Этот модуль является ресурсом для лекторов
Допустимость цифровых доказательств
Для обеспечения допустимости цифровых доказательств в суде должны быть соблюдены определенные правовые и технические требования (Antwi-Boasiako and Venter, 2017). Что касается правовых требований, то суд рассматривает такие вопросы, как наличие законного разрешения на производство обыска и изъятия устройств информационно-коммуникационных технологий и связанных с ними данных, а также относимость к делу, подлинность, целостность и достоверность цифровых доказательств (Antwi-Boasiako and Venter, 2017). При рассмотрении вопроса о соответствии техническим требованиям суд критически оценивает процедуры и инструменты цифровой криминалистики, использованные для извлечения, сохранения и анализа цифровых доказательств; лаборатории цифровой судебной экспертизы, в которых проводятся анализы; отчеты экспертов по цифровой криминалистике; и академические и профессионально-технические квалификации экспертов по цифровой криминалистике и свидетелей-экспертов (если это необходимо) (Antwi-Boasiako and Venter, 2017). В 2017 году Антви-Боасиако (Antwi-Boasiako) и Вентер (Venter) разработали структуру под названием Унифицированная модель оценки допустимости цифровых доказательств ( Harmonized Model for Digital Evidence Admissibility Assessment (HM -DEAA )), которая включает в себя основные технические и юридические требования, определяющие допустимость доказательств. В частности, модель HM-DEAA предусматривает три этапа для оценки допустимости доказательств, включая этапы оценки, рассмотрения и принятия решения в отношении допустимости цифровых доказательств. Модель HM-DEAA описывается в следующем разделе данного модуля, чтобы подробно проиллюстрировать правовые и технические требования, которые широко используются в разных юрисдикциях для обеспечения допустимости цифровых доказательств в национальных судах.
Оценка цифровых доказательств
На этом этапе суды определяют, были ли использованы надлежащие законные разрешения на производство обыска и изъятие устройств информационно-коммуникационных технологий (ИКТ) и связанных с ними данных. К законным разрешениям относятся ордер на обыск, распоряжение суда или повестка в суд. Тип юридического документа, необходимый для изъятия устройств ИКТ и связанных с ними данных, варьируется в зависимости от юрисдикции и определяется национальным законодательством (см. модуль 7 Серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью»). Однако в большинстве стран для изъятия устройств ИКТ в качестве такого юридического документа в основном используется ордер на обыск. Тем не менее, национальные законы разных стран различаются в отношении требований к законным распоряжениям в зависимости от обстоятельств дела, обстоятельств, в которых производятся обыск и изъятие, и полномочий лиц, производящих обыск (см. модуль 7 Серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью» для получения дополнительной информации о законных распоряжениях, необходимых для доступа к данным, в разных юрисдикциях).
На этом этапе также оценивается значимость цифровых доказательств с точки зрения криминалистики. Значимость с точки зрения криминалистики определяется тем, могут ли цифровые доказательства: установить или исключить связь между преступником и мишенью (например, жертвой, цифровым устройством, веб-сайтом и т.д.) и/или местом преступления (местом, где было совершено преступление или киберпреступление); подтвердить или опровергнуть показания преступника, потерпевшего и/или свидетеля; установить личность исполнителя (исполнителей) киберпреступления; позволить выдвинуть следственные версии; обеспечить получение информации о способе действий (способе совершения преступления ( modus operandi или M.O.)), использованном преступником (т.е. о привычках, методах и особенностях поведения преступника); и показать, что преступление действительно имело место (указать на состав преступления ( corpus delicti)) (Maras, 2014; Maras and Miranda, 2014).
Знаете ли вы?
Цифровые доказательства могут помочь выявить характерные признаки поведения (почерк) киберпреступников, таких как разработчики вредоносных программ и хакеры (Casey, 2011). Почерк преступника - это распознаваемый и различимый характер деятельности (например, конкретные методы, инструменты и прозвище), который можно отнести на счет конкретного источника, и который обеспечивает киберпреступнику определенное психологическое или эмоциональное удовлетворение (например, одобрение и признание со стороны коллег) (Casey, 2011).
