Перевірки бізнесу (частина 2). Дізнаємося тонкощі. А якщо обшук?

Осінь багата на події у сфері інформаційної безпеки. Вже традиційно Торгсофт^® відвідав конференції, присвячені різним аспектам цієї теми, - Hack IT в Харкові та UISGCON в Києві. На конференції Hack IT нам вдалося взяти інтерв'ю у Віталія Балашова, судового експерта, екскерівника лабораторії цифрової криміналістики Харківського НДІ судових експертиз ім. Засл. проф. М. С. Бокаріуса, національного експерта ОБСЄ - тренера кіберполіції України у напрямку Цифрова Криміналістика.

На тему "Які бувають перевірки, чому приходять і що робити?" ми написали чудову статтю, з якою Ви можете ознайомитись тут.

З Віталієм ми вирішили розглянути питання з іншого боку і подивитись "за кулісу" проведення кримінального провадження. Багатьом знайома фраза "маски-шоу", зі зведень новин ми чуємо тільки фрагменти: "увірвалися", "вилучили", "порушена працездатність компанії". Поки це не стосується особисто, думати та заглиблюватися в це не хочеться. Але знати, що ж відбувається, ми вважаємо, необхідно.

Інформація, наведена нижче, побудована на основі нашої бесіди з Віталієм. В ній - накопичений досвід роботи Віталія як судового експерта. І трохи рекомендацій від Торгсофт^®.

Отже, ми розглянемо ситуацію, коли щось пішло з рук геть погано, і в офіс (на підприємство, склад, службове приміщення і т. д.) без запрошення і з грізними заявами "приходять в гості". Стоять на порозі і стукають в двері.

За поріг непроханих гостей можемо не пускати, поки не побачимо підставу їхнього візиту.

Підставою потрапити в приміщення, в такому випадку, може бути тільки рішення суду. У рішенні повинна бути чітко вказана адреса проведення перевірки, обшуку. Також варто приділити увагу терміну постанови. Якщо дані в постанові не відповідають дійсності, візитерів маємо право не пускати.

Не рідкісними є випадки, коли на територію намагаються потрапити обманним шляхом, якщо законних підстав на те немає, розраховуючи на незнання законів представниками бізнесу.

Порада №1: в штат добре б найняти юриста. Якщо такої необхідності/ можливості немає, то можна заручитися підтримкою юридичних фірм, які працюють у Вашому місті, і їх фахівець приїде після першого дзвінка. 95% подібних ситуацій може вирішити грамотний юрист.

Рішення суду, з яким приходять на обшуки, оскарженню не підлягає.

Варто розуміти: якщо на територію підприємства вже зайшли, то забезпечувати працездатність бізнесу і збереження інформації вже пізно, тому слід провести ряд превентивних заходів для запобігання втрати даних і зупинки бізнесу.

Порада №2: до форс-мажорних ситуацій треба готуватися заздалегідь.

1. Найважливіше, що ми повинні зберігати і захищати, - це інформаційну систему, електронні документи. А для цього - робіть архіви. Це аксіома, і немає нічого надійнішого, ніж архів. Ми рекомендуємо зберігати архів в хмарному сховищі (такому, як Google Drive). Для автоматичного архівування бази даних можете скористатися нашою функцією Безпека даних: архів у хмарі. Фахівці з інформаційної безпеки рекомендують шифрувати дані, перш ніж відправляти їх в хмарне сховище (якщо Вам цікаво дізнатися, як це зробити, наша технічна підтримка розповість або підкаже). А зараз дайте собі відповідь на питання: коли Ви (або Ваш співробітник) останній раз робили архів критично важливих даних і де він зберігається? На нашому сайті є стаття, присвячена створенню архіву БД Торгсофт^®, а також відеоурок на цю тему.

2. Заздалегідь подумайте, де буде знаходитись Ваш сервер. Одне з найбільш надійних рішень, на думку експерта, - оренда віддаленого сервера за кордоном. В такому випадку ймовірність того, що буде перервана робота торгових точок, зменшиться. Рекомендуємо звернути увагу на послуги нашого партнера - VPSNow - багато користувачів Торгсофт^® давно і успішно використовують його потужності.

3. Мінімальний набір документів, який мусить бути в порядку і правильно оформлений. Про це ми також писали тут.

Порада №3: з моменту входу сторонніх осіб на територію підприємства, включайте відеокамеру смартфона і все записуйте. Заборонити це не мають права. Правда, мають право забрати смартфон, як засіб зв'язку, тому що на час проведення подібних слідчих дій Ваші конституційні права тимчасово обмежуються. Тому краще тримати в офісі чергову відеокамеру.

Порада №4: не залишайте контролерів сам на сам з інформацією, фіксуйте те, що відбувається на камеру: всі невідповідності, дії, які здалися неправомірними, нюанси та тонкощі необхідно внести в протокол, згодом - повідомити про них своєму юристу або адвокату.

