🧠 Введение

В современном цифровом мире компьютерно-техническая экспертиза (КТЭ) стала одним из самых востребованных видов судебных исследований для организаций. 💻 Она назначается в рамках арбитражных, гражданских и уголовных дел, связанных с хищением данных, кражей интеллектуальной собственности, неправомерным доступом к корпоративным системам, нарушениями трудовой дисциплины (использование рабочего времени в личных целях), а также при спорах о качестве поставленного ПО, оборудования и услуг по информационной безопасности. Однако ключевой момент, который определяет успех всей экспертизы, — это правильная постановка вопросов. От того, насколько грамотно, юридически корректно и технически достижимо сформулированы вопросы, зависит, сможет ли эксперт дать исчерпывающие ответы, которые станут основой для судебного решения. Слишком общие вопросы («Что произошло?») могут привести к расплывчатым ответам; слишком узкие («Был ли нажат Enter в 14:32:15?») — к игнорированию контекста; а технически невыполнимые («Был ли взлом?») — к отказу эксперта дать ответ. Для организаций важно понимать, какие именно вопросы следует ставить перед экспертом, чтобы получить максимально полезное и доказательное заключение. Союз «Федерация судебных экспертов» на протяжении многих лет проводит компьютерно-технические экспертизы для организаций различного профиля — от банков и страховых компаний до производственных предприятий и IT-стартапов. Данная статья посвящена тому, какие вопросы ставят перед экспертом при компьютерно-технической экспертизе для организаций. Мы разберем не только типовые группы вопросов (по видам экспертиз и целям), но и процессуальные нюансы их формулирования, а также приведем пять реальных кейсов из практики Союза, где правильно поставленные вопросы сыграли решающую роль. Важно понимать, что КТЭ — это не просто «извлечение файлов» или «просмотр истории браузера». Это комплексное исследование, включающее анализ файловой системы, реестра, логов системы и приложений, сетевого трафика, временных меток, криптографических ключей, а также восстановление удаленных данных. Вопросы должны быть адаптированы к конкретной ситуации: инцидент информационной безопасности, трудовой спор, налоговое правонарушение, коммерческий шпионаж или гражданско-правовой спор о контрафактном ПО. Эксперт Союза может ответить на вопросы о фактах (было ли, когда, кем), о способах (как именно), о причинах (почему произошло, была ли ошибка в ПО), о последствиях (какой ущерб, какие данные были скомпрометированы). Однако вопросы не должны касаться правовой квалификации (виновен ли, было ли преступление) — это прерогатива суда. В статье будет рассмотрено 14 ключевых разделов (включая раздел с кейсами), каждый из которых раскрывает определенный аспект постановки вопросов для КТЭ. Материал будет полезен как юристам и руководителям организаций, так и специалистам по информационной безопасности и системным администраторам, участвующим в подготовке материалов для экспертизы.

📚 Раздел 1. Что такое компьютерно-техническая экспертиза и ее виды

Прежде чем переходить к вопросам, необходимо четко определить, что такое КТЭ и на какие виды она делится. 🧩 Компьютерно-техническая экспертиза — это вид судебной экспертизы, объектами которой являются компьютерные системы, их компоненты (аппаратные, программные, сетевые) и информация, хранимая или передаваемая с их помощью. Эксперты Союза «Федерация судебных экспертов» выделяют несколько основных видов КТЭ в зависимости от задач. Аппаратно-компьютерная экспертиза — исследование физического состояния компьютеров, ноутбуков, серверов, мобильных устройств, носителей информации (жестких дисков, SSD, USB-накопителей, карт памяти). Вопросы к такому эксперту касаются: подлинности оборудования, наличия повреждений, следов несанкционированного доступа, состояния носителей, возможности восстановления данных. Программно-компьютерная экспертиза — исследование ПО, операционных систем, драйверов, приложений, баз данных. Вопросы здесь могут касаться: соответствия ПО заявленным характеристикам, наличия вредоносных программ, настроек безопасности, ошибок в алгоритмах, логов работы приложений. Информационно-компьютерная экспертиза — исследование содержимого данных: файлов, документов, баз данных, электронной почты, интернет-активности, чатов. Вопросы: была ли создана/изменена информация, когда, кем, с какого устройства, не была ли подделана, не была ли стерта. Сетевая экспертиза — исследование сетевых взаимодействий: маршрутизация, соединения, пакеты, протоколы, логи сетевых устройств (маршрутизаторов, файрволов). Вопросы: с какого IP-адреса был осуществлен доступ, какие данные передавались, была ли атака DDoS, была ли попытка проникновения. Комплексная экспертиза — сочетает несколько из перечисленных видов, например, аппаратную и программную, или информационную и сетевую. Для организаций чаще всего требуются именно комплексные экспертизы, особенно в делах о корпоративных инцидентах (взлом, утечка данных, мошенничество). Эксперт Союза всегда уточняет, к какому виду относится его исследование, и в заключении указывает, на какие вопросы он может ответить в рамках своей компетенции.

