Пора, наконец, подсчитать, во что обходятся компьютерные преступления!
За изъяны в защите приходится расплачиваться, но какой ценой? Об этом мы можем только гадать, а суду нужны более весомые аргументы.
Велики ли потери от компьютерных преступлений? Это зависит от множества факторов. Общепризнанного стандарта оценки убытков от взлома системы защиты не существует, отчасти потому, что число подобных правонарушений чрезвычайно велико, и последствия могут быть самые разные. Например, удачно проведенная атака по типу «отказ в обслуживании» (Denial of Service, DoS) против сети ресторанов быстрого обслуживания «Макдоналдс» вряд ли вызовет перебои в продажах гамбургеров и жареной картошки. Если же ее жертвой станет eBay, то это чувствительно скажется на обороте компании. Дополнительную сложность оценке придает то обстоятельство, что действительную цену информации, которая может оказаться повреждена или быть украдена в результате компьютерного преступления, определить достаточно трудно.
Компании оказываются объектом множества злонамеренных действий. Подсчет ущерба, который та или иная организация понесла в результате вторжения, порчи информации, вирусной атаки и многих других неприятностей, помогает в выработке годового бюджета защиты. Кроме того, потери, связанные с компьютерными преступлениями, влияют на оборот. Когда требуется подготовить отчет о случившемся для органов охраны правопорядка или предъявить гражданский иск, необходимо оценить окончательный ущерб. Судьям нужны сухие цифры, на основании которых выносится приговор и определяется размер компенсации, при этом любые суммы, названные истцом, будут оспариваться защитой ответчика.
В данной статье рассматриваются выработанные практикой формулы оценки убытков от действий злоумышленников, а также правомерность этих формул. Кроме того, мы постараемся взвесить все «за» и «против» относительно возбуждения судебных дел, по поводу вторжения в компьютерные системы, а также перечислим меры, которые компания должна предпринять, чтобы сохранить до суда все вещественные доказательства.
ЖОНГЛИРОВАНИЕ ЧИСЛАМИ
Один из способов оценить, насколько правильно определены убытки компании в связи со взломом защиты, — сравнить их с широко известными в отрасли данными. Такие организации, как институт компьютерной безопасности (Computer Security Institute, CSI), проводят опросы среди сотен специалистов в области информационных технологий, анализируя различные аспекты компьютерной безопасности, в том числе финансовые последствия. В ежегодном отчете «Компьютерные преступления и анализ систем защиты» (Computer Crime and Security Survey) CSI приводит суммы в сотни миллионов долларов. По оценкам аналитической компании Computer Economics, ущерб от вредоносных программ, наподобие Code Red и Nimda, в 2001 г. вылился в мировом масштабе в 13,2 млрд долларов.
Такие цифры, бесспорно, впечатляют, но что они означают на деле? «Приводя те или иные данные, авторы различных аналитических записок и отчетов представляют их как некие усредненные характеристики вторжений. Дело, однако, в том, что не существует никакого определения термина «вторжение», поэтому правомерность применения этих характеристик весьма сомнительна», — поясняет Чарльз Нил, ветеран ФБР с 20-летним стажем, занимающий сейчас пост вице-президента группы Cyber Attack Tiger Team (CATT) в составе Exodus Communications, чья задача состоит в выявлении случаев кибертерроризма и реагировании на них. «Даже если отрасль примет некие, более или менее четкие определения различных вторжений, назвать сумму ущерба будет по-прежнему чрезвычайно трудно», — считает Нил.
Одна из общепринятых формул оценки финансовых последствий нарушения защиты состоит в определении времени, которое потребовалось для ликвидации нанесенного ущерба. Если три системных администратора, уровень заработной платы каждого из которых составляет 75 тыс. долларов в год, потратили 25 ч на удаление вируса из сети и установку заплат, ущерб определяется умножением почасовой ставки этих специалистов на количество отработанных часов. Впрочем, можно даже не затруднять себя арифметикой: если пригласить для этой работы консультантов, они сами любезно предоставят счет.
