Оглавление

Введение

Почта и мессенджеры, посты, лайки и фото в соцсетях, адреса в навигаторе и запросы в поисковиках — наши гаджеты знают о нас все больше. Похожая ситуация и в бизнесе. Даже те компании, которые на первый взгляд сложно причислить к сфере IT, активно внедряют системы управления технологическими процессами, аналитику больших данных и машинное обучение. Или хотя бы используют электронный документооборот или облачные сервисы для постановки и контроля задач. Про корпоративную почту или сервисы видеоконференций и говорить не стоит — давно стали обязательным атрибутом работы. Тем более, если компания сама игрок на рынке информационных технологий. Ее «продукт» и все процессы по созданию и поддержке — это уже практически бездонная кладезь информации.

Все это — цифровая информация. Она возникает и изменяется, отражая наши действия не только в цифровом пространстве, но уже и в физическом мире. Это наши цифровые следы. И чем их больше создается и накапливается, тем важнее и значимее они становятся. И вот уже переписка в мессенджере, страница сайта или код программы — не просто следы, а веские аргументы в споре. В том числе, и в судебном. Сегодня цифровые следы уже активно используются юристами в качестве доказательств в самых разных ситуациях:

• в спорах о правах на объекты интеллектуальной собственности;

• при возникновении претензий к качеству работ и услуг, причем не только в IT-сфере;

• при проведении внутренних аудитов и расследований случаев злоупотреблений внутри компании (так называемый корпоративный фрод);

• при оспаривании итогов конкурсов и закупок, например, в антимонопольных делах;

• при оспаривании фиктивных банкротств и розыске активов;

• при проведении M&A сделок и инвестировании.

Этот список далеко не окончен, его уже продолжают криптовалюты, дроны, роботы, искусственный интеллект и так далее.

При этом с цифровыми следами есть как минимум одна сложность — это сущности из мира IT. Это действительно отдельный мир, со своим особым набором знаний и компетенций, взглядом на вещи и даже языком. А вот обоснование позиции, судебные споры, представление доказательств — это мир юристов. Как же перевести важные категории, понятия и слова с языка одного мира на язык другого, не потеряв при этом смысл сказанного, точность и полноту смысла? Как разобраться во всех технологических тонкостях и выиграть дело?

Для решения этой задачи как нельзя лучше подходит дисциплина форензика или же компьютерная криминалистика. Да, криминалистика все чаще выходит за пределы уголовного процесса — ведь запрос на получение четкой картины события и аргументированных доказательств, безусловно, существует и в рамках арбитражных процессов. Сегодня форензика помогает юристам побеждать, используя доказательства современного мира — цифровые доказательства. И эта книга расскажет о них и об их возрастающей роли в арбитражных спорах 21 века.

Книга и ее структура

Эта книга — основанный на анализе практики команды DFСenter[1] авторский взгляд на то, как зарождалась и успешно развивается возможно новая «подотрасль» компьютерной криминалистики — арбитражная форензика. Именно этот термин мы будем использовать наряду с терминами «компьютерная криминалистика» и «форензика», поскольку в этой книге речь пойдет о применении компьютерной криминалистики именно в рамках арбитражных процессов. В связи с чем методы и применяемые в работе экспертов практики также могут отличаться от применяемых в классической «уголовной» форензике.

Чем эта книга точно НЕ является, так это учебником для юридических ВУЗов или научной работой. Мы сознательно постарались уйти от излишнего теоретизирования и академизма в изложении. Наш приоритет — рассказать вам, как выглядит работа с цифровыми доказательствами с точки зрения практиков. Сделать это понятным языком, не для «технарей». Но сохранив при этом и прикладное значение, и изначальный смысл. Надеемся, что у нас это получилось.

Чтобы наилучшим образом разобраться в теме и принести пользу именно в вашей юридической практике, мы поэтапно расскажем о следующих «составных элементах» работы с цифровыми доказательствами:

Глава 1 — краткий экскурс в историю вопроса. Почему и как криминалистика, точнее ее раздел компьютерная криминалистика, стала помощницей юристов и в арбитражном суде. Исторический путь, иностранный опыт и почему именно «форензика».

Глава 2 посвящена главному, с чем работает форензика — цифровым следам. Что это, почему возникают, где и как их искать, собирать и анализировать. К каким результатам такой анализ может привести. И как, собственно, эти следы становятся цифровыми доказательствами.

Глава 3 о людях, обладающих «специальными знаниями». Расскажем про специалистов и экспертов, об их отличиях в компетенциях и статусе. Как с точки зрения процессуального законодательства, так и их «практического применения». А еще о том, на что обратить внимание при выборе эксперта.

В Главе 4 поговорим о собственно исследованиях и экспертизах, в этой главе два больших раздела. Про внесудебные исследования, где есть место не только чистой компьютерной криминалистике, но и аналитике данных, теории игр и даже «большой» математике. Далее — про судебные экспертизы. Порассуждаем о стратегии в постановке вопросов, рецензировании и выявлении неточностей в заключениях оппонентов.

Завершим книгу мы обсуждением того, куда может пойти арбитражная форензика на горизонте 5—10 лет — что нового в нее привнесет развитие технологий.

Благодарности

Эта книга была бы не больше, чем теоретическое эссе, если бы не основывалась полностью на анализе реальных кейсов, выполненных отличными экспертами — технической командой DFCenter для лучших юристов — наших клиентов. Мы очень рады, что работаем вместе. И всегда готовы к продолжению сотрудничества, выстраиванию новых партнерских отношений и началу новых проектов.

Также эта книга никогда бы не была написана, а компания DFCenter, возможно, и не возникла, если бы почти 20 лет назад автор не познакомился со своим будущим научным руководителем, проводником во многих теоретических и прикладных вопросах компьютерной криминалистики и IT-права, и просто учителем — Алексеем Николаевичем Яковлевым, кандидатом юридических наук, доцентом, автором множества научных работ по темам компьютерной криминалистики и СКТЭ. Проведшим несколько сотен компьютерно-технических экспертиз и подготовившим несколько сотен экспертов, работающих по всей России. Одним из отцов-основателей этого направления российской науки.

 О компании DFСenter — с 2018 года мы помогаем юристам побеждать в спорах, связанных с IT-технологиями. А бизнесу — защищать технологические и финансовые активы, а также расследовать случаи злоупотребления ими. Наши клиенты — это юридические фирмы, отмеченные рейтингами ПРАВО-300, The Legal 500 и CHAMBERS, инновационные российские банки и IT-компании. Наша работа уже помогла им выиграть в судах сотни миллионов рублей и в несколько раз больше сохранить в рамках досудебных соглашений.

Глава 1. Арбитражная форензика

По устоявшемуся мнению ученых-юристов, криминалистика — это, прежде всего, наука о закономерностях механизма преступления, возникновения информации о преступлении и его участниках, закономерностях собирания, исследования, оценки и использования доказательств и основанных на познании этих закономерностей специальных методах и средствах судебного исследования и предотвращения преступлений[1]. Отсюда и ее главная цель — обеспечение и сопровождение расследования преступлений. Следуя именно этой цели криминалистика долгие годы помогала Шерлоку Холмсу, Глебу Жеглову и многим их более реальным коллегам ловить преступников и раскручивать темные дела.

Однако сложные и запутанные ситуации встречаются ведь не только в уголовных делах, но и в арбитражных спорах. В 21-м веке, с его постоянно растущим количеством информации и технологий, таких ситуаций становится все больше. В некоторых из них разобраться без «специальных знаний» практически невозможно. Вот так, под влиянием запроса практики, криминалистика постепенно адаптирует некоторые свои направления и переходит на более-менее мирные рельсы арбитражных процессов. Конечно, не вся криминалистика, но отдельные ее направления — вполне успешно. Например, почерковедение и исследование печатей. Или компьютерная криминалистика.

Компьютерная криминалистика — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств и методах поиска, получения и закрепления таких доказательств.

Возникновение и развитие

Компьютерная криминалистика появилась в середине 60-х годов 20 века в США. Возникали новые технологические возможности — и их стали использовать не только в законных целях. Произошли первые «компьютерные», как бы сегодня их назвали, преступления. В ответ начали развиваться методы и практики их расследования.

До СССР это новшество докатилось чуть позже — в конце 70-х-начале 80-х годов. В 1979 году в стране еще не появились персональные компьютеры, но мошенники уже попытались украсть 80 000 рублей с помощью поддельных документов и перфокарт на одном крупном предприятии в Прибалтике.

В 1983 году не оцененный по достоинству молодой программист остановил на три дня производство Жигулей на заводе на АВТОВАЗ. Сделал он это при помощи первого в Советском Союзе компьютерного вируса, войдя в историю как «первый хакер в СССР». Примерно в это время началось и развитие отечественной компьютерной криминалистики.

Период с середины 90-х до конца 2000-х годов в России ознаменовался созданием теоретической базы дисциплин «компьютерная криминалистика» и «компьютерно-техническая экспертиза». Такие российские ученые как Вехов В. Б., Мещеряков В. А., Нехорошев А. Б., Россинская Е. Р., Усов А. И., Яковлев А. Н. и другие, основываясь как на зарубежных источниках (отечественных прецедентов было относительно немного), так и на собственном практическом опыте, заложили основы этих научных дисциплин.

В начале 2000-х в России начали появляться частные компании, применяющие знания в компьютерной области для обеспечения информационной безопасности — себя или своих клиентов. Кто-то создавал продукты на основе этих знаний, кто-то оказывал услуги.

К концу 2010-х стало отчетливо видно, что знания и практики компьютерной криминалистики прекрасно подходят и для решения задач, далеких от ловли хакеров. Например, в спорах о правах на софт или о некачественно выполненных IT-услугах, при проблемных увольнениях разработчиков и при разрешении споров между акционерами и нанятым топ-менеджментом. Сегодня все эти дела объединяет одно — важную роль в них играет цифровая информация, а в суд в качестве доказательств все чаще попадают электронная переписка, страницы сайта, код программы и тому подобное. И чтобы их найти, собрать и выиграть спор — юристам все чаще нужна именно компьютерная криминалистика. Или форензика.

Новое имя

В практике зарубежных специалистов популярны названия «computer forensics» или «digital forensics». Собственно «forensic science» — это и есть наука о сборе и исследовании доказательств в широком смысле. В русском юридическом языке это ничто иное, как «криминалистическая наука» или «криминалистика». А «medical forensics», «fire forensics» или «computer forensics» — все это, соответственно, названия конкретных отраслей криминалистики.