🛠️ Раздел 2. Общие требования к формулировке вопросов

Как бы ни была сложна задача, формулировка вопросов подчиняется общим требованиям, которые необходимо соблюдать. ⚙️ Эксперты Союза «Федерация судебных экспертов» выделяют несколько ключевых правил. Первое — конкретность и недвусмысленность. Вопрос не должен содержать терминов, которые можно интерпретировать по-разному. Вместо «Было ли совершено хищение данных?» следует спросить: «Имеются ли в предоставленных на исследование данных файлы, созданные в период с 01.01.2024 по 31.01.2024 и содержащие информацию о клиентах организации, которые были скопированы на съемный носитель?» Второе — юридическая значимость. Вопрос должен помогать суду установить обстоятельства дела, а не просто удовлетворять любопытство. Третье — техническая достижимость. Эксперт должен иметь возможность ответить на вопрос, используя существующие методы и предоставленные объекты. Нельзя спрашивать: «Был ли взлом, если файлы на сервере удалены и логи не сохранились?» Четвертое — отсутствие правовых оценок. Нельзя спрашивать: «Виновен ли Сидоров?» или «Было ли это преступлением?» Это компетенция суда. Пятое — хронологическая привязка. Вопросы должны иметь четкие временные рамки («в период с… по…»). Шестое — привязка к объектам. Вопрос должен ссылаться на конкретные файлы, папки, диски, устройства, которые предоставлены на экспертизу (например, «на жестком диске с серийным номером …»). Седьмое — логическая последовательность. Вопросы лучше располагать от общих к частным или по хронологии. Союз «Федерация судебных экспертов» рекомендует заказчикам привлекать юристов и IT-специалистов совместно для формулировки вопросов, чтобы они были одновременно юридически корректны и технически реализуемы.

⚖️ Раздел 3. Вопросы об идентификации и состоянии оборудования

Этот блок вопросов относится к аппаратно-компьютерной экспертизе и часто является первым этапом исследования. 📑 Эксперт Союза «Федерация судебных экспертов» отвечает на вопросы о том, какое именно оборудование было использовано, в каком оно состоянии, не было ли повреждено или модифицировано. Типовые вопросы: «Имеются ли на предоставленном жестком диске (серийный номер …) следы механических повреждений, которые могли привести к утрате данных?», «Соответствует ли предоставленное устройство (ноутбук, системный блок) технической документации, указанной в акте приема-передачи?», «Имеются ли на корпусе системного блока следы вскрытия или несанкционированного доступа (отсутствие пломб, деформация винтов)?», «Соответствуют ли характеристики оперативной памяти (объем, тип, частота) паспортным данным данного компьютера?», «Было ли заменено какое-либо комплектующее в предоставленном компьютере в течение последнего года (по серийным номерам и датам)?». Такие вопросы часто задаются при спорах о поставке некачественного оборудования, о восстановлении данных после пожара или затопления, а также при подозрении на аппаратную закладку (жучок). Эксперт Союза в ответе предоставляет подробный отчет с фотографиями и замерами, подтверждающими его выводы.

🔬 Раздел 4. Вопросы о доступе и аутентификации

Этот блок вопросов критически важен для дел о несанкционированном доступе, хищении данных и нарушении трудовой дисциплины. 🔐 Эксперт Союза «Федерация судебных экспертов» отвечает на вопросы, связанные с тем, кто, когда и с какого устройства получал доступ к корпоративным системам. Типовые вопросы: «Имеются ли в системных журналах (логах) операционной системы записи о входе в систему под учетной записью пользователя «Иванов И.И.» в период с 01.01.2024 по 31.01.2024, и если да, то с каких IP-адресов и в какое время?», «Было ли изменено время входа/выхода из системы с помощью специальных утилит?», «Имеются ли в журналах Active Directory записи об изменении пароля пользователя «Иванов И.И.» за последние 3 месяца и кем было произведено это изменение?», «Соответствуют ли биометрические данные (отпечатки пальцев, лицо), зафиксированные в системе контроля доступа, данным сотрудника организации?», «Имеются ли попытки подбора пароля (брутфорс) к учетной записи администратора за последние 6 месяцев и с каких IP-адресов они осуществлялись?», «Была ли использована двухфакторная аутентификация (2FA) при входах, и если да, то какие именно коды были использованы?». Эксперт Союза может провести анализ логов, метаданных сессий, артефактов реестра и временных файлов, чтобы восстановить картину доступа. В кейсах Союза такие вопросы помогли доказать, что сотрудник заходил в корпоративную базу данных из дома в нерабочее время, что стало основанием для дисциплинарного взыскания.