Однако все подсчеты выглядят простыми только до этого момента. Как быть, если вторжение побудило компанию приобрести более мощные средства защиты — будь то программные или аппаратные? Учитывать ли их стоимость? «Никогда нельзя с уверенностью утверждать, что компании не сделали бы подобных покупок в любом другом случае, — сказал Нил. — Однако, как правило, эти расходы включаются в итоговые данные о финансовом воздействии инцидента». По словам Нила, воздействие может быть гораздо глубже и проявиться только со временем. Как, например, оценить вред, нанесенный престижу компании? Сколько придется потратить на маркетинг, чтобы нивелировать неблагоприятное впечатление и восстановить репутацию?
Кроме того, нельзя не учитывать цену нереализованных возможностей. Сюда входят потери от перебоев в продажах или недополученной прибыли вследствие невозможности выполнения сотрудниками своих непосредственных обязанностей. Например, если некая система не работала в течение X часов или дней из-за атаки, при этом в среднем за это время продается Y единиц продукции, то включение стоимости продукции в оценку финансового воздействия атаки будет вполне оправданным. Однако цена нереализованных возможностей представляется весьма спорной, особенно если потерпевшая сторона пытается взыскать убытки через суд.
СУД ИДЕТ
Оценивая, во что обошлось вторжение, компания основывается на данных ее бухгалтерских книг и потому ограничена своими представлениями (хотя сейчас, в постэнроновский период голодные глаза аудиторов могут разглядеть повод для весьма радикальных оценок). В суде умение компании считать собственные деньги будет подвергнуто самому суровому испытанию. На пути к тому, чтобы взыскать средства со злоумышленника, стоят его адвокаты, судьи и присяжные.
«Если имеет место преступление, — поясняет Нил, — приговор будет зависеть от потерь, поэтому вопрос о реальной стоимости становится самым острым, подвергается наибольшему сомнению и вызывает больше всего споров». В связи с этим он сослался на собственный опыт участия в вынесении обвинительного заключения по делу известного хакера Кевина Митника. «Год работы двоих моих агентов ушел только на обсуждения размера убытков. Им пришлось выдержать исключительно ожесточенную схватку».
Макс Звиллинджер, глава группы, занимающейся делами, связанными с компьютерной защитой в юридической компании Kirkland and Ellis, говорит, что расходы на ликвидацию последствий атаки обычно принимаются во внимание в суде. «Системные администраторы должны локализовать и ликвидировать проблему и восстановить работу системы в прежнем объеме. Эти затраты в большинстве случаев признаются подлежащими возмещению, хотя в законе имеется немало лазеек, чтобы оспорить и их».
Получить компенсацию за нереализованные возможности куда сложнее. «Вы можете заявить, что недополучили прибыль в связи с неработоспособностью своей системы, — поясняет Нил. — Но ничто не мешает адвокатам ответчика возразить, что в тот период наблюдался обычный для этого времени года спад продаж или что число покупателей уменьшилось из-за недостаточно эффективной рекламы, а впоследствии они к вам вернулись. Иными словами, простор для того, чтобы оспорить ваши притязания, весьма велик».
Сложность состоит, в частности, в том, что представители юридических специальностей называют proximate causation: речь идет о необходимости доказать, что событие Y возможно только при условии наступления события X.
Из сказанного, однако, не следует, что нереализованные возможности относятся к потерям, взыскать которые даже не стоит пытаться. Хорошие «шансы на успех» имеют дела, когда из-за вторжения была упущена возможность своевременно осуществить те или иные действия.
Цена коммерческих секретов и интеллектуальной собственности также становится предметом торга в суде. «Крайне сложно договориться о цене украденной информации», — подчеркивает Звиллинджер. Допустим, например, что на разработку технологии компанией было затрачено 1 млн долларов. Каков будет размер потерь? 1 млн — вот первое, что приходит в голову. Однако, как поясняет Звиллинджер, если компания все еще является единоличным собственником технологии, потери ее, скорее всего, меньше названной суммы. С другой стороны, если благодаря реализации этой технологии компания рассчитывала получить прибыль, в 100 раз превышающую расходы, — каков будет ее реальный ущерб?