В отечественной практике «computer forensics» постепенно русифицировалось и утратило первое слово в названии. А в середине 2000-х Федотов Н. Н. в своей одноименной книге одним из первых начал использовать слово «форензика» как имя собственное. Постепенно оно стало альтернативным названием для компьютерной криминалистики. Именно так сегодня этот термин зачастую и используется в российской практике.

Форензика — это компьютерная криминалистика.

Но не все с этим согласны. Ведь параллельно с форензикой есть еще и термин «forensic». Как они связаны и в чем отличия?

Форензика, как мы уже знаем, — это компьютерная криминалистика. Форензикой занимаются IT-криминалисты и эксперты компьютерно-технической экспертизы. То есть, по сути, узкоспециализированые айтишники. Кто-то с бэкграундом в сфере информационной безопасности, разработке, анализе данных, математике и так далее. Другие — бывшие сотрудники правоохранительных органов, поводили экспертизы в ведомственных лабораториях, например ЭКЦ МВД РФ, в том числе по крупным уголовным делам. Скорее всего получали дополнительное образование или проходили переквалификацию в учебных центрах.

Forensic же — это расследование фактов корпоративного мошенничества и коррупции в компании, кражи конфиденциальной информации и инсайдерских действий. Иногда сюда же включают даже «корпоративную разведку». Такой forensic, по одной из версий, еще в 70-80-е годы 20 века привнесла в бизнес-практику американская компания Kroll[2]. Компания эта занимается расследованиями корпоративных и финансовых мошенничеств, и для этих задач ей нужен был подходящий инструмент.

Специалисты в forensic изучают финансовые документы, проводят анализ больших массивов данных, проверки контрагентов и Due Diligence, проводят «интервью» с сотрудниками и менеджментом компании, профайлинг. Этим занимаются бухгалтеры и аудиторы, юристы, аналитики и специалисты по Big Data и IT. То есть forensic — это все-таки другое. Но именно так этот термин понимают за рубежом или в крупных компаниях, работающих на международном рынке.

Такие услуги своим клиентам оказывают, например, международные аудиторские компании из Большой четверки — PWC, Deloitte, EY и KPMG. Либо специализированные, как сама Kroll.

Перспективы

В 2017 году начался достаточно знаковый, как тогда казалось, для российской IT-индустрии вообще и для BigData в частности судебный спор[3]. Известная социальная сеть (которая уже в процессе стала частью Mail.ru Group, а потом уже сам Mail.ru переименовался в «VK») обратилась в Арбитражный суд города Москвы с иском к компании Double Data.

Как написано на сайте этой компании, с 2012 года она «специализируется на создании программных продуктов, в основе которых лежат собственные методы и алгоритмы для поиска, хранения и интеллектуального анализа больших объемов данных (Big Data и Data Mining). Решения компании направлены на снижение просроченной задолженности и выявление мошенничества в розничном кредитовании за счет использования новейших технологий и встраивания их в существующие банковские бизнес-процессы».

Однако, по мнению VK, суть инноваций сводилась к «извлечению и последующему использованию информационных элементов из Базы данных пользователей Социальной сети «ВКонтакте», что является «нарушением исключительных прав ООО «В Контакте» как изготовителя Базы данных». Говоря проще речь о скрапинге[4] и последующей переупаковке и перепродаже данных. И суду предстояло разобраться был ли этот самый скрапинг, а если был, то насколько это законно.

Дело прошло две судебные инстанции с переменным успехом для каждой из сторон и оказалось в кассационной — в Суде по интеллектуальным правам. И все глубоко изучив СИП высказал крайне важное мнение, которое могло серьезно отразиться не только на исходе конкретного дела, но и на отрасли в целом. Причем отрасли экспертиз. Суд по интеллектуальным правам указал[5], что: «При возникновении у судов сомнений в технических принципах работы программы… при квалификации действий… в качестве нарушения исключительного права… суды, рассматривающие дело по существу, могли предложить… вопрос о назначении экспертизы». А также что «суду следовало предложить сторонам представить надлежащие доказательства либо самостоятельно… установить, какие действия алгоритма работы программного обеспечения… свидетельствуют о нарушении ответчиком исключительного права истца, и отразить соответствующие выводы в судебном акте».

Своим постановлением СИП определил по сути, что теперь ни один связанный с IT-технологиями сложный спор не может решаться без проведения компьютерно-технической экспертизы или хотя бы без привлечения IT-специалиста. Ведь технологии усложняются, а значит и споры о них становятся все более запутанными.

И действительно, хотя по прошествии времени кратного роста и не произошло, но положительная динамика налицо. Во-первых, количество арбитражных дел (а эта книга только о них), где цифровые доказательства играют важную роль, растет. В 2020 году количество связанных с IT судебных дел увеличилось примерно на 20% к 2019 году, и тенденция сохраняется. Так, увеличивается количество споров между компаниями о правомерности использования программ для ЭВМ, о качестве услуг, связанных с разработкой или использованием таких программ — за 2023 — первую половину 2024 года наблюдается рост примерно на 30%[6]. Все чаще до суда доходят и споры между бывшими работодателями и работниками о том, кому принадлежат права на созданный софт.

Во-вторых, сама процедура назначения в суде компьютерно-технической экспертизы перестала быть чем-то уникальным и редким. В подавляющем большинстве дел, в которых участвовала наша компания либо юристы, которых мы консультировали, суды удовлетворяют соответствующие ходатайства сторон и выбирают предложенных ими экспертов.

2022 год внес существенные коррективы. Значительное количество международных компаний по собственной инициативе разорвали договорные отношения с российскими контрагентами и покинули рынок. Это уже приводит к судебным спорам, в том числе и с IT элементом — не всегда и не все требования закона, да и бизнес этики были соблюдены при этом спешном исходе. И в таких спорах изучение цифровых доказательств играет не последнюю роль.

Одновременно с этим все большее значение приобретает технологический суверенитет. В совершенно разных сферах российской экономики и производства активнейшим образом внедряются отечественные IT-решения, развиваются технологические компании, создаются целые новые отрасли. И хотя это иногда и приводит к противостоянию между конкурентами, но объективное изучение всех обстоятельств дела вполне способно привести к оптимальному решению таких споров. И в этом тоже помогает независимый экспертный взгляд на предмет спора — технологии и IT-разработки.

В связи с этим нам кажется, что перспективы у арбитражной форензики как инструмента доказывания в арбитражном суде весьма положительные. Поэтому предлагаем вам «обзорную экскурсию» по предмету.

 Криминалистика: учебник для вузов / Под ред. Р. С. Белкина. — М.: НОРМА, 2001. — 990 с.

 Kroll.com

 Дело № А40—18827/2017.

 Скрапинг — технология получения веб-данных путём извлечения их со страниц веб-ресурсов.

 Постановление Суда по интеллектуальным правам от 24 июля 2018 г. по Делу № А40—18827/2017.

 https://www.kommersant.ru/doc/6712278

Глава 2. Цифровые следы и их поиски

Что такое цифровой след

Итак, наши взаимодействия с современным миром — и отправка сообщения в мессенджере, и подключение к wi-fi в кафе, и изменение в корпоративной базе данных — оставляют следы. Каждый раз. Всегда. Даже отсутствие следов — само по себе уже след того, что что-то не так. Ведь это одно из врожденных свойств информационных технологий — любое действие с системой всегда приводит к изменению ее состояния. И любое изменение состояния системы всегда записывается, логируется.

Цифровой след — результат воздействия субъекта на цифровую среду, выраженный в любом изменении информации в такой среде.

Такие цифровые следы можно вполне успешно находить. Например, изучая электронные документы, цифровые фото- и видеоматериалы, электронную переписку, программный код и так далее.

Но возникает резонный вопрос — а можно ли этим цифровым следам доверять и насколько? Говорят, можно вручную поменять время на компьютере и все — дата создания документа будет «нужной». Или подправить что-то на фотографии с помощью фотошопа. Чуть посложнее, но вполне по силам рядовому пользователю. Получается, толку от этих цифровых следов мало — как можно на них опираться, тем более в юридическом споре, если их так просто подделать. Или все-таки тут есть нюансы?

Есть. Все, что связано с IT — сложное и комплексное. Это система с многочисленными связями и зависимостями. Внутри такой системы практически никакое изменение отдельного элемента не проходит незамеченным, оно всегда где-то фиксируется или влияет на что-то еще. И с цифровыми следами так же.

События внутри IT-системы сменяют друг друга, подчиняясь закону причинно-следственных связей, и порождают таймлайн — линию времени, на которой располагаются отдельные события. Если одно из таких событий странным образом выбивается и логики этой последовательности, это значит, что в нее кто-то умышленно вмешивался. Увидеть это — задача для эксперта.

Таймлайн — расположенные в хронологической последовательности события.

Откуда эксперт возьмет все эти данные, события, последовательности? Из самой IT-системы. На наших устройствах немало программ, ведущих логи. Это списки, куда записываются все «ходы», как в шахматах.

Пример из практики[1]. Генеральный директор общества заключил ряд убыточных контрактов с подозрительными контрагентами. После увольнения в отношении него инициировали корпоративное расследование. Выяснилось, что вся корпоративная почта директора заблаговременно стерта, а рабочий ноутбук случайно залит кофе.

Комментарий эксперта. Любые действия в цифровом мире оставляют следы, которые можно найти, интерпретировать и представить суду в определенной процессуальной форме. К примеру, удаленные с компьютера файлы можно восстановить с помощью специальных криминалистических программ, подчищенную электронную переписку воспроизвести из резервных копий на корпоративном сервере, а действия пользователя в бухгалтерской системе выявить с точностью до минуты благодаря их аналитической обработке.

Но бывают и случаи, когда следов действительно почти не осталось. Как подтвердить или опровергнуть факт отправки электронного письма, если вся почта находилась на общедоступном почтовом сервере типа mail.ru и на нее заходили только через веб-форму? В таком случае сложно утверждать, было письмо или не было — после удаления из «Корзины» его уже не восстановить. А если и временные файлы были заботливо уничтожены программой-клинером, то следов не осталось вовсе.

Означает ли это, что поиски зашли в тупик и до истины не докопаться или все-таки есть шанс найти следы спорного письма?

Пример из практики. Одним из доказательств в споре заказчика и исполнителя по договору было сообщение в электронной почте. Истец утверждал, что письмо с документами было, и даже представил суду протокол нотариального осмотра. Ответчик — что письма не было, а что там заверил нотариус ему не известно.