🧩 Раздел 5. Вопросы о создании, изменении и удалении файлов

Один из самых распространенных блоков вопросов — о манипуляциях с файлами (документами, базами данных, изображениями). 📂 Эксперт Союза «Федерация судебных экспертов» анализирует метаданные файлов, журналы файловой системы, теневые копии (Volume Shadow Copy), а также содержимое диска для восстановления удаленных файлов. Типовые вопросы: «Когда был создан файл «Договор_123_2024.docx», расположенный по пути … ?», «Кем и с какого компьютера был создан и в какое время изменен файл … ?», «Были ли удалены файлы с рабочего стола компьютера сотрудника в период с … по … и можно ли их восстановить?», «Имеются ли в реестре операционной системы записи о том, какие USB-носители подключались к компьютеру в период с … по … и какие файлы были скопированы?», «Были ли файлы базы данных (например, 1С) изменены в период с … по …, и если да, то какие именно записи были изменены и кем?», «Являются ли представленные в суд файлы (их содержание) оригинальными или они были сгенерированы искусственно (например, через редактор PDF)?». Эксперт Союза использует методы хронологического анализа, хэширования (сравнение контрольных сумм), а также анализ журналов системы аудита (если она включена). В практике Союза были случаи, когда удаленные файлы восстанавливались из теневых копий, что позволяло доказать факт хищения документации.

🔐 Раздел 6. Вопросы о вредоносном ПО и безопасности

Этот блок вопросов особенно актуален для организаций, пострадавших от хакерских атак, вирусов-шифровальщиков или инсайдеров. 💻 Эксперт Союза «Федерация судебных экспертов» исследует антивирусные логи, файлы на наличие вредоносного кода, следы эксплуатации уязвимостей. Типовые вопросы: «Имеются ли на жестком диске сервера файлы, которые можно классифицировать как вредоносное ПО (вирус, троян, шпионское ПО), и каковы их функции?», «Было ли вредоносное ПО активировано на компьютере сотрудника в период с … по … и что именно оно делало (передавало данные, шифровало файлы, перехватывало пароли)?», «Имеются ли в системных журналах записи о подключении к серверу извне (из интернета) в период с … по … с использованием уязвимости (например, через порт 3389 RDP)?», «Имеется ли на устройстве следов программы-кейлоггера, которая записывала нажатия клавиш, и если да, то какие данные были записаны?», «Было ли изменено системное время на компьютере за последние 3 месяца, и совпадает ли это с моментом предполагаемой атаки?», «Имеются ли на компьютере следов установки программ для удаленного администрирования (AnyDesk, TeamViewer, VNC) без ведома администратора?». Эксперт Союза может извлечь и проанализировать образы памяти (RAM-дампы), чтобы выявить запущенные процессы и сетевые соединения, даже если вредоносное ПО маскируется.

⏳ Раздел 7. Вопросы о сетевой активности и передаче данных

Для организаций с распределенной сетью важно знать, какие данные и куда передавались. 🌐 Эксперт Союза «Федерация судебных экспертов» анализирует логи межсетевых экранов (файрволов), прокси-серверов, маршрутизаторов, а также локальные записи (log-файлы приложений). Типовые вопросы: «С каких IP-адресов осуществлялся доступ к корпоративному файловому серверу в период с … по … и какие файлы были загружены/скачаны?», «Имеются ли в логах почтового сервера записи о пересылке файлов с корпоративных ящиков на внешние адреса (Gmail, Яндекс, Mail.ru) в период с … по … и какие именно файлы были отправлены?», «Был ли осуществлен доступ к сайтам, не связанным с производственной деятельностью (социальные сети, торренты, файлообменники), с компьютера сотрудника в рабочее время, и в какие периоды?», «Имеются ли в логах системы VPN записи о подключении сотрудников из нетипичных локаций (других стран) в период с … по …?», «Имеются ли записи о попытках соединения с командными серверами (C&C) в логах межсетевого экрана за последние 6 месяцев?», «Имеются ли в дампах сетевого трафика следы передачи паролей или иных конфиденциальных данных в открытом виде?». Эксперт Союза использует специализированные анализаторы трафика (например, Wireshark) для реконструкции передаваемых данных.