«Один миллион — некое искусственным образом полученное значение, но именно оно и будет рассматриваться в суде, — говорит Звиллинджер, — и чаще всего окажется некорректным». Он обращает также внимание на то, что установить приблизительную стоимость торговых секретов и интеллектуальной собственности можно множеством способов. Один из них предлагает теория лицензирования патентов: в случае кражи конкурентом информации, на которую предполагалось получить лицензию, возмещению подлежит стоимость лицензионных отчислений. Предметом претензий могут стать расходы на исследования и разработку, а также прибыль, которую конкурент получил, используя интеллектуальную собственность пострадавшей компании.
ВСТРЕТИМСЯ В СУДЕ... МОЖЕТ БЫТЬ
Компаниям, пострадавшим от проникновения в их системы, предлагается на выбор три варианта действий: провести внутреннее расследование (см. врезку «Проведи расследование сам»), обратиться к услугам правоохранительных органов для возбуждения уголовного дела или подать гражданский иск. Какой путь предпочтет руководство, зависит от ряда обстоятельств, в том числе от серьезности преступления, наличия вещественных доказательств, вероятности возмещения потерь, а также желания избежать огласки.
Последнее, пожалуй, имеет наибольшее значение. «Очень многие компании не сообщают о вторжениях в их системы, — заявляет специальный агент Кен Макгир, возглавляющий подразделение по борьбе с компьютерными преступлениями ФБР в Лос-Анджелесе. — И причины бывают самые разные. Это отражается на цене акций. Это удар по репутации. Директору информационной службы наверняка придется подыскивать себе новую работу».
Макгир с пониманием относится к подобным соображениям, но обращает внимание и на то, что мишенью серьезного компьютерного преступления оказывается не только та система, на которую, собственно, и нацеливался преступник. «Если жертвой преступления становится системообразующая компания, атака против нее наносит удар по поставщикам и клиентам. Я опасаюсь возможных — или состоявшихся — компьютерных атак, которые могли задеть многие компании и о которых ничего не известно».
Опасения Макгира разделяет Нил. «Компании почти никогда не сообщают об атаках, если не могут выступить с заявлением о выявленных преступниках». Его опыт расследований такого рода, проведенных в частных компаниях, показывает, что только 3% пострадавших от атак организаций сообщают о случившемся в органы охраны правопорядка. «В большинстве из них дело сводится к обнаружению «дыр» в защите, их ликвидации, а также к увольнению предположительного виновного и принятию мер к тому, чтобы он впредь не мог подобраться к информационным системам компании. После этого работа продолжается, как будто ничего не случилось».
На деле даже те организации, которые по закону обязаны сообщать об инцидентах правоохранительным органам — финансовые институты с государственной поддержкой, работающие по правительственным контрактам компании и военные организации — не всегда делают это. «Отчасти это происходит в силу неопределенности статуса атаки, — напоминает Нил. — Будь вы представителем закона, хотели бы вы получать звонки каждые полчаса с сообщением о только что возникшем подозрении на появление «троянского коня», хотя на деле ничего не случилось? Компании занимают прагматичную позицию и извещают только о существенных с их точки зрения событиях».
Весьма распространена также практика заявлений об инцидентах в государственные органы без извещения клиентов о неприятности. «Я не знаю ни одного банка, который бы по собственной инициативе сообщил клиентам о происшествии, — говорит Кевин Мандиа, эксперт по компьютерным преступлениям из компании Foundstone, провайдера управляемых услуг защиты. — В большинстве случаев обнародование информации зависит от того, что было похищено. Если речь идет о номерах кредитных карт, предоставить об этом сведения заинтересованным сторонам было бы более чем логично, но, оберегая свою репутацию, банк молчит».