Комментарий эксперта. Шанс есть. Дело в том, что сложная информационная система не ограничивается конкретным ноутбуком. В примере с почтой система гораздо больше — настолько больше, что в нее включена инфраструктура этого почтового сервера. Если подтверждение получения или удаления сообщения нельзя найти на локальном компьютере, его можно получить от провайдера интернет-услуг, от владельца почтового сервера и так далее. Тут поможет технически и юридически правильно составленный запрос, направленный по нужному адресу. Конечно, если почта не ваша или вашего доверителя, такой запрос может быть оставлен без ответа. Но это уже, все-таки, не про криминалистику.

Так что уничтожить или подделать цифровые следы, конечно, возможно. Как и любые другие следы. Но и выявить это вполне реально, обладая должными знаниями и опытом.

Основные правила

Цифровые следы — это, конечно, интересно. Но прикладная польза от них появляется только в том случае, когда они могут быть преобразованы в полновесные доказательства по делу. Чтобы это произошло, нужно как минимум знать несколько базовых правил обращения с цифровыми следами.

Во-первых, важно знать, как и где искать. Следы могут быть умышленно или неумышленно уничтожены, изменены, зашифрованы. Для успешного поиска пригодятся знания и навыки, а также специализированное оборудование и софт. И тогда ноутбук расскажет все о логинах, паролях и ключах шифрования своего владельца, о его транзакциях и переписке. Смартфон дополнит историей звонков, фотографиями и геолокацией. Фитнес-трекер или умные часы расскажут о пульсе во время важного звонка. И это только часть знаний наших электронных спутников.

Во-вторых, цифровые следы — крайне «хрупки» и часто недолговечны. Неумелые действия или упущенное время могут привести к их безвозвратной утрате. Поэтому крайне важно работать с цифровыми следами по актуальным методикам. Простой пример — важно знать, что «обычное» копирование файлов радикально отличается от криминалистического побитового копирования. Для примера — криминалистический блокиратор-копировщик (или как минимум специальный софт) доказательства сохранит, а простая процедура «Ctrl+C/Ctrl+V» может изменить и испортить ключевые доказательства безвозвратно.

В-третьих, важно все сделать правильно не только технически, но и юридически. Знать и соблюдать процессуальные требования к сбору и фиксации цифровой информации. Иначе магия помещения цифровых следов в относимые и допустимые доказательства может не произойти.

Как же юристу, зная обо всех этих правилах и условиях, наиболее оптимально выстроить работу с цифровыми следами так, чтобы результат этой работы помог прийти к победе? Мы выделяем в такой задаче три блока:

1. Поиск и сохранение цифровых следов.

2. Анализ цифровых следов на предмет их доказательного потенциала.

3. Представление цифровых следов в качестве доказательств.

Поиск и сохранение цифровых следов

Исходная точка в доказывании определенных фактов на основе цифровых следов — это поиск и сохранение этих самых следов. Как мы уже говорили, крайне важно сделать это способами, обеспечивающими относимость, допустимость и полноту доказательств. Поэтому этот этап в большинстве случаев неразрывно связан с использованием компетенций в сфере форензики — важно понимать, что, как и где искать, а также уметь пользоваться соответствующим инструментарием. Поэтому без обладающего необходимыми знаниями, навыками и опытом специалиста будет непросто.

Что будет делать этот специалист? Его действия по работе с цифровыми следами имеют четкую структуру. Существуют стандарты и руководства, которые регламентируют общий порядок работы. Например, ГОСТ Р ИСО/МЭК 27037—2014. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме[2]. Хотя этот документ относится к тематике расследования инцидентов информационной безопасности, а не к арбитражным судебным разбирательствам, он дает хорошее представление об общем алгоритме работы, основных его этапах. Пройдемся по его рекомендациям.

Идентификация. Этот этап заключается в определении перечня мест, где теоретически могут находиться искомые цифровые доказательства. После чего — поиск в этих местах, распознавание и документирование потенциальных доказательств, представленных в цифровой форме.

Посмотрев на пример с пересылкой документов по электронной почте (см. стр. 20) мы видим, что искать цифровые следы в системе контроля доступа в помещение или в системе электронной бухгалтерии вряд ли стоит. На локальном компьютере пользователя можно, но в описанных условиях высока вероятность нулевого результата (даже если исследовать компьютеры обеих сторон спора). А вот направление провайдеру соответствующих услуг запрос о предоставлении информации будет куда более действенно с точки зрения получения доказательств.

В случае же, когда в похожей ситуации стороны использовали собственные почтовые сервера, исследовать нужно именно их. Полученные данные об отправке и получении электронных сообщений стали бы основой для доказывания.

К этой ситуации мы еще вернемся в разделе про электронную переписку — ведь это одна из самых «популярных» тем.

Сбор. Процесс сбора объектов, которые потенциально содержат цифровые следы. Поскольку надежнее и безопаснее все действия по «доставанию» информации проводить в экспертной лаборатории, речь идет именно о самих объектах, содержащих информацию. Однако в значительном количестве случаев это невозможно. Например, когда речь о каком-то IT-оборудовании, обеспечивающем непрерывный производственный или бизнес-процесс. Или когда интересующие нас цифровые следы находятся в облачном хранилище, которое физически не получится «изъять» и доставить в лабораторию.

Извлечение и сохранение. Для того, чтобы цифровые следы имели шансы стать доказательствами, важно соблюсти требования к их относимости и полноте. Получение доступа к цифровым следам ни в коем случае не должно привести к нарушению их целостности, искажению и утрате. Поэтому перед началом основной работы эксперт с использованием специального оборудования или софта[3] — блокиратора записи создает криминалистическую копию — «образ» носителя информации (например, накопителя ноутбука). А далее работает только с этой копией. Это действие обеспечит сохранность и неизменность цифровых следов на оригинальном носителе. Если об этом этапе забыть, все дальнейшие действия приведут к изменению первоначального следа, а значит — к утрате доказательства.

На сегодняшний день создание криминалистического образа и работа с ним, а не с самой хранящей в себе цифровые следы системой — это «стандарт отрасли». Отступление от него допускается только в очень редких, исключительных случаях.

Когда копирование завершено, важно убедиться, что копия не отличается от оригинала. Для этого рассчитываются и сравниваются значения криптографической хэш-функции. Если значения хэш-функции оригинала и копии совпадают, то содержимое копии является полностью идентичным оригиналу.

Хэш-функция — специально созданный математический алгоритм, преобразующий по определенным правилам заданный массив входных данных произвольной длины в выходную битовую строку установленной длины. Преобразование, производимое хеш-функцией, называется хешированием, а полученные данный — хеш-суммой, контрольной суммой или ключом.

Существует большое количество видов и подвидов алгоритмов хэширования — MD5, SHA256, Стрибог и так далее. Главное, чтобы применялся только апробированный инструментарий, а процесс тщательно документировался исполнителем.

А теперь давайте поговорим про «источники цифровых следов»: что и где может быть найдено, а также в каких ситуациях это пригодится.

Источники цифровых следов

Электронные документы

В Законе «Об обязательном экземпляре документов»[4] сказано, что документ — это «материальный носитель с зафиксированной на нем в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения».

А электронный документ — это документ, информация которого представлена в электронной форме[5]. Или «документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах»[6], если обратиться к другому источнику.

Принято разделять электронные документы на те, что были изначально созданы в электронном виде (и в бумаге их никогда и не существовало) и те, что создавались бумажными, а потом были «оцифрованы» (электронный образ документа). Знание такого различия имеет значение для установления и подтверждения свойств электронного документа (его аутентичности, достоверности, целостности и пригодности для использования), а также для соблюдения требований к разным видам электронных документов.

А с точки зрения форензики — также и для понимания природы формирования цифровых следов. Тут смысл в следующем: если был подделан изначально созданный в электронном виде документ, установить это поможет именно цифровая криминалистика и компьютерно-техническая экспертиза.

А вот с электронным образом документа ситуация иная. Если это скан-копия, в которую при помощи графического редактора были внесена изменения — дата или текст поправлены, подпись или печать дорисованы — методы форензики помогут это обнаружить. Но если все «корректировки» были проделаны еще с бумажным документом, который уже потом был отсканирован, то тут, к сожалению, форензика не поможет. Зато помогут классические почерковедческая и технико-криминалистическая экспертиза документов, которые могут дать много полезного даже при изучении скан-копий.

Цифровые фото- и видеоматериалы

До начала работы с этой книги мы хотели подробно рассказать про цифровые фото- и видеоматериалы. Однако уже в процесс решили, что поступим по-другому. Дело вот в чем. С одной стороны — это те же электронные документы, только не текстовые, а визуальные. Поэтому все сказанное выше про документы в целом справедливо и для изображений — если было изменено изначально созданное в электронном виде изображение, цифровая криминалистика и компьютерно-техническая экспертиза поможет установить это.

Если это скан-копия фотографии или оцифрованная с VHS запись (если кто помнит такие), в которую при помощи редакторов были внесены изменения, — методы форензики помогут обнаружить и это. Но если все дорисовки были проделаны еще с аналоговым изображением, то тут, к сожалению, форензика не поможет.

Аналогичная логика и для звукозаписей. Это ведь тоже в некотором роде электронный документ. Ведь компьютеру все равно, как это воспринимаем мы. Для него все это — определенным образом зашифрованная информация внутри файла конкретного расширения. И у этой информации есть конкретные атрибуты — метаданные, изучив которые можно сделать определенный вывод о наличии либо отсутствии изменений.

Но это все только верхушка айсберга. Ведь уже показывается из-под воды огромная махина, имя которой дипфейки. Определить подделку такого уровня — действительно архисложная задача. И, если говорить объективно, форензика пока в начале пути к эффективной работе с задачами такого уровня. Об этом мы поговорим в разделе про искусственный интеллект и его проявления.

Электронная почта

В 2023 году во всем мире было зарегистрировано несколько десятков миллиардов ящиков электронной почты — личные, корпоративные, технические и т. п. Каждый год отправляется и доставляется больше ста триллионов электронных писем. Это и спам, и технические сообщения, и письма от друзей и родственников, и, конечно, деловая переписка.

В России, по данным Rambler&Co, только четверть респондентов имеет лишь один ящик электронной почты, остальные — два и более. Также примерно каждый четвертый имеет хотя бы один ящик с зарубежным почтовым доменом, из которых самый популярный — gmail.com. Основная масса писем уходит на российские почтовые сервисы: 39% — на mail.ru и 13% — на yandex.ru. Почты на bk.ru, list.ru, inbox.ru, rambler.ru и ya.ru дают еще 10% в совокупности. Оставшиеся — это корпоративные ящики.

С такими объемами пересылаемых писем даже малый процент действительно важных из них превращается в весьма значительные числа. Поэтому и задача как-то сохранить и зафиксировать написанное в электронном письме, причем зафиксировать юридически значимо, возникает достаточно часто.

