📌 Введение: методологическая проблема «абсолютной истины» в цифровой криминалистике

Вопрос «Можно ли однозначно установить, что именно конкретный человек работал за компьютером в определенное время?» относится к числу наиболее деликатных в судебной компьютерно-технической экспертизе. Прямой ответ — в подавляющем большинстве случаев однозначно утверждать этого нельзя, если только нет вспомогательных систем (биометрия, видеонаблюдение, данные пропускной системы). Однако эксперт может сформулировать вывод о высокой степени вероятности (более 90-95%), основываясь на совокупности цифровых следов. Такая вероятностная оценка, как показывает судебная практика, признается достаточной для вынесения решения судом при отсутствии обоснованных возражений.

Настоящая консультация подготовлена на основе многолетней практики проведения компьютерно-технических экспертиз для целей трудовых споров, уголовных расследований и гражданских дел.

⚖️ Глава 1. Техническая реальность: компьютер идентифицирует учетную запись, а не личность

1.1. Фундаментальное ограничение компьютерных систем

Операционные системы (Windows, macOS, Linux) и прикладное программное обеспечение не обладают способностью различать физических лиц, сидящих перед экраном. Все действия, фиксируемые в журналах (логах), реестре, метаданных файлов — это действия, совершенные от имени определенной учетной записи пользователя (user account) с указанием времени события. Учетная запись (Ivanov, Petrova, Admin) имеет логин и пароль. Однако пароль может быть:

• умышленно передан другому лицу;
• записан на стикере, приклеенном к монитору;
• скомпрометирован (узнан с помощью кейлоггера, фишинга, подбора);
• компьютер мог быть оставлен без блокировки.

Таким образом, эксперт не может утверждать «за компьютером сидел Иванов И.И.» с математической абсолютной достоверностью (за исключением крайне редких случаев, описанных ниже). Но он может утверждать: «Действия совершались из-под учетной записи Ivanov, с высокой степенью вероятности самим Ивановым, поскольку не выявлено признаков компрометации учетной записи и имеются дополнительные связующие артефакты». Это не строго научная база, а основа для обоснованного экспертного суждения, которое оценивается судом наряду с другими доказательствами.

Различия между «субъективной» и «объективной» вероятностью:

Эксперту следует оценивать именно объективную вероятность. При этом даже при выявлении уникальных цифровых артефактов (например, вход в личную социальную сеть и отправка сообщений друзьям) не исключена версия о том, что другой человек знал пароль от аккаунта Иванова и намеренно имитировал его поведение. Поэтому термин «высокая степень вероятности» является более точным, чем «категорическое тождество».

🔐 Глава 2. Полный перечень цифровых следов, связывающих активность с учетной записью

Ниже приведен систематизированный перечень артефактов, которые эксперт анализирует для восстановления хронологии и связывания действий с учетной записью.

2.1. Журналы входа в систему (Logon Events)

Журнал безопасности Windows (Security.evtx) фиксирует каждую попытку входа. Наиболее значимые события:

• Event ID 4624 (успешный вход в систему): содержит имя учетной записи, время входа, тип входа (Logon Type). Logon Type 2 — интерактивный вход (локально, с клавиатуры монитора). Logon Type 10 — удаленный интерактивный вход (RDP).
• Event ID 4625 (неудачная попытка): может указывать на попытку подбора пароля.
• Event ID 4634 / 4647 (выход из системы).
• Event ID 4778 / 4779 (подключение / отключение сеанса RDP).

Ограничения метода: Если пользователь не выходил из системы и не блокировал компьютер, а другой человек просто подошел и начал работать — нового события входа не будет (система считает, что сеанс продолжается под той же учетной записью).

2.2. Метаданные файлов (MAC times — Modified, Accessed, Created)

Каждый файл в файловой системе NTFS имеет три временные метки:

• Created (рождение): создание файла.
• Modified (изменение): последнее изменение содержимого.
• Accessed (доступ): последнее открытие для чтения.

Если известно, что конкретный пользователь работал над определенным документом (например, отчетом) в определенное время, и метаданные файла показывают, что он был изменен в это время, при этом владельцем файла (Owner) в NTFS указана учетная запись пользователя — это сильное, но не абсолютное доказательство.

2.3. Артефакты реестра Windows (Registry)

• UserAssist: хранит историю запуска программ (имя программы, количество запусков, время последнего запуска) в бинарном зашифрованном виде. Эксперт расшифровывает эти данные с помощью специализированного ПО. Это один из самых ценных источников.
• Shellbags: хранят настройки отображения папок (размер окна, вид, сортировка) и, что важнее, имена папок, которые пользователь открывал, даже если сами папки были впоследствии удалены. Shellbags однозначно привязаны к конкретному пользователю (хранятся в его ветке реестра NTUSER.DAT).
• Recent Docs (недавние документы): список файлов, которые пользователь открывал (в Windows 10/11 — через Jump Lists в папке %APPDATA%\Microsoft\Windows\Recent).
• USBSTOR (история подключения USB-устройств): фиксирует производителя, модель, серийный номер и дату первого/последнего подключения каждой флешки. В сочетании с датами копирования файлов (см. п. 2.2) это мощный связующий элемент.

2.4. Prefetch-файлы

Windows создает Prefetch-файлы (в C:\Windows\Prefetch) для ускорения загрузки приложений. Они содержат полный путь к исполняемому файлу, количество запусков и время последнего запуска (с точностью до миллисекунды). Даже если программа была удалена, Prefetch-файл может остаться. Анализ Prefetch позволяет установить, какие программы запускались из-под конкретного пользователя и когда.

2.5. История веб-браузеров и кэш

Файлы истории (History SQLite в Chrome, места в Firefox) содержат список посещенных URL-адресов с точной временной меткой. Если в спорное время с компьютера заходили на сайты, характерные для конкретного пользователя (личная почта Gmail, социальные сети, форумы, где он зарегистрирован под своим именем), и эксперту удается извлечь cookies и сессионные данные (указывающие на то, что пользователь был авторизован под своим логином), это крайне сильный косвенный признак.

2.6. Корпоративные системы логирования

В организациях с высоким уровнем информационной безопасности используются системы класса DLP (Data Loss Prevention), которые могут фиксировать:

• имя пользователя, разблокировавшего компьютер (по данным Active Directory);
• тайм-ауты бездействия;
• нажатия клавиш (клавиатурный почерк, который верифицирует личность);
• снимки экрана (скриншоты рабочего стола в определенные моменты).
  При наличии таких систем (соответствующих законодательству) шанс однозначной идентификации существенно возрастает.

2.7. Сопоставление с внешними источниками данных (дополнительный, но часто решающий фактор)

Эксперт может сопоставить временные метки действий на компьютере с данными из независимых источников:

• Данные пропускной системы: время прихода/ухода сотрудника (активация пропуска).
• Система видеонаблюдения: камера у рабочего места.
• Логи доступа к Wi-Fi: MAC-адрес телефона сотрудника, зафиксированный в сети корпоративного Wi-Fi, коррелирует со временем активности на компьютере.
• Логи доступа к серверам приложений и СУБД: любой вход в корпоративные системы дополнительно фиксирует IP-адрес, имя компьютера и время.

Эти данные (изъятые с соблюдением процедуры) могут превратить вероятностный вывод в практически категорический.

📂 Глава 3. Ограничения и случаи, когда идентификация невозможна (или крайне затруднена)

Даже самый полный анализ цифровых следов имеет объективные пределы.

3.1. Несколько пользователей одной учетной записи
Если несколько сотрудников знают пароль от одной учетной записи (или записан он на стикере), а компьютер не защищен биометрией, различить их технически невозможно. Это же относится к случаям, когда компьютер оставлен без блокировки. Суд при наличии таких обстоятельств может отказать в удовлетворении иска за недоказанностью (принцип презумпции невиновности).

3.2. Компрометация учетной записи (взлом, подбор пароля)
Если злоумышленник получил пароль удаленно (фишинг, кейлоггер) и вошел в систему, в журналах будет зафиксирована та же учетная запись, что и у легального пользователя. Эксперт может выявить косвенные признаки взлома (необычное время входа, необычный IP-адрес), но не может с абсолютной уверенностью утверждать, кто именно сидел за клавиатурой.

3.3. Использование удаленного доступа
Если сотрудник разрешил коллеге подключиться к своему компьютеру удаленно (RDP, TeamViewer), то в логах будет зафиксирован вход под его учетной записью, но физически за компьютером никто не сидел. Без записи экрана и без анализа сетевых соединений (с какого IP и с какого устройства осуществлялось подключение) установить, кто именно инициировал соединение, сложно, но можно через анализ двухфакторности и данных устройств.

Резюме по главе 3:

Абсолютная истина в цифровой криминалистике практически недостижима, за исключением случаев с применением биометрии или видеофиксации. Задача эксперта — не доказать «виновность», а предоставить суду объективную картину цифровых событий, степень их вероятностной привязки к лицу, а также указать на все существующие ограничения.

📂 Глава 4. Практические примеры из судебной практики

Кейс № 1: Высокая степень вероятности признана судом достаточной.

Обстоятельства: Трудовой спор: работодатель утверждал, что сотрудник в рабочее время на рабочем компьютере играл в азартные онлайн-игры и просматривал видео на YouTube. Сотрудник отрицал, заявляя, что его компьютер был оставлен без блокировки, а пароль знали несколько коллег.

Что было изъято и исследовано: Жесткий диск компьютера.

Какие артефакты выявлены:

• Журнал входа Event ID 4624 (Logon Type 2) c именем учетной записи сотрудника в 09:00. Выхода из системы не было до 18:00 (событие отсутствовало). Это исключало версию о том, что кто-то другой зашел под своей учетной записью («коллеги знали пароль»).
• Prefetch-файлы и UserAssist фиксировали запуски Chrome, игр (например, casino.exe) и видеоплееров именно в рабочее время, а также запуск файлов с флешки.
• История браузера (файл History) показала посещение сайтов с онлайн-слотами и YouTube в указанные работодателем периоды с 10:00 до 16:30. Время посещений коррелировало с действиями мыши в UserAssist.

Почему не удалось однозначно доказать? Система не фиксирует, кто физически нажимал кнопки мыши — сам сотрудник или его коллега, но в журналах и реестре не было следов переключения между пользователями, а активность была непрерывной 8 часов. Это исключает версию о том, что кто-то подошел на 5 минут, когда сотрудник отошел.

Решение суда: Суд принял позицию работодателя, сославшись на вывод эксперта о «высокой степени вероятности» того, что именно сотрудник использовал компьютер в указанное время. Иск удовлетворен.

Кейс № 2: Сотрудник оправдан из-за невозможности идентификации.

Обстоятельства: Сотруднику инкриминировали удаление важных файлов с сервера в ночное время. Сотрудник утверждал, что его учетная запись была скомпрометирована (взломана), и в доказательство предоставил распечатку обращения к системному администратору о подозрительных событиях.

Что было изъято и исследовано: Логи входа на сервер и компьютер сотрудника.

Какие артефакты выявлены:

• Вход под учетной записью сотрудника действительно был в 02:30 из дома (IP сопоставлен с домашним IP).
• Однако выявлены множественные неудачные входы с IP-адресов из разных стран за несколько дней до инцидента: в логах безопасности (Security.evtx) присутствовали сотни событий Event ID 4625 (неудачный вход) с различных IP-адресов, в том числе из Китая и Нидерландов, что с высокой вероятностью указывало на атаку перебором пароля (брутфорс). Эта информация не была своевременно проанализирована системным администратором.
• В ночь удаления файлов с сервера также была зафиксирована активность по входу с IP-адреса, который по данным провайдера (Moscow, Russia) не совпадал с домашним IP-адресом сотрудника (разные подсети).

Решение эксперта: Эксперт дал вывод: «Установить, что удаление файлов произведено лично сотрудником, а не злоумышленником, использовавшим скомпрометированную учетную запись, не представляется возможным. Имеются признаки атаки перебором пароля».

Итог: Суд оправдал сотрудника, руководствуясь презумпцией невиновности и неустранимыми сомнениями.

📋 Глава 5. Что необходимо предоставить эксперту для максимально полного анализа

Для того чтобы эксперт мог сделать максимально обоснованный вывод (пусть даже и вероятностный), необходимо предоставить:

5.1. Физические носители информации (обязательно)

• Сам компьютер (системный блок, ноутбук) в том состоянии, в котором он находится. Не включайте выключенный, не выключайте включенный без консультации с экспертом!
• Внешние жесткие диски и флеш-накопители, которые, предположительно, использовались в спорный период.
• Роутеры и сетевое оборудование (если они хранят логи подключений).

5.2. Информация об учетных записях и паролях

• Пароли от учетных записей пользователей (даже если они не подходят — эксперту нужны варианты).
• Сведения об использовании биометрии (Windows Hello, отпечатки пальцев).
• Пароли от облачных сервисов, которые могли быть использованы (Google, iCloud, Microsoft).

5.3. Временные рамки и обстоятельства инцидента

• Максимально точный диапазон времени, в который, по вашему мнению, имела место спорная активность.
• Описание событий: что именно произошло (удаление файлов, копирование, чтение, отправка писем, посещение сайтов).

5.4. Внешние данные для сопоставления (опционально, но крайне желательно)

• Данные системы видеонаблюдения (файлы с камер).
• Журналы пропускной системы (время входа/выхода сотрудника).
• Логи корпоративного Wi-Fi (MAC-адреса устройств).
• Выписки у провайдера с информацией о выделении IP-адресов в спорное время.

Важно: Любое самостоятельное вмешательство (попытка включить компьютер, скопировать файлы, запустить антивирус, почистить диск) может безвозвратно уничтожить цифровые следы. Передавайте устройство эксперту в том виде, в каком оно есть, не предпринимая никаких действий.

Заключение: стандарт доказывания в цифровую эпоху

Подводя итог, необходимо подчеркнуть, что категорическая идентификация конкретного человека по цифровым следам (уровень «математически доказано») возможна только при соблюдении следующих условий: использование биометрии (отпечатка пальца, сканирования лица) с фиксацией в логах, наличие прямой видеофиксации, либо запись клавиатурного почерка с эталонным профилем. Во всех иных случаях методом цифровой криминалистики и судебной экспертизы достигается высокая степень вероятности (обычно 80-99%) того, что активность осуществлялась конкретным лицом.

Ключевые критерии высокой степени вероятности:

1. Отсутствие признаков компрометации учетной записи (не было подозрительных входов, неудачных попыток логина).
2. Уникальность поведенческих паттернов (запуск специфичных для конкретного сотрудника программ, посещение его личных веб-сайтов, куда он авторизован под своим логином).
3. Совпадение времени активности с независимыми источниками (данные пропускной системы, видеонаблюдения, Wi-Fi).
4. Отсутствие альтернативных версий, которые не были бы опровергнуты.

Суд, принимая решение, оценивает экспертное заключение не изолированно, а в совокупности с другими доказательствами: показаниями свидетелей, косвенными уликами, внутренними документами организации. Вывод «с высокой степенью вероятности» является легитимным и допустимым стандартом доказывания в гражданском, арбитражном и даже уголовном процессе (например, при рассмотрении дел о клевете, разглашении коммерческой тайны, мошенничестве с использованием компьютерных средств).

Для получения индивидуальной консультации по вашему конкретному случаю, выезда эксперта для корректного изъятия носителей, а также для предварительного расчета стоимости и сроков, обращайтесь на страницу: https://pozex.ru/.