничества – введение эффективной системы внутреннего контроля. Создание четких механизмов согласования юридически значимых действий, прозрачный и упорядоченный документооборот, повышение профессиональных компетенций службы собственной безопасности и комплексная проверка контрагентов и кандидатов на потенциально опасные должности – действия по минимизации рисков корпоративного мошенничества.
Например, для аналитико-информационной проверки частных лиц и компаний можно использовать открытые интернет-ресурсы, социальные сети, телеграмм-боты и умный поиск Яндекс и Google. В целях эффективного выполнения данных действий необходимо предусмотреть в штате организации должность аналитика либо возложить указанные обязанности на представителей юридического департамента или службы безопасности.
Кроме того, необходимо создать и другие условия для усиления корпоративной безопасности – минимизация обращения наличности в компании и предоставление возможности для сотрудников – анонимно сообщить о мошеннических действиях коллег.
При этом немаловажное значение имеет информационная гигиена компании – хранение данных в «облаках» или на удаленных, в том числе зарубежных серверах. Разработка и принятие политики конфиденциальности также смогут оказать положительное влияние на корпоративную безопасность фирмы.
Таким образом, отдельные форензик-инструменты используются адвокатами ежедневно, однако без консолидации в отдельное направление юридической помощи – расследование корпоративного мошенничества. В то же время потребность бизнеса налицо – проведение профессионального, независимого и объективного расследования позволит не только защитить компанию, но и сэкономить время и деньги предпринимателя.
Искусство форензики. Теория, книги, курсы, полезные материалы
Содержание статьи
Форензика как наука о расследовании киберпреступлений
Вообще, «форензика» — это калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science, «судебная наука», то есть наука об исследовании доказательств. В русском это понятие чаще называют криминалистикой, а слово «форензика» закрепилось за компьютерной ее частью.
Форензика — это удел спецов из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка конфиденциальной информации, шифрование ценных данных и тому подобные проблемы. Перед экспертами-криминалистами в таком случае ставятся следующие задачи:
Отдельно в этой цепи существует этап формирования экспертного заключения по факту инцидента ИБ. К примеру, для судебных органов или иных компетентных в расследовании инцидента структур.
Сейчас все больше крупных компаний из тех, что имеют свой бренд услуг ИБ, в обязательном порядке заводят специализированную лабораторию и штат из нескольких экспертов по форензике. Также форензика часто идет в составе услуг компаний, которые далеки от сферы ИТ и занимаются, к примеру, финансовым аудитом. Ведь при расследовании финансового мошенничества до 100% всех доказательств может содержаться в компьютерных системах (ERP, CRM, BI, BPM и так далее).
Ну и конечно, эксперты по форензике — это неотъемлемая часть «управления К». Ведь чтобы возбудить уголовное дело по фактам компьютерных преступлений, сначала по нормам законодательства необходимо подтвердить сам факт преступления и определить его состав. Аналогично, если пострадавшая сторона обращается в суд за взысканием ущерба, возникшего из-за взлома, — тут уже без экспертизы никак не обойтись.
Отдельная тема — расследование целенаправленных атак, или APT. Их суть сводится к взлому целевых систем с использованием разнообразных векторов атак, инструментов, изощренных техник и методов, неизвестных до настоящего момента. На эту тему, кстати, в нашем журнале есть несколько добротных статей, вот тут с разбором двух кейсов, недавней историей со Сбербанком и небольшой теорией тут и тут.
Стоит ли говорить, что таски на форензику традиционно присутствуют и в CTF? Поэтому без знания хотя бы базовых техник расследований не обойтись. Кому интересно, есть примеры разбора тут и вот тут. А некоторые часто используемые тулзы, идущие в ход на CTF, мы рассмотрим чуть ниже.
Классификация
Любая наука склонна делиться на более мелкие темы. Чтобы окончательно почувствовать себя в институте, давай прикинем карту классификации нашего предмета.
Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.
Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннели и тому подобное.
Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.
Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.
Hardware forensic — экспертиза аппаратного обеспечения и технических устройств (примеры тут, тут и еще тут, все ссылки — на PDF). Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), ресерч специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.