Согласование объема работ с подрядчиком или направление заказчику акта выполненных работ, отправка работником компании третьим лицам внутренних документов или обсуждение менеджером по закупкам «личной» доли в цене контракта, реальная дата получения от разработчика-удаленщика заявления на отпуск — все эти электронные письма могут помочь юристам в доказывании точки зрения доверителя. А для этого любому современному юристу важно понимать базовые принципы фиксации переписки в электронной почте.

Прежде чем говорить о способах сохранения потенциальных доказательств в email-переписке, было бы неплохо хотя бы в самом общем виде поговорить про технологии. Ведь, по идее, от них-то и должен зависеть способ «заверения» и его надежность. Однако… конкретные технологии меняются быстро. И если делать упор только на них, мы имеем риск бесконечной гонки все более актуальных способов. Причем все более сложных способов — технологии ведь усложняются. Поэтому задачи уровня про «конкретные технологии» — дело все-таки технических специалистов по этим технологиям. Которых в особо сложных случаях юристы привлекают, например, в качестве консультантов.

А вот юристам мы предлагаем куда более стабильный, на наш взгляд, путь. Он не меняется уже много лет, если даже не десятилетий. Это путь в определении того, как «организационно» выглядит взаимодействие сторон переписки. Ведь как раз от способа организации этого общения и будет на верхнем уровне зависеть способ «заверения» и степень его надежности. Ведь именно от этого зависит что искать и где.

Предвидим вопрос — как то есть «где»? Вот же наша переписка с контрагентом, вот документ прикрепленный отправили, что еще нужно? Все же наглядно и ясно.

С одной стороны, да. Но не совсем. Переписка — это двухсторонняя (как минимум) коммуникация. Всегда есть отправитель, всегда получатель. Даже если это одно и то же лицо. Даже если субъекта переписки как такового и нет, например, когда сообщения или ответы на них генерируются автоматически. И это важно понимать, потому что для максимально достоверного и неоспоримого подтверждения факта направления и получения сообщения по электронной почте нужно исследовать инфраструктуру с обеих сторон. И даже это, можно сказать, необходимый минимум.

Исследование инфраструктуры, проведенное только на стороне отправителя или только на стороне получателя, не может быть стопроцентно достоверным, и причин этому масса. Для доказывания этого утверждения пойдем от обратного. Далее мы приведем пример реального случая, когда это не было сделано, и покажем, к чему это привело.

Итак. Есть, по сути, три базовых варианта, как может организационно выглядеть взаимодействие сторон переписки. Участники переписки могут использовать:

1. Общедоступные публичные почтовые сервисы.

2. Независимые собственные почтовые серверы.

3. Переписка внутри общего почтового сервера.

Общедоступные публичные почтовые сервисы. Это тот случай, когда хотя бы одна из сторон переписки пользуется общедоступным публичным почтовым сервисом типа mail.ru, yandex.ru, gmail.com. Сюда же относятся и «корпоративные» ящики вида pupkin@svoyapochta.ru, но размещенные на почтовых серверах тех же VK или Яндекс (эти IT-компании предоставляют такой сервис). На сегодня это самый распространенный способ организации корпоративных почт для небольшого бизнеса.

В этом случае, что бы вы ни отправляли или получали, следов писем на вашем локальном компьютере может быть не много. Даже если вы пользуетесь почтовой программой типа Outlook, Thunderbird и их аналогами. А если только веб-версией почтового клиента — то тем более. Даже после простой очистки кэша браузера многое утрачено.

Но это не проблема — ведь почту-то храните не вы на своем ПК (хотя бывает и так, и тогда все становится проще), а почтовый сервер на стороне крупной компании-провайдера услуг. И там, скорее всего, все в целости и сохранности. Осталось только получить к этому доступ. А для этого вам потребуются не столько технические навыки, сколько навыки писать мотивированные запросы.

Пример из практики. Одним из доказательств в споре[7] подрядчика (истец) и заказчика (ответчик) по договору о разработке проектной документации и выполнении строительно-монтажных работ было сообщение в электронной почте. Истец утверждал, что письмо с необходимыми документами было им отправлено ответчику, тот ничего не возразил, и таким образом принял исполнение без каких-либо замечаний. Следовательно, должен оплатить выполненные работы.

В подтверждение своих слов истец представил суду протокол нотариального осмотра ящика электронной почты. В нем нотариус описывает, что в папке «Отправленные» принадлежащего работнику истца ящика электронной почты находится письмо, а в нем спорные документы. А в адресе получателя — адрес ответчика. Который, мало того что указан в договоре, так с него неоднократно велась переписка сторон в процессе согласования и выполнения договора. Ответчик же утверждал, что никакого письма он не получал.

Как такое возможно? Истец что-то путает или это ответчик все безвозвратно удалил? Разобраться в такой ситуации как раз и помог запрос провайдеру услуг — компании Mail.ru (сегодня — VK) — о том, имеется ли техническая возможность подтвердить или опровергнуть факт направления спорного письма истцом и факт получения его ответчиком. Ведь, например, мог произойти не зависимый от воли сторон сбой, в результате которого письмо с документами было отправлено, но не доставлено.

Комментарий эксперта. Анализ ситуации показал, что никакого сбоя не было — истец ничего вообще не отправлял. Способ, которым он умышленно ввел в заблуждение нотариуса путем нехитрых манипуляций с папками «Черновики» и «Отправленные», был раскрыт независимым техническим исследованием. А в последующем и подтвержден ответом провайдера об отсутствии факта направления электронного письма.

Именно поэтому в описанной ситуации то, с чего, возможно, стоит начать –направление запросов (адвокатских, например) компаниям-провайдерам услуг и владельцам почтового сервиса. Да, мы понимаем, что запросы — это долго и часто безрезультатно. Но иного пути нет. Только владелец инфраструктуры обладает всей полнотой информации. Перспективы ответа на запросы, направленные в зарубежные почтовые сервисы типа Gmail, мы оценивать не беремся.

Собственные почтовые серверы. В этом случае у обеих сторон переписки почта хранится на собственных почтовых серверах. Не столь принципиально, физические они или виртуальные. Главное тут то, что каждая сторона переписки сама полностью технически и административно контролирует хранилище своей электронной почты.

Это отличный вариант в плане сбора цифровых доказательств. Ведь в таком случае есть возможность провести «перекрестное» исследование этих самых почтовых серверов обеих сторон, по итогам чего все и станет ясно. Пусть вас не пугает то, что один из серверов с письмами находится под полным контролем оппонента — все попытки что-то «подкрутить» оставят следы, которые будут обнаружены в процессе работы независимого эксперта.

Даже если у одной из сторон «внезапно» что-то вышло из строя — почти всегда есть бэкап за разумный промежуток времени, все можно восстановить. Но, конечно, если и бэкапа нет, и сервер вдруг сгорел — тут, конечно, без вариантов, если действительно все утрачено… Но мы такого ни разу не видели. Да и на суд такая «случайность», скорее всего, произведет впечатление.

Доступ к цифровым доказательствам на почтовом сервере оппонента решается через истребование доказательств и проведение судебной компьютерно-технической экспертизы.

В рамках такой экспертизы можно будет достоверно установить, кто, что, кому и когда отправлял. Что было получено с противоположной стороны. Кто участвовал в переписке. И так далее.

Для проведения такой экспертизы сегодня уже нет необходимости изымать что-то из оборудования, останавливать какие-то бизнес-процессы. С разрешения суда эксперты могут получить удаленный доступ к почтовым серверам сторон и провести все необходимые действия. А при условии, что обе стороны также могут удаленно наблюдать за этим процессом — это уже практически «присутствие сторон при производстве экспертизы». Более того, это еще и самый верный на сегодня способ — ведь куда сложнее специально и бесследно подделать что-то на реальном работающем почтовом сервере, чем на специально подготовленном к передаче эксперту носителе информации.

Переписка внутри общего почтового сервера. Это, пожалуй, самая редкая ситуация. Но вполне реальная. Так бывает, когда мы имеем дело, например, с перепиской работников одной организации между собой. Что актуально в рамках трудовых или IP споров, а также при внутреннем расследовании инсайда и прочих злоупотреблений.

Со одной стороны, все просто: почтовый сервер в наличии, его владелец (организация) настроена на сотрудничество — можно без больших сложностей зафиксировать цифровые доказательства. Но тут есть вероятность возникновения недоверия в суде. Если инфраструктура полностью под контролем одной из сторон спора, да и стороны несоизмеримы по своим возможностям, где гарантия того, что в компании не пытаются злоупотребить правом?

Пример из практики. В одной крупной организации произошел инцидент — достаточно крупный руководитель отправил с рабочей почты корпоративные документы неустановленному лицу. Служба безопасности определила эту ситуацию как потенциальный риск разглашения конфиденциальной информации и инсайд. После чего совместно с юристами провела расследование.

Был инициирован поход к нотариусу — для заверения переписки сотрудника и факта отправки им письма с документами. Для этого сотрудники организации просто скопировали нужные на их взгляд файлы Outlook на флешку и пошли с ней к нотариусу.

Нотариус на ста с лишним листах протокола подробнейшим образом описал, как он заверяет электронную переписку, принесенную ему в архиве на внешнем устройстве.

Комментарий эксперта. Что могло быть на флешке и кем это было создано? Что подтверждает тот факт, что это те самые письма, выгруженные с того самого сервера, и что они не модифицировались? Скорректировать содержимое письма в текстовом редакторе — задача несложная. Без проведения полноценного исследования очень трудно обоснованно ответить на эти вопросы.

Так что в этом случае действительно не обойтись без полноценной компьютерно-технический экспертизы, а скорее даже серии таких экспертиз. Потому что, в зависимости от размеров компании и сложности ее инфраструктуры, мест, где могут остаться цифровые следы, может быть действительно много. Это не только почтовый сервер, но и локальные компьютеры участников переписки. Кроме того, это могут быть, например, отчеты различных систем контроля, таких как DLP-системы, системы по контролю за сотрудниками (видов которых сегодня немало) и т. п. Чтобы удостовериться в том, что никто ничего умышленно не подтасовывал, неплохо было бы посмотреть их все — если подтасовка была, то удалить ее следы отовсюду практически невозможно.

Как мы уже сказали, сложность и объем работ компенсируется тем, что большая часть потенциальных объектов для экспертизы (если не всех) как правило находится в распоряжении одной стороны. Поэтому проблема их истребования через суд отсутствует. В связи с чем не всегда целесообразно говорить сразу именно о судебной экспертизе. Возможно, будет достаточно внесудебного исследования.