Компании также умалчивают о взломах и атаках, не желая нести немалые суммы судебных издержек, поскольку у них нет весомых доказательств. «Когда кто-то проникает в компьютерную систему, чаще всего пятилетнее заключение — то максимальное наказание, которое его ожидает», — считает Мандиа. Усилия и средства, потраченные на доказательство вины преступника, корпорации могут счесть несопоставимыми с размерами реального ущерба. «Этими же соображениями нередко руководствуются и в том случае, когда речь заходит о гражданском иске, — подчеркивает Звиллинджер. — Истцу наверняка придется обращаться к услугам юридической компании, поэтому приходится решать, стоит ли дело таких расходов».
Несмотря на эти препятствия, складывается впечатление, что число подаваемых в правоохранительные органы заявлений о компьютерных преступлениях все же растет. В отчете «Компьютерные преступления и анализ систем защиты» (Computer Crime and Security Survey) за 2001 г. приводятся такие цифры: в 2001 г. сведения о компьютерных преступлениях предоставлялись в 36% случаев против 25% в 2000 г. Резкий скачок числа жалоб, подаваемых в ФБР, отмечает и Макгир.
Во многих случаях эти преступления не являются следствием действий хакеров в общепринятом значении. Другими словами, взломщик проникает в сеть не извне, а изнутри. Это не посторонний нарушитель, а сотрудник или бывший сотрудник компании.
«Мы сталкиваемся с большим числом подобных проблем, — говорит Макгир. — Эти сотрудники используют свои знания о сети корпорации и имеющиеся у них права доступа для нанесения вреда». Макгир называет это внутренним хакерством, цель которого заключается в краже или порче интеллектуальной собственности и коммерческих секретов.
«Американские адвокаты считают дела о краже коммерческой конфиденциальной информации заведомо выигрышными, — говорит Мандиа. — Кража интеллектуальной собственности принадлежит к числу наиболее легко раскрываемых дел». Дело в том, что сотрудники могут оставить больше вещественных доказательств, чем хакер извне, поскольку последний способен подделать IP-адреса и осуществлять свои атаки с машин, расположенных на другом континенте.
В случае кражи информации велики также и шансы на возмещение ущерба по суду, если удастся отследить использование результатов кражи компанией-конкурентом. «Гражданские иски при похищении информации предъявляются чаще, чем в других случаях, — считает Звиллинджер. — Если кража совершена конкурентом, он становится заманчивой и весьма выгодной мишенью для судебного разбирательства». По мнению Нила, сам факт вызова конкурента в суд за кражу интеллектуальной собственности играет на руку пострадавшей компании. Это дает возможность продемонстрировать его нечестность всему рынку.
СУДИТЬСЯ ИЛИ НЕ СУДИТЬСЯ
Решение о принятии юридических действий против компьютерного преступника ставит компанию перед необходимостью сделать выбор между рассмотрением дела в гражданском суде и уголовным преследованием. И то и другое имеет свои плюсы и минусы.
По мнению Звиллинджера, рассмотрение дела в гражданском суде предоставляет истцу больший контроль за ходом процесса, нежели уголовное преследование. Стороны могут договориться о полюбовном решении спора или просто закрыть дело. В рассмотрение гражданского иска не вовлекается государственная бюрократическая машина, поэтому в США оно производится практически с той же скоростью, с какой работают юристы. Кроме того, как считает Звиллинджер, получить возмещение ущерба в случае гражданской процедуры намного вероятнее. Можно сказать, что цель уголовного преследования — наказание, в то время как цель гражданского дела — возмещение финансового ущерба.