Пам'ятайте, що вилученню підлягає тільки те, що прописано в постанові. Але там явно завжди вказана комп'ютерна техніка, тому якщо сервер знаходиться на території проведення обшуку, то його забирають. Нагадаємо, що Рада відправила на доопрацювання законопроєкт № 3719 про заборону вилучення серверів.

Нюанс: якщо допускається можливість, що в ПК може бути "дописана" або видозмінена поточна інформація, то необхідно зробити копію, повний "зліпок" системи засобами програми FTK Imager. Ми розуміємо і усвідомлюємо, що в такі моменти зовсім не до копій, але якщо є побоювання і підозри, що інформація може бути перекручена, наш експерт рекомендує зробити копію (образ) і записати hash-суму в протокол. Hash-сума образу не змінюється, якщо в нього не вносити зміни. Якщо зміни в образ внесені, контрольна сума буде іншою, - це є вичерпним доказом того, що дані на ПК невірогідні та були змінені. Згодом вилучені дані не можуть використовуватися як доказ.

Порада №5: в штаті мусить бути системний адміністратор. Це та людина, яка зніме "головний біль" про те, що потрібно регулярно робити архіви, як зробити зліпок системи за допомогою FTK Imager, і де шукати цю контрольну суму.

Якщо сервер знаходиться на віддаленому комп'ютері, все простіше. Вилучити його буде складно, доступ до нього можна в стресовій ситуації "забути" або фактично обмежити.

Порада №6: не зберігайте ярлики доступу до сервера на робочому ПК зі збереженим в ньому паролем, а також паролі в блокноті або в іншому відкритому вигляді. Для зберігання паролів є спеціальні програми, такі як Keepass.

Не варто виключати можливість того, що доступ до сервера можна отримати у хостингової компанії, де орендуються послуги віртуального сервера. Співробітники хостингової компанії дбайливо зберігають дані своїх клієнтів і спираються на політику про нерозголошення, але якщо є рішення суду, то суперечити вони не зможуть

Тому, щоб не втратити всі дані, згадуємо Пораду № 2, пункт 1.

На думку Віталія, найкращим рішенням, в цьому випадку, є наймання грамотного технічного фахівця, який, виходячи з інфраструктури підприємства, спланує створення відмовостійкої системи. Як приклад, створення дубліката сервера, на якому можна відновити дані з актуального архіву в стислі терміни.

Чи надовго можуть забрати техніку?

Експертиза (за правилами) повинна тривати від 10 до 90 днів, в залежності від складності проведених досліджень і кількості досліджуваних об'єктів, або більше в особливих випадках. Як показує практика, без техніки можна залишитись на кілька місяців. Пов'язано це не з бюрократизацією даного процесу, а з кількістю експертиз інформаційних систем, які стоять перед експертами.

Стаття 63 Конституції України залишає за людиною право не давати показання та пояснення щодо себе, членів родини та близьких родичів. Про це варто пам'ятати. Але якщо інстинкт самозбереження не дозволить дати себе образити, то тут варто взяти до уваги участь третіх осіб, тобто слова співробітників, партнерів.

Порада №7: проведіть інструктаж зі своїми співробітниками, обговоріть, яка інформація не може бути розголошена. Підпишіть зі своїми співробітниками та партнерами Положення про нерозголошення. Ізолюйте знання про критично важливі об'єкти інфраструктури підприємства від співробітників (наприклад, де зберігаються документи, сервер і т. п.).

Чи є база даних доказом?

Сама по собі БД не буде доказом, вона є об'єктом експертного дослідження, і в рамках експертизи буде піддана певному аналізу. Висновок експерта щодо цієї бази даних і інформація, що міститься в ній, буде джерелом доказів. Отже, іноді варто заздалегідь повідомити про недостовірні дані, що містяться в БД. Сама БД не буде доказом, вона буде об'єктом експертного дослідження. Якщо Ви, наприклад, вводили тестові, недостовірні дані для тестування програми, про це необхідно повідомити. В такому випадку, завданням слідчого буде довести, що дані відповідають реальному стану справ і відносяться до справи.

Підсумовуючи все вищеописане:

• Заведіть знайомство з хорошим юристом, обговоріть з ним стан справ, структуру Вашого підприємства, продумайте (а краще пропишіть на рівні наказу по підприємству), що робити в форс-мажорних ситуаціях, передайте цю інформацію своїм співробітникам.
• Найміть системного адміністратора, точково контролюйте збереження даних, підтримуйте впровадження правил інформаційної безпеки в бізнесі.
• Не розголошуйте третім особам комерційну і критично важливу інформацію, яка може бути використана проти Вас.
• А ще підписуйтесь на наші новини в соціальних мережах і будьте в курсі останніх новин у світі обліку, бухгалтерії та підприємництва. Якщо щось піде не так, ми попередимо!