Вот если стороны спора по объективным причинам не примут результаты такого исследования и будут обоснованно утверждать о наличии в нем неточностей — тогда можно подключать инструменты судебной экспертизы.

Однако, как показывает практика, если внесудебное исследование было проведено действительно независимо и технически корректно, а единственным аргументом несогласной стороны является платность такого исследования, без предъявления конкретных доказательств предвзятости или ошибок эксперта суд может принять решение и без назначения судебной экспертизы.

Вот это, пожалуй, и есть рабочий минимум, который вам действительно нужно знать про фиксацию информации в электронной почте, чтобы разобраться, каким доказательствам из переписки можно доверять, а какие нужно хорошо перепроверять.

Заметьте, мы не рассматривали такой способ, как «нотариальное заверение переписки». Это связано с тем, что мы не являемся сторонниками точности и объективности такого способа, если для его проведения не был приглашен независимый технический специалист достаточной квалификации. В своей практике мы неоднократно сталкивались как с умышленными, так и неумышленными попытками сторон ввести в заблуждение нотариуса, который не обладает достаточным уровнем специальных знаний в IT.

С другой стороны, на сегодняшний день такая возможная подтасовка фактов и выявляется достаточно легко — путем анализа протокола соответствующего нотариального действия техническим специалистом.

Вместе с тем хотим сказать вот что: если конкретно в вашем споре суду достаточно протокола нотариального осмотра электронного почтового ящика, а ваш оппонент не возражает — то это тоже вполне рабочий инструмент. Просто знайте, что есть и другие. И пользуйтесь всеми ими в зависимости от конкретных обстоятельств дела, которое вы ведете.

Мессенджеры

Хочется начать с цитаты.

«Самый простой способ — сделать скриншот экрана и отправить по электронной почте нотариусу. Тот опишет, как получены данные, с какого устройства, распечатает изображение и подошьет к протоколу. Можно и напрямую подключить смартфон к компьютеру нотариуса, если это не влияет на сохранность файлов и не ведет к утечке. Когда сделать скриншот технически невозможно и нотариус видит информацию только на экране, весь текст воспроизводится в протоколе осмотра».

Это вполне реальная статья[8] из уважаемого издания, в которой опытный нотариус делится секретами заверения переписки пользователей.

Юристы-практики тоже описывают процедуру схожим образом: «в вашем присутствии нотариус осматривает… мессенджер на смартфоне, делает копии экрана и заверяет их»[9].

Да, есть уже достаточно много дел, когда полученные подобным образом доказательства принимаются судом. Особенно, если оппонент не пытается их опровергнуть с привлечением IT-специалиста — для того, чтобы показать, почему скриншот экрана, тем более сделанный не самим нотариусом, а просто полученный им по электронной почте, это не лучшее решение. Почему? А давайте проведем с вами эксперимент. Ну вот как будто вы нотариус, а мы пришли к вам со своим мессенджером.

Берем два лежащих рядом смартфона и два из ТОП-5 популярных мессенджера — WhatsApp и Telegram. Для понимания сути их хватит, а в Viber и других отличия хоть и есть, но не столь принципиальные.

Итак, WhatsApp. Берем смартфон-1, пишем в мессенджере смартфону-2 сообщения с текстом «тест» и «тест 2». Открываем на смартфоне-2 — пришли оба. На смартфоне-1 выделяем сообщение «тест» и удаляем, выбрав «удалить у меня». Результат — на смартфоне-1 сообщения нет, на смартфоне-2 есть в неизменном виде.

Далее, на смартфоне-1 выделяем сообщение «тест 2» и удаляем, выбрав уже «удалить у всех». Результат — на смартфоне-1 сообщения нет, но есть надпись «Вы удалили данное сообщение». На смартфоне-2 его тоже нет, но есть надпись «данное сообщение удалено». О чем оно было уже не узнать (простыми способами).

Теперь Telegram. Делаем то же самое, получаем аналогичный результат. За одним отличием — во втором случае, выбрав «Также удалить для…», вы реально удалите сообщение и даже никаких «данное сообщение удалено» не останется.

Это мы все к тому, что нотариус может осмотреть не «переписку», а только ту ее часть, которую ему захотят показать. Причем даже не всегда удастся определить, чья это переписка. Потому как, например, Telegram позволяет скрыть из «профиля» номер абонента.

А ведь можно при желании (и больших деньгах на кону) даже написать небольшую программку, имитирующую интерфейс мессенджера. Там будут открываться переписки и контакты, текст будет набираться. И нужные сообщения будут как на ладони — бери да заверяй. Вот только написать или позвонить при помощи такой программы на сторонний номер будет достаточно проблематично. Потому что это никакой не мессенджер, а движущиеся картинки, имитация. Но кто же это будет проверять. Никто часто и не проверяет.

И уж совсем странно будет, если нотариус заверит как «переписку в мессенджере» то, что кто-то из WhatsApp или Telegram (их онлайн или десктоп версий) скопировал в текстовый файл и принес нотариусу на флешке или решил «отправить по электронной почте нотариусу». А так тоже бывает, судя по примеру из статьи выше.

Есть и более технологичные способы — специальные сервисы и приложения для «самостоятельного» заверения переписки в мессенджерах. Основаны они на разных принципах фиксации информации, разных уровнях доступа к ней. Поэтому точность и достоверность у них разная: одни могут определить факт удаления части переписки, другие нет; одни отличают реальную переписку от подправленного скриншота переписки, другие — не всегда. Пока это направление в своем развитии, и стопроцентного доверия к нему пока тоже нет. Однако с развитием того же искусственного интеллекта все может измениться. Но об этом мы отдельно поговорим позже.

Какой тут можно сделать вывод. Все аналогично задаче с электронной почтой — для подтверждения подлинности содержания переписки нужно изучать ее со стороны более чем одного участника. А в идеале — получив для исследования (судебной экспертизы) устройства, с которых велась эта переписка.

Также не стоит забывать и про серверную часть, которая контролируется разработчиком конкретного мессенджера. Но это уже, конечно, не про арбитражные разбирательства.

Веб-архивы

Арбитражные суды в России весьма требовательны к доказательствам от сторон спора. К некоторым. Копии документов без оригиналов скорее всего не примут. Справку без печати, выписку без подписи и так далее. А вот изображение сайта, точнее его версии «когда-то в прошлом», сделанное другим сайтом, принадлежащим неизвестно кому и работающим неизвестно как могут и принять.

Это мы сейчас про веб-архив. И хотя многих это удивляет, факт остается фактом — архивы интернета тоже уже стали одним из источников цифровых следов в российской юридической практике[10]. Что же это такое?

Интернет-архив, архив интернета, веб-архив или Wayback Machine[11] — все это названия одного и того же сервиса, суть которого в предоставлении любому посетителю свободного доступа к архивным копиям страниц сайтов. Почти всех сайтов в интернете. Сервис основан и поддерживается некоммерческой организацией Internet Archive. Публично доступен с 2001 г. и на момент написания этой книги там уже накопилось почти 900 миллиардов копий страниц разных сайтов. Это и есть «оригинальный» веб-архив.

Wayback Machine работает следующим образом: для создания копий страниц сайтов специальное программное обеспечение сервиса формирует их списки. Определяющий критерий тут — это посещаемость, т.е. популярность. Если на сайт приходит много пользователей, то значит там есть что-то «значимое» и оно должно оставить свой след в вечности. Для определения популярности используются общепринятые (в рамках интернет-социума) рейтинги, например, Alexa Rank[12]. И чем выше место сайта в рейтинге — тем чаще происходит «архивирование» его страниц. Например, наиболее популярные сайты архивируются веб-архивом ежедневно. А сайты, имеющие небольшую аудиторию, могут иметь только одну копию в веб-архиве, либо вообще не попасть в него.

Кроме автоматического режима создания копий страниц есть и ручной — любой зарегистрированный пользователь может запросить создание копии нужной страницы. Такая копия страницы ничем не отличается от созданной автоматически.

Но это все про визуальное отображение. А что тут есть с точки зрения цифровых доказательств? В момент архивирования в веб-архиве создаются страницы с адресами вида «https://web.archive.org/web/timestamp/address/…», где «timestamp» — закодированные дата и время создания копии, а «address» — полный адрес скопированной в веб-архив страницы. Например, копия сайта https://yandex.ru, сделанная 05.03.2019 г. в 00:31 (GMT) будет доступна по адресу https://web.archive.org/web/20190305003131/https://yandex.ru.

Если на оригинальной странице были какие-то элементы, доступные по внешним ссылкам, например, изображения или загружаемые файлы, то в веб-архиве создаются отдельные страницы. Причем это может произойти как в момент копирования основной страницы, так и после копирования. Например, если на сайте www.ria.ru, был pdf-документ «region. pdf», который лежал на сервере, то веб-архив сделает на него отдельную ссылку https://web.archive.org/web/20120123191204/http://www.ria.ru/files/region.pdf.

Когда пользователь переходит по таким ссылкам, он перенаправляется к копиям, сделанным в ближайшую дату к дате создания копии основной страницы.

Зачем вам это знать? Например, для того, чтобы попытаться найти и показать, какое было Пользовательское соглашение или Оферта на конкретном сайте на такую-то дату в прошлом. Иногда, особенно в случае спора с интернет-магазином, это бывает полезно.

Поскольку программное обеспечение и серверы Wayback Machine распределены географически, сетевые адреса, с использованием которых было выполнено архивирование, тоже могут быть разными. Поэтому всегда есть вероятность, что сохраненные в веб-архиве копии страниц не будут в деталях совпадать с когда-то имевшим место оригиналом — именно из-за адаптивности сайтов в зависимости от того, из какой локации их просматривают. Но это не касается основного информационного наполнения страницы — там все сохранится. Поэтому даже если визуал отличается — это не повод говорить о том, что и содержимое отличается.

Еще одним важным моментом работы сервиса Wayback Machine является то, что он также сохраняет и «невидимые» технические данные архивируемого сайта. И это выгодно отличает его от аналогов. Да, они тоже есть. Например, сервис Веб-архив.ру — неплохая отечественная альтернатива.

Впрочем, это не в полной мере альтернатива, так как согласно информации правообладателя сервиса Веб-архив.ру, компании Webjustice, это — программный комплекс, который «представляет собой службу, назначением которой является формирование, обработка и передача запросов на предоставление информации о внешнем виде и содержании страниц в сети интернет по состоянию на определенную дату в прошлом (архивные копии интернет-страниц) в международную организацию The Internet Archive, а также визуальное отображение полученных от нее архивных копий интернет-страниц в русскоязычном интерфейсе». То есть, по сути, это ретранслятор оригинального сервиса Wayback Machine. С понятным интерфейсом и русским языком. А потому платный.