В то же время на стороне компании, которая предпочла уголовное преследование, — вся сила закона. Так, например, возможности для сбора вещественных доказательств следственными органами значительно шире, улики будут собраны быстрее, и это потребует меньших затрат. «В случае гражданского расследования, — поясняет Звиллинджер, — приходится обосновывать и получать одобрение на все предпринимаемые вами действия. Между тем улики могут быть уничтожены, укрыты или просто стерты. В то же время ФБР, как правило, имеет полномочия наложить арест на банковский счет, направить тем или иным свидетелям повестку в суд и явиться с обыском на законных основаниях. При самостоятельном расследовании вы не имеете права на эти действия».
Подчеркнем, что возбуждение уголовного дела служит преступникам сигналом о том, что вы серьезно относитесь к происшедшему, и удержит их от подобных действий в будущем. Кроме того, уголовное преследование компьютерного преступника представляет собой общественно полезное дело. Когда в тюрьму садится очередной хакер, всем, кто имеет IP-адрес, становится немного легче дышать.
ЦИФРОВЫЕ ОТПЕЧАТКИ ПАЛЬЦЕВ
Прежде чем возбуждать дело, нужно собрать вещественные доказательства. Записи в журналах, в том числе на межсетевых экранах, в системах обнаружения вторжения и на серверах служат первичными источниками вещественных доказательств, так же как и жесткие диски пострадавших компьютеров.
Каждый, кто видел хотя бы один детектив по телевизору, может представить сцену, в которой детектив обыскивает место преступления в поисках улик. Судебные специалисты в области расследования компьютерных преступлений используют те же навыки для сбора и обработки вещественных доказательств на жестких дисках и файлах данных. «Необходимость проведения специализированных расследований стала теперь очевидна для суда», — подчеркивает Джон Пацакис, президент и главный юрисконсульт компании Guidance Software, разработчика программного обеспечения для поддержки компьютерных расследований.
К сожалению, уничтожить цифровые улики не сложнее, чем стереть отпечатки пальцев. Необходимо позаботиться о сохранении цифрового «места преступления» в нетронутом виде. «Если вы считаете, что та или иная улика может «сказать свое слово» в суде, частное лицо или организация, ведущие следствие, должны позаботиться о соблюдении надлежащего протокола расследования», — подчеркивает Пацакис.
В соответствии с судебной практикой этим должно заниматься специально назначенное лицо. Он обязан тщательно регистрировать каждый шаг расследования, в том числе дату и время происшествия, имя обнаружившего случившееся и все действия по восстановлению работоспособности системы. Другие администраторы, вовлеченные в расследование, отчитываются руководителю о своих действиях. Это же лицо будет осуществлять связь с судебными органами, если компания примет решение сообщить об инциденте в правоохранительные органы.
Ведущий расследование специалист должен также учитывать потенциальную «цену» преступления. «Убытки надо подсчитать сразу же, как только ваша система подверглась нападению, — напоминает Мандиа. — Нельзя ждать месяцы, а потом вспоминать, что, собственно, произошло, и гадать, каков мог бы быть ущерб». Помимо учета часов, в течение которых группе восстановления пришлось работать над пораженной системой, необходимо сразу же начинать посчитывать финансовое воздействие инцидента. Например, вызвал ли он прерывание предоставления услуг клиентам или сотрудникам? Переводились ли серверы в автономный режим и восстанавливались ли файлы с резервной копии? Были ли раскрыты или украдены корпоративные секреты, похищена или повреждена частная информация?
СБОР УЛИК
Для сбора реальных улик необходимо получить снимки состояний жестких дисков пострадавших машин без нарушения целостности текущего состояния дисков, что можно сделать с помощью нескольких представленных на рынке продуктов. Они позволяют делать копии всех файлов, включая удаленные, в режиме «только чтение». Кроме того, этим файлам следует сопоставить величины хэша MD5, чтобы убедиться, что они не были изменены.
Часто администраторы, действуя из лучших побуждений, совершают одну и ту же ошибку — загружают пострадавшую машину для считывания файлов или устанавливают утилиты для проведения предварительного расследования. В результате изменяются отметки о времени модификации файлов и искажается другая информация, которая могла бы послужить уликой в суде. Это уменьшает шансы получить весомые вещественные доказательства.
