ПОШИРЕНІ ЗАПИТАННЯ
Адвокатам-практикам на допомогу:
Помилки у висновках комп’ютерно-технічної експертизи телефона та їх використання в доказуванні таке цифрові докази?
Інформаційні технології кардинально змінили всі аспекти життя, суттєво скоротивши комунікаційні відстані між країнами, корпораціями та індивідами. Сьогодні електронні пристрої настільки інтегровані в наше життя, що майже кожне місце злочину містить один або кілька цифрових носіїв інформації — мобільні телефони, ноутбуки, ПК, планшети чи інші гаджети. Ці пристрої зберігають численні цифрові докази, такі як електронні листи, текстові повідомлення, файли, відео, публікації в соціальних мережах тощо. Такі цифрові сліди стають невід’ємною частиною кримінальних розслідувань, що підкреслює необхідність глибокого розуміння їх специфіки не лише для експертів, але й для адвокатів.
Цифрові докази, на відміну від традиційних речових доказів, є значно складнішими для ідентифікації, збору, аналізу та інтерпретації. Їхній потенціал для використання в суді обумовлений багатьма технічними та правовими факторами, включно з можливістю спотворення інформації, порушенням ланцюга зберігання чи неправильним тлумаченням даних. Для адвокатів це становить як виклик, так й можливість: технічні складнощі та упередження в роботі цифрової криміналістики можуть стати як бар’єром, так й інструментом для виявлення слабких місць у доказах обвинувачення.
Цифрова криміналістика є наукою, яка застосовує спеціалізовані методи й інструменти для вилучення та аналізу даних із цифрових носіїв. Цей процес починається зі збору й захисту доказів, щоб запобігти їх зміні чи втраті. Далі використовуються методи для відновлення прихованої, видаленої або зашифрованої інформації. На етапі аналізу здійснюється перевірка автентичності даних, виявлення можливих змін чи підробок, а також реконструкція цифрової активності. Підсумком цього процесу є формування експертного висновку, що може бути представлений у суді.
Однак навіть досвідчені фахівці можуть припускатися типових помилок, які ставлять під сумнів надійність та достовірність досліджень. Далі розглянемо поширені помилки, які трапляються під час проведення експертиз у сфері цифрової криміналістики, на прикладі конкретного випадку.
Під час проведення комп’ютерно-технічної експертизи мобільного телефону (апарату мобільного зв’язку — АМЗ) експерт здійснив його дослідження. У результаті експертизи було успішно подолано систему логічного захисту пристрою, отримано дані про програмне забезпечення телефону, а також здійснено вибіркове копіювання файлів та інформації, пов’язаної з обміном повідомленнями в інтернет-месенджерах. Ця інформація була перенесена на зовнішній носій для подальшого аналізу.
Детальним аналіз встановлено такі проблеми:
1. Конфлікт інтересів.
Експертом було призначено співробітника тієї ж служби, але з іншого відділу.
Згідно з частиною 2 статті 69 КПК України: «Не можуть бути експертами особи, які перебувають у службовій або іншій залежності від сторін кримінального провадження або потерпілого».[2] Це викликає сумніви у неупередженості висновків, адже навіть перебування в одній установі може свідчити про потенційний конфлікт інтересів.
2.Невідповідність мети дослідження.
Завдання полягало не у зламі логічного захисту, а лише в інформуванні органу, який призначив експертизу, щодо можливості його подолання. Однак експерт за власною ініціативою [1,2,3]:
- підключився до АМЗ та подолав систему захисту;
- не задокументував інформаційного наповнення телефону (файли, програми);
- не виконав обчислення контрольних хеш-сум;
- не описав методів пошуку та ідентифікації отриманих даних;
- не зазначив засобів, використаних для копіювання, стиснення чи перенесення файлів.
Такі недоліки ставлять під сумнів достовірність результатів.
3. Використання нерелевантних методик.
Зазначені у висновку методики не містили опису процедур для виконання такого виду досліджень, а наведені джерела не зареєстровані Міністерством юстиції України. [1,3] Зокрема:
-
Відсутні конкретні методики, що описують використання перелічених апаратних засобів.
-
Не надано інформації про ліцензійність програмного забезпечення.
-
У висновку немає чітких посилань на застосовані методики.
4 .Відсутність опису обладнання.
Захист телефону був подоланий із застосуванням апаратної системи, яка не була описана у висновку. Це свідчить про відсутність документованих алгоритмів роботи з пристроєм та ставить під сумнів дотримання стандартів цифрової криміналістики. [1,3,4,5]
5. Вибіркове вилучення даних.
Експерт здійснив вибіркове копіювання даних із окремих папок замість вилучення повного обсягу інформації. Це стало наслідком використання неатестованого обладнання, неліцензійного ПЗ та недотримання методологічних вимог законодавства, що призвело до втрати важливих доказів.[1,3]
Висновок:
Виявлені помилки під час проведення експертизи мобільного пристрою свідчать про порушення як технічних, так й процедурних стандартів, що унеможливлює належну перевірку доказів на їх цілісність та достовірність. Для забезпечення об’єктивності та ефективності експертиз необхідно дотримуватися встановлених стандартів, використовувати ліцензійне програмне забезпечення, атестоване обладнання та чітко документувати кожен етап дослідження.
ВИКОРИСТАНІ НОРМАТИВНО-ПРАВОВІ АКТИ ТА ЛІТЕРАТУРА
1. Закон України «Про судову експертизу»(Відомості Верховної Ради України (ВРР), 1994, N 28, ст.232, з наступними змінами; далі - Закон). URL: https://zakon.rada.gov.ua/laws/show/4038-12#Text
2.Кримінальний процесуальний кодекс України (Відомості Верховної Ради України (ВВР), 2013, № 9-10, № 11-12, № 13, ст.88).
3. Інструкція про призначення та проведення судових експертиз та експертних досліджень та Науково-методичні рекомендації з питань підготовки та призначення судових експертиз та експертних досліджень, затверджених наказом Міністерства юстиції України від 08.10.1998 №53/5, (далі – Інструкція №53/5).
4. ДСТУ ISO/IEC 2382:2017 Інформаційні технології. Словник термінів (ISO/IEC 2382:2015, IDT), затверджений наказом Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 19.12.2017 №429 «Про прийняття національних нормативних документів, гармонізованих з європейськими та міжнародними нормативними документами, та скасування чинності національних нормативних документів».
5. ISO/IEC 27037:2012 «Інформаційні технології. Методи забезпечення безпеки. Настанови щодо ідентифікації, збору, отримання та забезпечення збереження електронних доказів».