И вроде бы получается, что вся «доказательственная мощь» оригинального веб-архива остается. Но не совсем. Дело в нюансах, как именно Веб-архив.ру «ретранслирует» данные из Wayback Machine. На уровне визуализации вопросов нет, все верно. Но вот помимо визуального отображения копиям страниц, сохраненным в сервисе Wayback Machine, присущи также и иные сведения. Плюс больший функционал работы с ними. Например, страницы https://ya.ru за дату 10.03.2023 г. в оригинальном сервисе Wayback Machine доступно 64 копии. А сервис Веб-архив.ру показывает только одну копию для одной конкретной даты и не позволяет выбрать иную копию в пределах этой даты.

Как мы уже отметили выше, не ретранслируются все технические данные. Поэтому изучение исходных текстов страниц, а также их служебных заголовков возможно только при работе с оригинальным Wayback Machine. А это уже важно, потому что служебные заголовки могут многое сказать о контенте, к которому они относятся. Поскольку Веб-архив.ру стирает часть заголовков сохраненного сайта, заботливо зафиксированных оригинальным Wayback Machine, нотариус или эксперт, работающий только с Веб-архив.ру не сможет использовать особенности работы веб-серверов для установления обстоятельств загрузки и изменения контента, что бывает важно в спорах о правах на объекты интеллектуальной собственности, например. А отсюда уже и до неполноты исследования недалеко. Учитывайте это риск.

А еще обязательно учитывайте, что и к оригинальному Wayback Machine тоже есть вопросы в части достоверности и доказательственной силы. Так как в правилах самого этого сервиса в явном виде указано, что «Архив не дает никаких гарантий или заявлений относительно точности, актуальности, полноты, надежности или полезности содержимого Коллекций…»[13]. А если так, то почему суд должен этой информации доверять? И это вполне логично приводит к тому, что в зарубежной юридической практике к сведениям из Wayback Machine относятся неоднозначно[14].

И да, если вы используете Wayback Machine для защиты своего контента, имейте в виду, что «если вы предоставляете какой-либо контент в Архив, вы предоставляете Архиву неисключительное, безвозмездное право на использование этого контента».

Код программ для ЭВМ

Что-то мы все про документы, переписку, картинки и прочие результаты использования компьютерных программ: редакторов текста, почтовых клиентов, мессенджеров и прочих. А ведь сами программы, не результат их работы, не параметры или настройки, а именно сам программный код — это тоже еще какая кладезь информации. Особенно, когда спор напрямую этой самой программы касается. Например, по поводу истории ее создания и авторства или качества разработки и соответствию требованиям технического задания.

Как нам видится из практики, наиболее часто встречаются два сценария, когда вам могут понадобиться цифровые следы подобного рода:

1. Когда необходимо сравнить между собой две программы (версии программы). Как правило, это споры о правах на софт, о плагиате, незаконном использовании результатов интеллектуальной деятельности. В том числе и споры с работниками по служебному статусу R&D.

2. Когда необходимо сравнить программу с неким ее описанием. Это может быть, например, техническое задание заказчика на разработку или описание программного продукта, предлагаемого к продаже.

Первый сценарий занимает примерно 80% из всех задач по криминалистическому исследованию кода, поэтому поговорим подробнее. В данном случае все, на первый взгляд, просто: одна сторона передает эксперту свою версию софта, другая — свою. Эксперт сравнивает и говорит процент совпадения. Из этого процента суд делает вывод о том, кто прав, кто виноват.

Но это только в теории. На практике происходит следующее. Если хотя бы у одной из сторон спора уже есть на руках Свидетельство о государственной регистрации программы для ЭВМ, есть вероятность, что эксперту передадут на исследование «материалы, идентифицирующие программу для ЭВМ или базу данных, включая реферат», предоставленные правообладателем на этапе регистрации в ФИПС. А что это такое? Это, простите за банальность, если вы спец в IP-праве, — материалы «в форме исходного текста (полного или фрагментов) или иной форме, присущей языку программирования, на котором написана представленная на регистрацию программа для ЭВМ, в объеме, достаточном для её идентификации». Сколько конкретно кода — не указано, главное, чтобы хватило для идентификации. А еще — эти самые материалы предоставляются в виде листинга «в формате PDF/A».

Ну и что, скажете вы? Это и так все знают. Это же элементарно. И удобно, в принципе. Да, удобно, но только до момента похода в суд. Или, когда программ существовало несколько сотен, и каждая из них была уникальной разработкой. Но те времена давно прошли. В техническом мире — уж точно. Вот для подтверждения ситуация из практики.

Пример из практики. Дело о нарушении прав на объект интеллектуальной собственности, спорят две компании. На первый взгляд, все достаточно очевидно — разница в создании спорных программ несколько лет, а часть команды ответчика до этого работала у истца. Назначена судебная компьютерно-техническая экспертиза. Эксперту поставлен на разрешение вопрос: «Является ли исходный текст программы для ЭВМ 1 производным или созданным на основе исходного текста программы для ЭВМ 2?». Предоставленные для разрешения вопроса объекты — «исходные тексты обеих программ и другие идентифицирующие их материалы из базы Федеральной службы по интеллектуальной собственности».

Вроде бы все предельно ясно, бери и делай. Но вот давайте посмотрим на эту задачу шире — как с точки зрения именно компьютерной криминалистики, так и с точки зрения практики разработки программного обеспечения. Во-первых, поговорим, а как, собственно, сравниваются эти исходные тексты спорных программ? Если это два листинга распечаток из pdf-файла, то сравнивать их эксперт будет по большей части глазами — как страницы из двух книг. Так в реальности происходит до сих пор.

Совпадают тексты — скажет «да», не совпадают — скажет «нет». Никакой магии. Правда, и тут есть нюанс — все это произойдет только при условии, что обе стороны спора в свое время отдали в ФИПС сопоставимые объемы и куски кода.

А что делать, если одна сторона отдала двадцать пять листов из начала 100-листового листинга, а вторая — двадцать пять последних листов ровно такого же листинга? Ну получилось так, абсолютно случайно. Правила ФИПС этого не запрещают. Очевидно, что в таком случае сравниваемые куски спорных программ не совпадут. Получится, в силу такой методики сравнения, что нет нарушения.

Или другая ситуация. Допустим, регистрация программы в ФИПС прошла в 2016 году. А суд у нас в 2024-м. Есть вообще смысл сравнивать «идентифицирующие материалы», которым уже восемь лет? В отличие от хороших книг, программы для ЭВМ — это материя весьма подвижная, находится в непрерывном развитии. Обновления, патчи, новые версии. В оригинальный текст «Войны и мира» ни одной строчки новой за 150 лет не дописано. А Windows с ноября 1985 года поменялась сотни раз и от самой первой версии ничего давно не осталось.

В споре из приведенного примера, конечно, не Windows, но сегодня у почти любого «нормального» и «живого» софта за такое время уже несколько версий вышло. И, как минимум, десятки-сотни обновлений. Что там осталось от того, что было «тогда» зарегистрировано?

И сегодня такие вопросы все чаще решаются предоставлением на экспертизу чего-то более весомого, чем листы бумаги или pdf-файлы. Например, самих исходных текстов спорных программ в их актуальном виде, на флешках или доступом к репозиториям. Однако и к этому способу есть вопросы: а какая вообще гарантия, что программа на флешке ответчика и та, что он реально использует — это одна и та же программа?

Пример из практики. Компания разработала и зарегистрировала программу для определенных достаточно специфических задач — контроля логистических процессов. Технологически программа реализована как SaaS-сервис[15]. То есть в связке с ним есть сайт, являющийся его неотделимой частью. Без сайта ничего работать не будет.

Появляется другая компания. Тоже делает софт для решения аналогичных задач. Тоже SaaS-модель, тоже сайт. И, опять же, свидетельство о государственной регистрации программ для ЭВМ.

Эти компании начинают делить рынок. Постепенно противостояние конкурентов перешло в суд, где была назначена компьютерно-техническая экспертиза. В качестве объектов исследования на предмет переработки и модификации эксперту предоставили как два комплекта документов из ФИПС, так и флешки с «исходными текстами программ для ЭВМ».

Эксперт все это конечно сравнит и ответ даст. Но только вот тут тоже есть нюанс — стороны-то хотят не этого на самом деле. Стороны хотят разобраться, не нарушаются ли права прямо сейчас, а не несколько лет назад, когда бумаги в ФИПС подавались. И не на бумаге, а в реальности. А для этого нужно не просто бумаги или даже коды на флешках смотреть, а изучать сами спорные SaaS-решения. Потому как на флешке может быть не все. Или не все может быть актуальным. А на работающем сайте-сервисе будет.

Код с флешек может не совпасть — тогда и нарушения формально не будет. Но при этом тот же, переданный в качестве объекта экспертизы, код может и не скомпилироваться в тот реальный продукт. Тот, что стороны на самом деле в бизнесе используют. По очень многим причинам такое может произойти. Но иногда — просто потому, что на сайте давным-давно уже лежит другой продукт, которому тот, что в ФИПСе задепонирован и на флешку записан, приходится троюродным прадедушкой. Потому что за почти десять лет с момента его официального создания команда разработчиков сменилась несколько раз, а код — несколько десятков раз. А вот этот «реальный» код может права и нарушать.

Решение тут — передавать исходные тексты обеих программ в не скомпилированном виде. С указанием всех параметров среды «для сборки». Это даст эксперту возможность максимально уверенно говорить, что сравниваемые версии актуальные и рабочие, если вдруг возникнет вопрос о подтверждении, что это вообще тот софт, о котором спор.

Сложно? Тогда есть еще одно отличное решение — простое и инновационное. Предоставить эксперту доступ «только чтение» к репозиториям каждой из сторон, где они держат спорные исходные тексты. Это сразу много вопросов прояснит — и даты создания, и историю изменения, и кто что в реальности писал и как.

Благо, что репозиториями сейчас пользуются все разработчики. А тот факт, что у одной из сторон нет репозитория, но есть некая «команда разработки», которая что-то где-то разрабатывает — это уже само по себе повод задуматься. Если мы говорим о коммерческом софте, само собой. Для разработок для государственных нужд, например, условия, конечно, могут существенно отличаться.

Завершая блок про сравнение спорных программ, нельзя не упомянуть про опенсорс. Дело в том, что сегодня уже сложно найти большую программу, не использующую десяток (а то и сотню) готовых сторонних модулей. Существуют целые библиотеки модулей, шаблонов и заготовок, созданных программистами со всего мира. И эти библиотеки общедоступные, и все такие же программисты ими пользуются. Такое положение вещей приводит к очень интересным результатам.