📂 Раздел 8. Вопросы о восстановлении удаленных и зашифрованных данных

Удаление или шифрование данных — частое последствие инцидентов. 🔑 Эксперт Союза «Федерация судебных экспертов» исследует носители на наличие фрагментов удаленных данных и пытается их восстановить (если они не перезаписаны). Типовые вопросы: «Возможно ли восстановить файлы, удаленные из корзины на компьютере сотрудника в период с … по …?», «Имеются ли на жестком диске фрагменты удаленной базы данных, которые можно идентифицировать и восстановить?», «Являются ли файлы на компьютере зашифрованными (например, с расширением .crypt), и если да, можно ли расшифровать их без ключа (с помощью известных методов брутфорса)?», «Имеются ли на диске следы работы программы для «безвозвратного» удаления (например, CCleaner в режиме перезаписи) и были ли данные уничтожены полностью?», «Сохранились ли теневые копии (Volume Shadow Copy) на диске, и если да, можно ли извлечь из них версии файлов на определенную дату?», «Имеются ли на диске следы использования криптографических ключей, которые могли быть применены для шифрования данных?». Эксперт Союза использует специализированное ПО для восстановления (R-Studio, GetDataBack, Autopsy) и может проверить возможность расшифровки с использованием известных уязвимостей в алгоритмах (например, старые версии шифровальщиков).

📑 Раздел 9. Вопросы о подлинности и целостности цифровых объектов

В делах о подделке документов, фальсификации отчетности или цифровых доказательств важен анализ подлинности. 📄 Эксперт Союза «Федерация судебных экспертов» проверяет электронную подпись, метаданные, структуру файлов. Типовые вопросы: «Имеется ли в файле «Приказ_2024.pdf» электронная подпись, и соответствует ли она сертификату, выданному на имя …?», «Подписана ли электронная подпись в момент, указанный в метаданных, или есть признаки того, что подпись была подделана?», «Имеются ли признаки редактирования в PDF-файле после его подписания?», «Соответствует ли содержимое файла «База_клиентов.xlsx» его контрольной сумме (хэшу), предоставленной в документации, или файл был изменен?», «Имеются ли в системных журналах записи о том, что файлы были скопированы с одного носителя на другой, и совпадают ли даты с датами, указанными в актах?», «Имеются ли в метаданных документа признаки того, что он был создан с использованием программы-редактора, а не с помощью заявленного офисного пакета?». Эксперт Союза использует методы хэширования (MD5, SHA-1, SHA-256) и криптографического анализа, чтобы установить целостность и подлинность.

🧪 Раздел 10. Вопросы о причинно-следственных связях

Это наиболее сложный блок вопросов, который требует от эксперта не только фактов, но и анализа логики событий. 🧠 Эксперт Союза «Федерация судебных экспертов» может ответить на вопросы о том, какое действие привело к каким последствиям, если есть достаточные данные. Типовые вопросы: «Является ли установка программы … на компьютер сотрудника причиной последующей потери данных на сервере?», «Мог ли сбой в базе данных 1С произойти из-за неправильного обновления, выполненного администратором в период с … по …?», «Привело ли отключение системы резервного копирования к тому, что данные за период с … по … были безвозвратно утеряны?», «Является ли причиной нарушения работы ERP-системы неисправность RAID-массива (отказ одного из дисков) или ошибка в программном обеспечении?», «Были ли действия сотрудника, выразившиеся в удалении файлов, достаточным условием для возникновения ущерба, или ущерб был бы неизбежен в любом случае (например, из-за системного сбоя)?». Эксперт Союза строит причинно-следственные модели, опираясь на логи, временные метки, последовательность событий и состояние систем до и после инцидента. Ответ может быть категоричным («Да, является причиной») или вероятностным («С высокой степенью вероятности, исходя из имеющихся данных, это является причиной»), но эксперт всегда указывает степень уверенности.

❗ Раздел 11. Какие вопросы задавать не следует

Ошибки при формулировке могут сделать экспертизу бесполезной. 🚫 Эксперты Союза «Федерация судебных экспертов» перечисляют вопросы, которые не рекомендуется ставить перед экспертом. Во-первых, вопросы о намерениях и мотивах («Знал ли сотрудник, что он нарушает политику безопасности?»). Эксперт не психолог и не может проникнуть в мысли человека. Во-вторых, вопросы о правовой квалификации («Является ли это преступлением по статье 159 УК РФ?»). Это компетенция суда. В-третьих, вопросы о стоимости ущерба, если экспертиза не является экономической или оценочной — для этого есть отдельные экспертизы. В-четвертых, вопросы, требующие применения разрушающих методов, без согласия владельца оборудования и суда. В-пятых, вопросы, на которые невозможно ответить при отсутствии данных (например, если логи не сохранились). Эксперт честно укажет, что ответить невозможно. В-шестых, вопросы, предполагающие использование нестандартного ПО, которое не может быть воспроизведено в другой лаборатории. В-седьмых, вопросы, содержащие несколько подвопросов, требующих разных методов исследования.

📎 Раздел 12. Пять кейсов из практики Союза «Федерация судебных экспертов»

Ниже приведены реальные примеры исследований, проведённых нашими экспертами. Все данные обезличены, но суть сохранена.

Кейс №1. Утечка клиентской базы из банка. Банк обнаружил, что его клиентская база (контакты, счета) была обнаружена у конкурента. Банк подал иск к бывшему сотруднику, но без доказательств. Эксперту Союза были поставлены вопросы: «Имеются ли на жестком диске ноутбука сотрудника, выданном ему за 2 месяца до увольнения, файлы, содержащие данные клиентов банка?», «Были ли эти файлы скопированы на внешний носитель и в какое время?», «Имеются ли в логах операционной системы записи о подключении USB-накопителя и копировании файлов?». Эксперт восстановил логи, подтвердил копирование и время, и суд признал сотрудника виновным.

Кейс №2. Сбой ERP-системы на заводе. На заводе остановилась ERP-система, и производство простояло 3 дня. Подрядчик по внедрению заявил, что причина — неправильные действия системного администратора. Эксперту Союза были поставлены вопросы: «Была ли произведена установка обновления в ночь перед сбоем?», «Соответствовала ли процедура обновления регламенту подрядчика?», «Привело ли это обновление к нарушению работы системы?». Эксперт проанализировал логи и выявил, что обновление было выполнено с ошибкой, но это была ошибка в документации подрядчика, а не администратора. Суд частично удовлетворил иск завода.

Кейс №3. Подозрение на фишинг внутри компании. В финансовом департаменте обнаружили, что несколько сотрудников перешли по подозрительной ссылке, и с их компьютеров были отправлены письма с вирусами. Эксперту Союза были поставлены вопросы: «Была ли ссылка в письме вредоносной?», «Какие действия она выполняла после перехода (установка ПО, отправка данных)?», «Перешли ли по ссылке все сотрудники одновременно или в разное время?». Эксперт проанализировал сетевые логи и выявил, что вредоносный код был активирован только на одном компьютере, но именно с него и была произведена рассылка. Виновный был найден.

Кейс №4. Спор о времени подписания контракта. В арбитражном процессе одна сторона утверждала, что контракт был подписан 15 января, другая — что 20 января. Эксперту Союза были поставлены вопросы: «Соответствует ли дата, указанная в метаданных PDF-файла, реальному времени создания?», «Были ли изменены метаданные с использованием специальных утилит?». Эксперт обнаружил, что метаданные были изменены, а реальное время создания файла (по журналам файловой системы) соответствовало 20 января. Суд принял это как доказательство фальсификации.

Кейс №5. Расследование инсайдерской кражи исходного кода. IT-компания заподозрила, что увольняющийся разработчик скопировал исходный код продукта. Эксперту Союза были поставлены вопросы: «Имеются ли на личном ноутбуке разработчика фрагменты исходного кода компании?», «Когда и с какого устройства эти файлы были скопированы?». Эксперт проанализировал историю подключений USB, и обнаружил, что разработчик копировал код на свой личный накопитель в течение недели перед увольнением. Суд запретил разработчику использовать код и обязал его выплатить компенсацию.

🏁 Заключение

Правильная постановка вопросов при компьютерно-технической экспертизе для организаций — это искусство, требующее баланса между юридической точностью и технической реализуемостью. 💻 Союз «Федерация судебных экспертов» является одним из ведущих учреждений в этой сфере, предлагая сторонам спора и суду объективные, научно обоснованные и проверяемые заключения. Знание того, какие вопросы задавать (а какие — нет), существенно повышает шансы на получение полезных и доказательных результатов. Помните: не пытайтесь формулировать вопросы самостоятельно, если вы не являетесь одновременно юристом и IT-специалистом. Обращайтесь к экспертам на этапе подготовки ходатайства о назначении экспертизы — они помогут сформулировать вопросы корректно и полно. Надеемся, что данная статья помогла вам разобраться в ключевых аспектах постановки вопросов для компьютерно-технической экспертизы. Если у вас возникнут вопросы или потребуется проведение подобной экспертизы, вы всегда можете обратиться к нам.

Полную контактную информацию, телефон и адрес офиса, а также более подробную информацию по вашему вопросу вы можете найти на нашем официальном сайте ✅ https://krimexpert.ru