Методы и техники экспертизы
Как и в случае с анализом малвари, есть два основных подхода к экспертизе взломанной машины — статический и динамический анализ. Задачи статического анализа — создать (скопировать) образ жесткого диска или дампа оперативной памяти, выявить и восстановить удаленные файлы, остатки аномальных файлов в %TEMP% и системных директориях, собрать историю серфинга веб-браузера, системные логи (события авторизации, аудит доступа к файлам и директориям и так далее), получить список запущенных в памяти процессов и открытых коннектов сети.
Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.
Есть неплохая статейка (PDF) на английском языке, где вкратце описываются и сравниваются эти методы. И еще одна обзорная публикация — на небезызвестном портале InfoSec Resources.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок
Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.
Дистрибутивы
Начнем обзор утилит со специализированного дистрибутива, содержащего большинство утилит, фреймворков и средств для криминалистического анализа.
Digital Evidence & Forensics Toolkit: DEFT Linuix
Этот дистрибутив разработан на платформе Lubuntu и оснащен удобным графическим интерфейсом. Кроме того, в продукт добавлен набор профильных утилит, начиная от антивирусов, систем поиска информации в кэше браузера, сетевыми сканерами и утилитами для выявления руткитов и заканчивая инструментами, необходимыми при проведении поиска скрытых на диске данных.
Основное предназначение — проведение мероприятий по форензике — анализа последствий взлома компьютерных систем, определения потерянных и скомпрометированных данных, а также для сбора т.н. цифровых доказательств совершения киберпреступлений.
Фреймворки
Одним из самых популярных фреймворков является Volatility Framework — фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM).
Извлекаемые данные:
DFF (Digital Forensics Framework) — фреймворк для криминалистического анализа, интерфейсы представлены как в виде командной строки, так и GUI. DFF можно использовать для исследования жестких дисков и энергозависимой памяти и создания отчетов о пользовательских и системных действиях.
PowerForensics предоставляет единую платформу для криминалистического анализа жестких дисков в реальном времени.
Sleuth Kit (TSK) — это набор средств командной строки для цифровой судебной экспертизы, которые позволяют исследовать данные томов жестких дисков и файловой системы.
MIG: Mozilla InvestiGator — это платформа для проведения оперативных исследований на удаленных конечных точках. Фремйворк позволяет исследователям параллельно получать информацию из большого количества источников, ускоряя тем самым расследование инцидентов и обеспечение безопасности повседневных операций.
bulk_extractor — позволяет извлекать информацию с помощью специальных сканеров (почта, номер кредитной карты, GPS координаты, номера телефонов, EXIF данные в изображениях). Быстрота работы достигается за счет использования многопоточности и работы с жестким диском «напрямую».
PhotoRec — мультисистемная платформа для поиска и извлечения файлов с исследуемых образов операционных систем, компакт-дисков, карт памяти, цифровых фотокамер и т.д. Основное предназначение — извлечение удаленных (или утраченных) файлов.
Анализ сетевого взаимодействия
SiLK (System for Internet-Level Knowledge) — предназначен для эффективного сбора, хранения и анализа данных сетевого потока. SiLK идеально подходит для анализа трафика на магистрали или границе крупного, распределенного предприятия или провайдера среднего размера.
Wireshark — этот сетевой анализатор пакетов (или сниффер) может быть эффективно использован для анализа трафика (в том числе и вредоносного). Один из популярнейших инструментов. Функциональность, которую предоставляет Wireshark, очень схожа с возможностями программы tcpdump, однако Wireshark имеет графический пользовательский интерфейс и гораздо больше возможностей по сортировке и фильтрации информации. Программа позволяет пользователю просматривать весь проходящий по сети трафик в режиме реального времени, переводя сетевую карту в неразборчивый режим (promiscuous mode).
Материал для изучения
Для того чтобы проводить те или иные действия по анализу данных необходимо иметь базис теоретического материала по расследования киберпреступлений. Для этого я рекомендую ознакомиться со следующими изданиями:
Практические площадки
Для тестирования вышеперечисленного инструментария можно воспользоваться специализированными платформами или образами для анализа, представленными на визуализированой mindmap. В качестве первых образцов для тренировки рекомендую: