Блог DFCenter

Q&A + WP

После нашего стрима пришло несколько интересных прикладных вопросов. И мы подумали, а не сделать ли нам из них публичный Q&A? Наверняка будет полезно многим практикующим и сталкивающимся с IT-технологиями юристам.

Итак, вопрос об исследовании корпоративной почты на предмет установления фактов направления и получения конкретных писем с конкретным содержанием.

В компании все письма хранятся в облачной инфраструктуре. Установлен определенный срок хранения писем в этом облаке, после чего они уничтожаются. На практике периодически возникает вопрос о возможности исследования таких систем в не зависимости от каких-либо сроков. Возможно ли это и какие перспективы?

Давайте разбираться. Для начала желательно установить, есть ли в компании какие-то формализованные правила хранения и удаления почты. И по возможности изучить этот документ. Это может быть, например, политика информационной безопасности. По ней срок хранения писем такой-то, процедура их удаления такая-то.

Может быть и так (скорее всего так и будет), что документа такого нет и никогда не было. Но есть объективные технические ограничения – компания арендует небольшое облачное пространство и оно периодически заканчивается. Поэтому его приходится принудительно очищать от старых писем. Однако, по нашей практике, крайне странно и маловероятно, чтобы вся корпоративная почта принудительно удалялась без разбора, и раньше, чем 1-3-5 лет. В любом случае есть какие-то принятые в этой компании критерии удаления.

Еще желательно узнать, о каком облаке речь и в чьей оно инфраструктуре. И как вообще эта инфраструктура связана с почтовыми сервисами, используемыми в компании. Это аренда в Amazon Сloud/AWS, Goolge, Яндекс, Mail.ru или где-то еще? Или это сама организация создала приватную инфраструктуру (тогда почему там заканчивается так быстро свободное пространство?). Это нужно выяснить, так как в ряде случаев ответ о факте направления и получения писем можно получить запросом к владельцу инфраструктуры.

Но самое важное – изучить, опять же, как устроена корпоративная почтовая служба. Письма могут храниться в облаке, но открывают и читают их на локальном устройстве. Потому всегда есть шанс найти следы писем на ноутбуке конкретного пользователя. Но тут конечно тоже присутствуют определенные временные и технические ограничения. Если резюмировать – ответ на этот вопрос очень зависит от конкретных обстоятельств дела, но в целом вполне под силу форензике.

Двигаемся дальше. Как подтвердить, что когда-то в прошлом на неком сайте были определенные ссылки, тексты и фото, а потом их удалили?

Ответ зависит от двух моментов. Во-первых, как технически организован сайт. Во-вторых, какой уровень доступа (в организационном смысле) имеется к этому сайту у задающего вопрос.

Если это большой сложный сайт какой-либо организации, то скорее всего он размещен на специально выделенном для этого сервере (собственном или арендованном). А его администрированием занимаются соответствующие специалисты. Для надежности и безотказности работы сайта перед каждым существенным обновлением они, скорее всего, делают бэкапы, то есть версии сайта до обновления. И в таких бэкапах вполне могут остаться интересующие ссылки. Можно провести исследование этих бэкапов и установить, в какой период времени какая версия сайта была актуальна, были ли там спорные фото и тексты, работали ли ссылки, ну и так далее.

Если же это более «легкий» сайт, сделанный с использованием, например, Wix или Tilda, где предыдущие версии после обновления могут не оставаться, либо когда посмотреть сайт можно только «снаружи», как обычному пользователю, есть другой подход. Для этого часто используется «Архив Интернета» – ресурс Wayback Machine. Что это такое достаточно неплохо и понятно описано тут.

Да, инструмент спорный. Будет ли интересующий вас сайт в его архиве – никто гарантировать не может. К юридической применимости и чистоте тоже вопросы. Тем не менее его регулярно используют, так как иного способа «переместиться во времени» в данном случае просто нет.

Но конечно лучше всего заранее озаботиться закреплением доказательств в интернете. Сделать скриншоты или сходить к нотариусу. Или обратиться к специалистам по форензике. Вариантов много, у каждого есть как плюсы, так и минусы. Решайте исходя из ваших задач. А чтобы вам было проще решить, мы подготовили обновленную версию нашего White Paper «Заверение сайтов. Самые популярные способы фиксации важной информации в интернете».

Следите за новыми постами в telegram, а также на нашем сайте, где мы рассказываем об арбитражной форензике и компьютерной экспертизе.