Рассмотрение цифровых доказательств
На этом этапе оценивается целостность цифровых доказательств путем изучения процедур и инструментов цифровой судебной экспертизы, использованных для получения доказательств, компетенции и квалификации экспертов по цифровой криминалистике, которые получили, сохранили и проанализировали цифровые доказательства (компетенция и квалификации экспертов варьируются в зависимости от конкретной страны, см. модуль 5 Серии модулей по киберпреступности: «Расследование киберпреступлений»), и лабораторий цифровой судебной экспертизы, где рассматривались и исследовались доказательства (US National Institute of Justice; 2004a; Maras, 2014). По сути, цель такой оценки заключается в том, чтобы определить, использовались ли научные принципы для сохранения, получения и анализа цифровых доказательств, и соблюдались ли стандарты при обращении с цифровыми доказательствами и их исследовании (например, были ли инструменты цифровой криминалистики аттестованы, были ли они современными, поддерживались ли они в исправном состоянии и испытывались ли они перед использованием, чтобы обеспечить их надлежащее функционирование).
Эксперты по цифровой криминалистике дают показания в суде, чтобы рассказать о своей квалификации и разъяснить следующие вопросы: как работают цифровые устройства, Интернет-платформы и другие источники, связанные с ИКТ; процесс цифровой судебной экспертизы; почему использовался тот или иной инструмент цифровой криминалистики, а не другие инструменты; каким образом были сохранены, получены и проанализированы цифровые доказательства; толкование результатов проведенного анализа и точность этих толкований; и любые изменения данных, которые имели место, и почему они имели место (US National Institute of Justice; 2004a; Maras, 2014).
Кроме того, оценивается квалификация экспертов по цифровой криминалистике, чтобы установить компетенцию лиц, которые обращаются с цифровыми доказательствами и анализируют их. Такая компетенция имеет важное значение для обеспечения качества результатов выполняемой работы и укрепления доверия к этим результатам ( SWGDE Overview of the Accreditation Process for Digital and Multimedia Forensic Labs, 2017). Однако при этом не существует никаких универсальных стандартов компетенций для экспертов по цифровой криминалистике. Требования, предъявляемые к квалификации экспертов в области цифровой криминалистики, варьируются в зависимости от конкретной страны (УНП ООН, 2013). В некоторых случаях сертификация экспертов в области цифровой криминалистики является обязательной, в других случаях она не требуется; это зависит от юрисдикции (УНП ООН, 2013). Таким образом, на этом этапе оценивается, обладают ли эксперты необходимой квалификацией, чтобы выступать в качестве свидетеля-эксперта и/или проводить необходимое исследование устройств ИКТ и связанных с ними данных. Кроме того, определяется, были ли подтверждены и проверены компетенции этих экспертов и аналитиков.
Знаете ли вы?
База данных Daubert Tracker, получившая такое название в честь разбиравшегося в США дела Daubert v. Merrell Dow Pharmaceuticals Inc. (1993), содержит критерии, которые используют суды США для определения надежности судебной экспертизы или достоверности доказательств, предъявляемых в суде, и отслеживает судебные дела, опубликованные и не опубликованные в сборниках судебных решений, при разбирательстве которых были оспорены методы, использованные экспертами, и их квалификация (Maras, 2014).
Также изучаются стандарты и протоколы лаборатории цифровой судебной экспертизы, чтобы определить компетентность лаборатории, необходимую для обращения с цифровыми доказательствами и их анализа и для получения достоверных результатов. В частности, оценивается, «использует ли лаборатория надежные методы, надлежащее оборудование и программное обеспечение, компетентный персонал, и выводит ли она обоснованные заключения» (SWGDE Overview of the Accreditation Process for Digital and Multimedia Forensic Labs, 2017, p. 4). Выполнению такой оценки может способствовать аккредитация, которая является «инструментом для повышения качества, оценки эффективности работы, проведения независимой экспертизы деятельности, соблюдения установленных стандартов и служит делу поощрения, стимулирования и поддержания высочайших стандартов практики судебной экспертизы» (Barbara, 2012). Несмотря на то что стандарт ИСО/МЭК 17025 «принят с целью стандартизации лабораторий во всем мире с точки зрения результатов испытаний, контроля качества [и] калибровки», его поддерживают не все участники сообщества экспертов по цифровой криминалистике (Merriott, 2018). Кроме того, хотя аккредитация обеспечивает необходимые механизмы надзора и подотчетности для обеспечения соблюдения стандартов практики судебной экспертизы ( SWGDE Myths and Facts about Accreditation for Digital and Multimedia Evidence Labs, 2017), она не практикуется повсеместно. Например, в Соединенных Штатах аккредитация является обязательной в некоторых штатах, но не во всех (Barbara, 2012). В Великобритании организации, занимающиеся цифровой криминалистикой, аккредитует Регулятор судебной экспертизы (Forensic Access, 2017), в то время как в Южной Африке уполномоченным национальным органом по аккредитации является Южноафриканская национальная система аккредитации (SANAS, 2016; см. Закон №19 от 2006 г. «Об аккредитации оценки соответствия, калибровке и надлежащей лабораторной практике»).
Принятия решения в отношении допустимости цифровых доказательств
На этом этапе подлинность, целостность и достоверность цифровых доказательств оценивается на основе результатов оценки процедуры цифровой судебной экспертизы, проведенной на предыдущем этапе (т.е. на этапе рассмотрения цифровых доказательств); например, оценивается использование надежных с точки зрения криминалистики методов и инструментов для получения цифровых доказательств и показания свидетелей-экспертов и экспертов по цифровой криминалистике для подтверждения подлинности, целостности и достоверности этих доказательств (Antwi-Boasiako and Venter, 2017; US National Institute of Justice, 2004a). Цифровое доказательство является допустимым, если оно устанавливает фактические обстоятельства дела, остается без изменений на протяжении всего процесса цифровой судебной экспертизы, а результаты экспертизы являются достоверными, надежными и прошли экспертную оценку (Brezinski and Killalea, 2002; US National Institute of Justice, 2004a; European Network of Forensic Science Institute, 2015). Для того чтобы результаты были признаны допустимыми, они должны толковаться непредвзято, и должна быть раскрыта информация об ошибках и неопределенностях в результатах, а также ограничениях в толковании результатов (Brezinski and Killalea, 2002; European Network of Forensic Science Institute, 2015).
Таким образом, эта трехэтапная модель объединяет общие правовые и технические требования в отношении допустимости доказательств в разных юрисдикциях (Antwi-Boasiako and Venter, 2017). Стандартизация практики цифровой судебной экспертизы является ключом к обеспечению допустимости цифровых доказательств в разных странах. Учитывая транснациональный характер киберпреступности, унификация практических методов проведения цифровой судебной экспертизы не только имеет первостепенное значение для расследования киберпреступлений, но также является необходимой для осуществления международного сотрудничества по делам, связанным с киберпреступностью (рассматривается в модуле 7 Серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью»).
Поиск электронных документов (Electronic Discovery)
Так же, как и цифровая судебная экспертиза, поиск электронных документов (e-Discovery) представляет собой процесс, при котором осуществляется «поиск цифровых доказательств, определяется их местонахождение, обеспечивается их coхранность и просмотр с целью использования их в качестве доказательств в судебном процессе» (Lawton, Stacey, and Dodd, 2014, p. 4). Однако существуют ключевые различия между цифровой судебной экспертизой и поиском электронных документов. В отличие от цифровой судебной экспертизы, поиск электронных документов в первую очередь сосредоточен на сохранении данных в целях отчетности (наиболее экономически эффективным способом) и для выполнения правовых требований в отношении представления цифровых доказательств в ходе судебного разбирательства, когда это необходимо сделать по решению суда.
Хотите знать больше?
Lawton, D., R. Stacey, and G. Dodd. (2014). eDiscovery in digital forensic investigations . UK Home Office. CAST Publication Number 32/14.
Далее: Заключение
Наверх