Например, может получиться ситуация (на самом деле уже регулярно получаются), когда в сравниваемых классическим «постраничным» способом программах для ЭВМ будет очень много общего. Но только потому, что две команды программистов использовали общие для такого класса задач опенсорс модули. О том, к чему это приводит и как с этим работать, мы подробнее поговорим в Главе 5.

Теперь уделим немного времени сравнению программы для ЭВМ с неким ее описанием, например, техническим заданием заказчика. Все, что написано выше про передачу кода на флешке или путем предоставления эксперту доступа в репозиторий применимо и тут. Более того, в части софта добавляется возможность его исследования на серверах заказчика, если софт уже развернут и введен в эксплуатацию.

Пример из практики. Заказчик долгое время использует софт для управления парком тяжелой техники, но не платит за его обслуживание. Разработчик требует оплату, на что заказчик утверждает, что разработанный софт не работает так, как того требует техническое задание, в связи с чем заказчик вынужден пользоваться совершенно другим софтом.

Имея исходные тексты, компания-разработчик пытается доказать, что именно ее софт активно используется заказчиком.

По решению суда проведена судебная компьютерно-техническая экспертиза. Исследование проводилось в том числе на удаленных серверах заказчика. Были обнаружены данные, указывающие на то, что программа активно использовалась, а в репозитории с исходными текстами обнаружены исправления, запрошенные заказчиком в сходные периоды времени по электронной почте.

Важная особенность подобных споров — это наличие такого объекта исследования, как документ, с которым, собственно, нужно сравнить полученный результат — техническое задание. И, как ни странно, иногда его «качество» играет куда большую роль, чем разработанный по нему софт. Дело в том, что такие споры проигрываются зачастую не потому, что софт сделан плохо, а потому, что плохо было написано техническое задание на разработку этого софта. Поясним мысль. Если техническое задание подробное и проработанное, с конкретными параметрами и критериями должного качества результата разработки — то как раз на этих качествах и критериях будут строиться вопросы для исследования.

А вот если техзадание на один лист и в нем написано «разработать программу для учета складских запасов» или «создать сайт интернет-магазина» без каких-либо технических параметров, то и доказать, что создали вам не тот сайт или не ту программу, будет крайне сложно. Или наоборот, что вы сделали массу «внедоговорных» правок, а теперь заказчик отказывается вам их оплачивать.

На этом мы завершим знакомство с источниками цифровых следов. Хотя обязательно будем еще их вспоминать в главе про экспертизы. В конце хочется упомянуть вот еще о чем. В более «классических» книгах про компьютерную криминалистику авторы иногда делят источники таких следов еще по критериям объектов, в которых они содержаться. Например, на НЖМД[16] персонального компьютера, на сервере или в памяти смартфона. Или как-то в похожем ключе. Наш подход к этому вопросу немного другой. С ним можно спорить, но такие теоретические изыскания — это не предмет настоящей работы. Мы исходим из практики, а она, по крайней мере как мы ее видим, в следующем:

Во-первых, в современном мире почти любое более-менее технологичное устройство — это уже в некоторым роде компьютер. Смартфон — абсолютно точно. Холодильник с wifi и способностью самостоятельно закупать продукты в интернет-магазине — почему нет? Автомобиль, передающий и получающий информацию со спутника и серверов производителя? И он тоже. Не говоря о бесчисленном количестве IoT-устройств[17], которых на Земле уже в несколько раз больше, чем людей. Делить это все на множество классов — зачем? С каждым днем таких классов будет все больше, а отличия между ними — все меньше.

Во-вторых, вопрос о том, где (на каком устройстве) находится цифровая информация, если и влияет на саму эту информацию и ее содержание, то не настолько критично. Текстовый файл на ноутбуке или на флешке — это текстовый файл. Email-переписка, хранящаяся на удаленном почтовом сервере или на локальном компьютере пользователя — это все равно переписка. Код программы на физическом сервере в офисе компании или в облачном репозитории — это все равно код программы. Безусловно, есть отличия в методиках сбора, сохранения и работы с такими следами. Но в рамках задачи этой книги — рассказать юристам про цифровые доказательства — эти прикладные отличия не играют существенной роли. Но если они все-таки вас заинтересовали — рекомендуем вам ознакомиться с работами ученых-криминалистов по этим узким вопросам.

В интернете кто-то не прав.
Еще раз про «заверение информации»

Всю вышенаписанную часть главы мы старались показать, что сбор и фиксация цифровых следов в большинстве случаев очень сильно связаны с использованием специальных знаний — важно понимать, что, как и где искать, какие инструменты применить, как описать это все, ничего не упустив. В большинстве, но не во всех. Есть ситуация, где сбор и закрепление цифровых следов — задача, которая может быть решена и без привлечения технических специалистов. По крайней мере, текущая судебная практика придерживается именно такого мнения. Мы имеем в виду заверение страниц сайтов — процедуру, к которой часто прибегают для фиксации каких-либо фактов (текстов, изображений), размещенных в интернете.

Бывает, что пост в соцсети или статья в электронных СМИ вызывают чье-то негодование. Или наоборот — подтверждают правоту. Если дело движется к спору, то возникает вопрос — как эту информацию сохранить так, чтобы потом предъявить в суде как доказательство своей точки зрения. Ведь выложить что-либо в интернет очень просто. И так же просто, зачастую, потом это изменить или удалить. Как же не потерять важное доказательство?

Есть несколько проверенных на практике способов, как «зафиксировать» такую информацию на конкретный момент времени. Говоря простым языком — наглядно подтвердить, например, что тогда-то текст выглядел определенным образом, содержал такие-то слова, написанные от имени такого-то лица, и располагался он по такому-то адресу в интернете. Это и есть фиксация цифровой информации.

Есть, как нам представляется, четыре основных способа:

1. сделать скриншот;

2. обратиться к нотариусу и сделать «нотариальный осмотр» или «нотариальное заверение» страницы сайта;

3. обратиться к специалистам по форензике. Они проведут исследование и подготовят заключение;

4. воспользоваться сервисами автоматизированной фиксации. Программа все сделает за вас.

Скриншот. Сделать снимок экрана монитора или «скриншот» — быстрое, недорогое и, на первый взгляд, простое решение. Важно не забыть: в поле зрения, то есть на самом скриншоте, обязательно должны поместиться «адрес интернет-страницы, с которой сделана распечатка, а также точное время ее получения». То есть делая скриншот, захватывайте весь экран монитора — вместе с адресной строкой браузера и системными часами. Если захватить только наиболее интересную часть экрана — такой скриншот вам, скорее всего, в суде никак не поможет.

Скриншот, точнее его распечатка — это письменное доказательство, то есть суд будет оценивать его по правилам статей 71 и 75 АПК.

Легкость изготовления — это как главный плюс, так и большой минус этого способа. Если одна сторона принесла в суд скриншот, то так же может поступать и ее оппонент — при этом содержание скриншотов может отличаться. Такое вполне может случиться, даже если нет никакой ошибки или мошенничества. Всему виной такие технологии, как геотаргетинг, адаптивность интерфейсов и т. д. Из-за них один и тот же сайт может по-разному выглядеть в разных условиях — на двух различных устройствах или при подключении через разных провайдеров. Как суду установить, у кого скриншот «вернее»?

Все становится еще сложнее, если одна из сторон попытается умышленно ввести суд в заблуждение. Когда «оригинальная» информация с сайта уже удалена и ознакомиться с ней суд уже не может, доказательственная сила скриншота может оказаться сомнительной.

Еще стоит сказать, что хотя официально признано[18], что скриншот — это допустимое доказательство, на практике некоторые суды не признают его.

Итого, плюсы:

• быстро, недорого, можно сделать своими силами;

• признается допустимым доказательством и прямо разрешено законом (точнее, Верховным Судом).

Минусы:

• низкая доказательственная сила;

• оппонент может легко отбить такое доказательство, представив свой скриншот с иным содержанием;

• не все суды следуют рекомендациям Верховного Суда в этом вопросе.

«Нотариальный осмотр» или «нотариальное заверение» страницы сайта — это вариант процедуры обеспечения доказательств[19]. При этом официально у нотариуса есть три способа обеспечения доказательств: допрашивать свидетелей, производить осмотр письменных и вещественных доказательств, а также назначать экспертизу[20]. Однако, заверение страниц сайта традиционно тоже относят именно к способам обеспечения доказательств.

Самостоятельно заверяя страницы сайта, нотариус не допрашивает свидетелей и не назначает сам себе экспертизу. Получается, что это вариант осмотра письменных и вещественных доказательств.

Поскольку главным объектом заверения выступает не сам компьютер, а именно информация, отображаемая на его мониторе, то речь не о вещественных доказательствах. То есть заверение страниц сайта — это осмотр письменных доказательств. Более подробно о том, что такое письменные доказательства, можно посмотреть в ст. 71 ГПК РФ.

Считается, что главное преимущество нотариального заверения страниц — это особая «юридическая сила» нотариального протокола. Ведь обстоятельства, подтвержденные нотариусом при совершении нотариального действия, не требуют, по общему правилу, доказывания[21].

Но суды не всегда разделяют эту точку зрения. Например, Суд по интеллектуальным правам в деле «ГЕДЕОН РИХТЕР vs КРЕОБИТС»[22] решил, что в ряде случаев из-за особенностей работы сети интернет, нотариальный протокол может особой силы и не иметь, а будет рассматриваться в совокупности с другими доказательствами.

Также нужно учесть — Верховный Суд РФ считает, что необходимые для дела доказательства могут быть обеспечены нотариусом, если имеются основания полагать, что представление доказательств впоследствии станет невозможным или затруднительным[23]. Сохранится ли доказательственная сила нотариального протокола, если реальный риск утраты информации отсутствовал, и это доказано оппонентом — неясно.

Нотариальный осмотр никак не решает проблемы различного отображения сайта в разных условиях. Далеко не все нотариусы глубоко погружены в интернет-технологии, поэтому есть риск допустить ошибки и неточности в описании того, что нотариус заверяет.

Итого, плюсы:

• «привычность» для суда и авторитет для сторон;

• «повышенная» юридическая сила нотариального протокола, кроме ряда редких случаев.

Минусы:

• не каждый нотариус соглашается провести заверение страниц сайта, особенно в регионах;

• не все нотариусы умеют верно провести осмотр, то есть возможны ошибки и неточности в процедуре;

• возможна высокая стоимость.