Нил обращает внимание прежде всего на эфемерность цифровых улик. Он вспоминает, что в случае проникновения в систему CD Universe злоумышленник похитил 300 тыс. номеров кредитных карт у интерактивного розничного продавца, однако органам защиты правопорядка удалось выявить этого хакера из Восточной Европы. Тем не менее системный администратор CD Universe «испортил почти все улики». «Он действовал из лучших побуждений, но на деле изменил среду, в которой нужно было проводить расследование, до такой степени, что судья не принял бы ни одного вещественного доказательства, — говорит Нил. — Вот какой аргумент он мог бы привести: «Вы не можете мне сказать, что конкретно изменили вы, а я вам не могу сказать, в чем вина этого парня». Это дело так и не дошло до рассмотрения в суде».
Конечно, часто довольно трудно определить степень серьезности нарушения защиты, особенно когда есть опасность повредить потенциальные улики. Наивно было бы полагать, что системные администраторы смогут держать серверы отключенными все время, которое потребуется для осмотра места преступления. По мнению Макгир, преступники в немалой степени рассчитывают именно на исчезновение улик до суда. «Вы установили, что система подверглась атаке, но не знаете, насколько она серьезна. В этом случае, скорее всего, вы оставите ее в рабочем состоянии, чтобы определить, что же случилось», — поясняет Макгир. Но он предостерегает от халатного отношения к потенциальным уликам: «К взломам нужно подходить с известной долей здравого смысла, соблюдая в то же время осторожность».
Последовательность сбора улик должна быть хорошо документирована и тщательно контролируема. Судья захочет знать, кто именно имел доступ к вещественным доказательствам, с какого момента начался их сбор и как он осуществлялся вплоть до преставления в суде.
Сам по себе факт извещения о происшествии не означает, что правоохранительные органы автоматически приступят к расследованию. «Иногда мы получаем до 20 заявлений в неделю, — пояснил Макгир. — У нас работают только 12 агентов, в ведении которых весь южный и центральный регион Калифорнии, поэтому приходится быть разборчивыми. ФБР использует три критерия для определения того, какие случаи заслуживают расследования. Прежде всего, это объем потерь, ущерба и порчи имущества жертвы. Далее — качество улик. И наконец, подпадает или нет данный случай под нашу юрисдикцию».
Потери, ущерб и порча, выражаемые в долларовом эквиваленте, должны быть не менее 5 тыс. долларов, в противном случае ФБР не приступит к расследованию. Это связано с тем, что «цена» преступления существенно влияет на то, какое наказание может понести преступник в соответствии с федеральным законом. Поэтому, по словам Макгира, в рассмотрении дел прослеживается четкая закономерность — большинство из них связано со значительным ущербом.
Но деньги — не единственное требование для начала расследования. Хорошо документированный случай проникновения в систему, с уликами, собранными в соответствии с протоколом, вызовет у следственных органов гораздо больший энтузиазм, даже если сумма ущерба будет невелика, чем вызвавшее многотысячные потери преступление без единой улики. «Вы можете понести огромные убытки и предоставить такую плохую документацию, что ФБР не возьмется вести следствие, — говорит Мандиа. — С другой стороны, сколь незначительны бы ни были ваши убытки, если вы грамотно повели себя с самого начала, подготовили все необходимые документы, да еще и оформили их так, как требуется, можете смело обращаться в ФБР. Главным результатом расследования будет не столько возмещение ущерба, сколько восстановление законности».
Еще один критерий, которым руководствуется ФБР, — юрисдикция. Будучи федеральным агентством, бюро рассматривает в основном дела, следственные действия по которым требуется вести в нескольких штатах. Преступления, расследуемые только в одном штате, относятся к юрисдикции властей штата или местных правоохранительных органов. Однако, как говорит Макгир, «большинство компаний любого размера так или иначе вовлечено в коммерческие операции за пределами своего штата, что дает нам основание участвовать во всех принятых к рассмотрению делах».
Эндрю Конри-Мюррей — редактор раздела бизнеса журнала Network Magazine. С ним можно связаться по адресу: amurray@cmp.com.
Ресурсы Internet
Обширная информация о расследованиях компьютерных преступлений размещена на сервере CERT по адресу: http://www.cert.org/tech_tips/FBI_investigates _crime.html и http://www.cert.org/tech_tips/ incident_reporting.html.
Ознакомиться в отчетами ФБР можно по адресу: http://www.nipc.gov/incident/incident.htm.
Законы в отношении компьютерных преступлений опубликованы по адресу: http://www.cybercrime.gov/1030_new.html.
«Патриотический акт» и следствия из него в отношении «Акта о злоупотреблениях и мошенничестве с использованием компьютеров» расположены по адресу: http://www.cybercrime.gov/PatriotAct.htm.
Проведи расследование сам
Компании нередко располагают более широкими возможностями для анализа действий своих сотрудников, подозреваемых в компьютерных преступлениях, чем правоохранительные органы, — во всяком случае до того, как они сообщат о самом факте преступления.
Кевин Мандиа, эксперт по компьютерным преступлениям, называет четыре возможности, к которым компании могут прибегнуть при проведении внутреннего расследования без оповещения о происходящем подозреваемого лица. Чтобы иметь право на подобные действия, внутри компании должны быть приняты корпоративные правила. Руководство может знакомить сотрудников с такими правилами устно, или включить их в настольную книгу сотрудника, или приложить к договору при найме на работу. Возможности здесь следующие.
1. Регистрация адресатов. Компания ведет список адресатов всех электронных писем, отсылаемых сотрудником. Содержание писем при этом не просматривается. Кроме того, компания может отслеживать пункт назначения каждого пакета, поступающего на компьютер сотрудника и отправляемого с него. Прежде, во времена, предшествовавшие электронной почте, эта же процедура применялась для выявления номеров телефонов подозреваемых, в то время как сами разговоры не прослушивались.
2. Мониторинг информационного наполнения. Компании могут полностью контролировать, как служащий использует сеть с корпоративных компьютеров. Сюда входит контроль посещаемых сотрудником сайтов Web, содержимого всех его писем, переговорных сеансов и мгновенных сообщений.
3. Нелегальный поиск. Компания имеет право просматривать хранящуюся на компьютере сотрудника информацию. Наиболее распространенный метод состоит в том, что судебный эксперт делает копию информационного наполнения, которым владеет компания, включая настольные и мобильные компьютеры, жесткие диски, дискеты, CD и другие устройства хранения.
«Мы называем это нелегальным поиском, — говорит Мандиа. — Сотрудник идет домой, а в это время за его компьютер садится следователь, который дублирует все содержимое машины. Никто так и не узнает, что его машина анализируется в поисках улик.
Правоохранительным органам для таких действий нужно специальное разрешение, но, если в компании существует подобная корпоративная политика, это делается, что называется, молча. Сотрудники могут размещать частные данные на машине только на свой страх и риск».
4. Межкорпоративные запросы. Если компания А подозревает, что атака осуществлена из сети компании В, то А может связаться с В и запросить данные из журнальных файлов. На деле, если в компании А есть определенные соображения о том, кто может заниматься преступной деятельностью, например IP-адрес потенциального злоумышленника, то компания А может обратиться к компании В с просьбой провести наблюдение за этим лицом. Впрочем, последняя не обязана реагировать на такие запросы.
До принятия закона «Патриотического акта» (закон, вступивший в силу после событий 11 сентября, предоставляет правоохранительным органам свободу действия для борьбы с терроризмом), службам охраны правопорядка не разрешалось выполнять перечисленные выше действия без получения соответствующих повесток, разрешений на прослушивание и разрешений на проведение расследований. Сейчас, в соответствии с новым законом, компании могут приглашать специалистов из таких органов, если они уверены, что подозреваемый вовлечен в преступную деятельность.