Осмотр сайта специалистом. Существует расхожая точка зрения, что для фиксации информации в сети интернет какие-то специальные «экспертные» познания не требуются. Ведь фиксация внешнего вида страницы сайта — это просто установление факта наличия там какой-то информации. Но это не всегда так — мы уже упоминали про технологии ретаргетинга, адаптивного отображения. А есть еще и мошеннические фишинговые ресурсы, которые и создаются с целью быть похожими на «настоящие» и вводить в заблуждение посетителей своим внешним видом. То, что сайт создан такой целью или наполнен таким арсеналом, вряд ли будет очевидно с первого взгляда технически неподготовленному человеку. А опытный специалист сможет в этом разобраться и отразить это в описании.

При осмотре сайта специалист, прежде всего, проверяет важные технические параметры, которые нотариус, в большинстве случаев, проверить затрудняется.

Например, специалист зафиксирует, что:

• компьютер соединен с сетью интернет, а информация не подменяется и не искажается умышленно кем-либо;

• корректно работает служба доменных имен, осуществляющая разрешение доменного имени в сетевой адрес (DNS), то есть при вводе доменного имени в строку браузера открывается именно нужный сайт;

• информация получается непосредственно из сети интернет, а не из кэша, то есть содержание сайта актуально на момент осмотра;

• информация получается в одном и том же виде на устройства, обращающиеся с разных сетевых адресов, а осматриваемая страница сайта одинаково или с несущественными различиями отображается в разных браузерах;

• вся отображаемая браузером информация находится именно на осматриваемом сайте, а не на ином — через механизм переадресации, фреймирования, ссылки на иные ресурсы и т. д.

Еще одним важным моментом в выборе способа фиксации информации может стать то, что проведшего такое исследование специалиста потенциально можно вызвать в суд и опросить. И в спорных ситуациях, когда самого сайта или спорной информации уже нет, это может стать хорошим инструментом доказывания в руках судебного юриста.

Итого, плюсы:

• глубокое техническое описание процедуры. Иногда это весьма полезно;

• возможность получить не только документ, но и поддержку в суде. Это бывает важно в делах, связанных с высокими технологиями и нарушениями в интернете.

Минусы:

• возможна высокая стоимость;

• нецелесообразно в технически «простых» случаях заверения.

«Автоматические и полуавтоматические» способы. Еще один способ фиксации информации — специальные сервисы в самом интернете. Заверить сайт с их помощью можно удаленно — вы присылаете ссылку, а все остальное делают специалисты такого сервиса. Вот примеры таких сервисов: «Digital notarius», «Электронный нотариус Москвы», «Вебджастис» и другие. Тут стоит оговориться, авторы книги не имеют никакого отношения к данным сервисам и их владельцам. А указание этих сервисов не является их рекламой. Вся информация получена авторами из открытых источников.

Итак, суть в том, что есть некий пул специалистов (как в варианте с осмотром) или нотариусов (как при нотариальном заверении). Ваша ссылка передается им, и именно они фиксируют информацию. После чего курьер привозит вам заверенный бумажный документ.

Есть и полностью автоматизированные варианты. Суть их работы похожа: на сайте сервиса в специальном поле вы пишите доменное имя или адрес конкретной страницы сайта, который требуется «заверить». Вводите свои контактные данные, оплачиваете услугу и получаете на электронную почту документ с описанием действий, проведенных программой, и, собственно, скриншоты.

Описанный дистанционный способ, на первый взгляд, является весьма привлекательным и удобным — не нужно искать ни разбирающегося в заверении страниц нотариуса, ни IT-специалиста. При этом, как заверяют сами сервисы, такие документы принимаются российскими судами как допустимое доказательство[24].

Но минусы тоже есть — не всегда ясно, кто же конкретно провел осмотр и взял на себя ответственность за достоверность написанного в итоговом документе. А еще не совсем ясен алгоритм работы программного обеспечения для такой автоматической фиксации. Компании, рекламируя свои услуги, пишут о наличии у них патентов и регистраций программ в Роспатенте. Однако, у суда или оппонента может возникнуть вопрос — что конкретно делает программа и чем подтверждается отсутствие в ней ошибок и незадекларированных возможностей? Это достаточно актуально, потому как, например, проведенные нашей компанией эксперименты показывают, что некоторые такие сервисы допускают технические или логические ошибки, позволяющие «заверять» произвольно измененную информацию. Так что будьте бдительны, ведь в случае появления таких вопросов суд вполне может проигнорировать такие доказательства.

Итого, плюсы:

• быстро, удобно, относительно недорого.

Минусы:

• непонятно, кто отвечает за результат;

• непонятно, как работает программа и не допускает ли она ошибок.

И теперь, когда вы прочли про четыре основных способа фиксации информации в интернете, расскажем еще одну историю. А вы сами оцените перспективы этой ситуации.

Пример из практики. Две компании заключили лицензионный договор. Одна предоставляла другой права на размещение на своем сайте-библиотеке нескольких десятков цифровых книг. Договор кончился, а книги с сайта не пропали. Лицензиар пошел в суд за компенсацией. Пошел не с пустыми руками, а с протоколом нотариального осмотра интернет-библиотеки. Нотариус слова истца полностью подтвердил, даже скачал на CD-диск десяток «нарушающих» договор книг.

Однако, тут есть нюанс. У пользователей этого сайта-библиотеки была возможность создать аккаунт и входить в него по логину-паролю. Покупать книги, видеть свое «избранное» и рекомендации. Но, помимо этого, у сайта имелись и аккаунты для администрирования — не для пользователей, а для обслуживания сайта. И пароли от них, как потом выяснилось, знали работники лицензиара — они когда-то передавали их лицензиату, а тот пароль так и не поменял.

И случилось так, что нотариус зашел на сайт именно через такой технический аккаунт. Не как обычный читатель, а как администратор. В чем разница? В том, что из пользовательского (клиентского) аккаунта было невозможно увидеть спорные книги. Ведь они были исключены лицензиатом из выдачи, их было невозможно купить и скачать — в полном соответствии с лицензионным договором. А в аккаунте администратора эти книги были, так как лицензиат все еще надеялся договор перезаключить и не хотел их грузить второй раз на сайт. Но читать их было нельзя. Поэтому, мало того, что нотариус зашел на сайт под аккаунтом, не принадлежавшем лицу, обратившемуся за заверением, так еще и обстоятельства дела по итогу его работы исказились.

Итак, во 2 главе мы узнали, что:

1. Цифровой след — результат воздействия субъекта (например, человека) на цифровую среду, выраженный в любом изменении информации в такой среде (например, появление новой записи в базе данных). Такое воздействие происходит при любом контакте с этой средой. А если этого не произошло — это уже само по себе странно и требует внимания.

2. Есть базовые принципы обращения с цифровыми следами. Это использование актуального инструментария, умение им правильно пользоваться и соблюдение соответствующих требований закона.

3. Чтобы цифровые следы стали доказательствами и принесли пользу в суде, нужно пройти через три крупных блока действий: выполнить поиск и сохранение цифровых следов, провести анализ цифровых следов на предмет их доказательного потенциала и представить цифровые следы в качестве доказательства в суд.

4. Первый большой блок — поиск и сохранение цифровых следов — это тоже определенный алгоритм. Понимать и выполнять его нужно для того, чтобы будущие доказательства обладали свойствами относимости, допустимости и полноты.

5. Вместе с тем на практике есть ситуации, когда собрать будущие цифровые доказательства вы как юрист вполне можете и без привлечения специалиста в цифровой криминалистике. Это — заверение информации в интернете. С такими задачами можно справиться как самостоятельно, так и воспользовавшись помощью. Иногда это вполне оправданно. Только нужно знать и соблюдать несложные правила.

 «Оппонент удалил электронные доказательства. Как их восстановить с помощью «цифровых следов». Журнал «Арбитражная практика», №6, 2020.

 С русскоязычной версией можно ознакомиться например тут — https://docs.cntd.ru/document/1200112857

 Популярны аппаратные блокираторы записи, например компаний Tableau и EPOS.

 ст. 1 Федерального закона от 29.12.1994 №77-ФЗ «Об обязательном экземпляре документов».

 п. 3.1 ГОСТ Р 7.0.8—2013. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения.

 п. 11.1 ст. 2 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»).

 Дело А40—69450/2018.

 https://rg.ru/2020/10/07/reg-urfo/notarius-rasskazala-kak-sdelat-perepisku-v-chate-argumentom-v-sude.html

 https://clck.ru/3EchRw

 См. например, Постановление Арбитражного суда Уральского округа от 05.02.2024 по делу № А71—19002/2018, Постановление Арбитражного суда Московской области от 17.02.2023 по делу № А40—229438/2019, решения Арбитражного суда г. Москвы от 27.07.2023 по делу № А40—58858/2023, Арбитражного суда Омской области от 13.12.2023 по делу № А46—18020/2023.

 https://archive.org

 https://www.iseo.ru/glossary/alexa-rank/

 https://archive.org/about/terms.php

 https://www.nortonrosefulbright.com/en/knowledge/publications/57e50249/using-screenshots-from-the-wayback-machine-in-court-proceedings

 Software as a Service — одна из моделей продажи и доставки программного обеспечения пользователям. Согласно этой модели, поставщик услуги разрабатывает ПО, разворачивает его на своих вычислительных мощностях, сам его обслуживает и предоставляет клиентам доступ к ПО, как к готовому интернет-сервису.

 Накопитель на жестких магнитных дисках. Обычно, если вы читаете или слышите это слово — его автор эксперт с бэкграундом в правоохранительных органах и, возможно, опытом научной работы.

 Internet of things, интернет вещей — система взаимосвязанных устройств, которые могут собирать и передавать данные по беспроводной сети без участия человека.

 Постановление Пленума Верховного Суда РФ от 23 апреля 2019 г. №10 «О применении части четвертой Гражданского Кодекса Российской Федерации».

 См. п. 18 ст. 35 и ст. 102 «Основ законодательства Российской Федерации о нотариате».

 Ст. 103 «Основ законодательства Российской Федерации о нотариате».

 ст. 61 ГПК РФ, ст. 69 АПК РФ

 см. Постановление Суда по интеллектуальным правам от 13 февраля 2017 г. № С01—1268/2016 по делу № А56—21705/2016

 см. абз. 6 п. 55 Постановления Пленума Верховного Суда РФ от 23 апреля 2019 г. №10 и п. 7 Постановления Пленума Верховного Суда РФ от 15 июня 2010 года №16 «О практике применения судами Закона Российской Федерации «О средствах массовой информации»

 см. например — https://www.webjustice.ru/sudebnaa-praktika