Данный модуль является ресурсом для лекторов

 

Кто проводит расследования киберпреступлений?

 

Лица, принимающие первые ответные меры при расследовании киберпреступлений, отвечают за «сохранность» цифровых доказательств на «месте» совершения киберпреступления (например, это может быть объект или объекты киберпреступления и/или устройства информационно-коммуникационных технологий, использованные для совершения преступления с использованием киберсетей и/или киберзависимого преступления). Таким лицом, принимающим первые меры реагирования, может быть сотрудник правоохранительных органов, эксперт по цифровой криминалистике, офицер военной полиции, частный следователь, специалист по информационным технологиям или другое лицо (например, работник по найму), которому поставлена задача реагировать на происшествия, связанные с киберпреступностью. Это говорит о том, что расследования киберпреступлений проводят государственный и частный секторы, а также органы национальной безопасности (с той или иной степенью участия). Независимо от того, кто принимает первые ответные меры, процедуры поиска и изъятия устройств информационно-коммуникационных технологий (ИКТ) должны соответствовать национальному законодательству, а методы, используемые для получения цифровых доказательств из устройств ИКТ, должны быть обоснованными и надежными, чтобы обеспечить допустимость доказательств в суде (Maras, 2014; см. модуль 4 серии модулей по киберпреступности: «Введение в цифровую криминалистику» для получения дополнительной информации об обоснованности и достоверности цифровых доказательств).

 

Органы уголовного правосудия

Работники системы уголовного правосудия, такие как сотрудники правоохранительных органов, прокуроры и судьи, несут ответственность за профилактику, смягчение негативных последствий, выявление, расследование киберпреступлений, а также уголовное преследование и вынесение судебных решений по делам, связанным с киберпреступностью. Конкретные органы, ответственные за расследование киберпреступлений, различаются в зависимости от страны. Например, в Великобритании расследования киберпреступлений проводят несколько органов, в том числе региональные правоохранительные органы и Национальное подразделение по борьбе с киберпреступностью, которое входит в состав Национального агентства по борьбе с преступностью (Global Cyber Security Capacity Centre, 2016c). В отличие от Великобритании, лишь одно учреждение занимается расследованием киберпреступлений в таких странах, как Сьерра-Леоне, где расследования проводит отдел полиции по предупреждению киберпреступности (Global CyberSecurity Capacity Centre, 2016d), Эквадор, где «Отдел по расследованию технологических преступлений Национальной дирекции судебной полиции и расследований несет ответственность за расследование киберпреступлений» (Inter-American Development Bank, 2016, p. 72), и Исландия, где такими расследованиями занимается подразделение цифровой судебной экспертизы полиции Рейкьявика (Global Cyber Security Capacity Centre, 2017c).

Более того, в некоторых странах в расследовании одного и того же киберпреступления могут участвовать несколько учреждений. Участие того или иного учреждения зависит от типа расследуемого киберпреступления. Например, на Кипре преступления, связанные с финансовым мошенничеством в Интернете, расследуются Отделом криминальных расследований, а также Группой по расследованию финансовых преступлений Главного управления полиции Кипра (GlobalCyber Security Capacity Centre, 2017b). В связи с тем, что в разных странах ответственность за борьбу с киберпреступностью и проведение расследований дел о киберпреступлениях несут разные органы, во многих странах создаются официальные контактные пункты. Например, на Кипре круглосуточным контактным пунктом является Управление по борьбе с киберпреступностью (Global Cyber SecurityCapacity Centre, 2017b).

Сотрудники органов уголовного правосудия должны обладать специальными знаниями (т.е. информацией, относящейся к предметной области, которая необходима для выполнения задачи), навыками (т.е. профессиональным опытом в предметной области) и способностями (т.е. умением применять знания и навыки для выполнения задачи) (все вместе они именуются ЗНС (знания, навыки, способности); см. «Пример уровня ЗНС для следователя по делам о киберпреступности» во вставке ниже), в дополнение к тем знаниям, навыкам и способностям, которые необходимы для расследования, уголовного преследования и/или разбирательства дел, связанных с преступлениями совершаемыми вне сети Интернет. Например, сотрудники правоохранительных органов должны быть в состоянии расследовать киберпреступления и/или иные преступления, которые так или иначе связаны с использованием устройств информационно-коммуникационных технологий (например, смартфонов, в которых хранятся доказательства преступления), и надлежащим образом обращаться с ИКТ в ходе расследования (например, выявлять, получать, сохранять и анализировать цифровые доказательства таким способом, чтобы обеспечить их допустимость в суде) (National Initiative forCybersecurity Careers and Studies, n.d.). Возможности правоохранительных органов расследовать киберпреступления зависят от страны и варьируются в зависимости от конкретного учреждения внутри страны. Например, в Кыргызской Республике правоохранительные органы имеют ограниченные возможности для расследования киберпреступлений из-за отсутствия специализированных знаний, навыков, способностей, подготовки, а также нехватки кадровых и финансовых ресурсов (Global Cyber Security Capacity Centre, 2017a). На Мадагаскаре отчет за 2017 год показал, что, хотя в структуре правоохранительных органов «не было специализированного подразделения по борьбе с киберпреступностью, ... вопросами киберпреступности занимались некоторые специально назначенные для этой цели сотрудники Национальной полиции и жандармерии» (Global Cyber Security Capacity Centre, 2017a, p. 33). Для сравнения, во Франции существует несколько подразделений, сотрудники которых имеют специальную подготовку для проведения расследований киберпреступлений (например, Les investigateurs en Cybercriminalité (следователи по делам о киберпреступности) (ICC) и N-TECH (следователи со специальной подготовкой в сфере новых технологий), которые входят в состав Национальной жандармерии) (для ознакомления с отчетами о других странах см. портал Глобального центра развития потенциала в области кибербезопасности).

Пример уровня ЗНС следователя по делам о киберпреступности

Структура трудовых ресурсов в области кибербезопасности (Cybersecurity Workforce Framework), разработанная в рамках Национальной образовательной инициативы США в сфере кибербезопасности (NICE) (рассматривается в модуле 8 серии модулей по киберпреступности: «Кибербезопасность и предупреждение киберпреступности: стратегии, политика и программы»), включает в себя ЗНС для штатных должностей, связанных с кибербезопасностью и киберпреступностью. Например, в Структуре трудовых ресурсов в области кибербезопасности NICEперечислены следующие уровни знаний, навыков и способностей для следователя по делам о киберпреступности (US National Initiative for Cybersecurity Careers and Studies, n.d.):

Знания

  • K0001: Знание концепций построения компьютерных сетей, сетевых протоколов и методологий обеспечения безопасности сети.
  • K0002: Знание процессов управления рисками (например, методов оценки и снижения риска).
  • K0003: Знание законов, правил, политики и этики, относящихся к кибербезопасности и конфиденциальности.
  • K0004: Знание принципов обеспечения кибербезопасности и сохранения конфиденциальности.
  • K0005: Знание киберугроз и уязвимостей.
  • K0006: Знание конкретных оперативных последствий недочетов в системе обеспечения кибербезопасности.
  • K0046: Знание методологий и методов обнаружения вторжений для обнаружения вторжений на уровне узла и сети.
  • K0070: Знание угроз безопасности и уязвимостей системы и приложений (например, переполнение буфера, мобильный код, межсайтовый скриптинг, процедурный язык/язык структурированных запросов [PL/SQL] и внедрение SQL-кода, состояние гонки, скрытый канал, воспроизведение, возвратно-ориентированные атаки, вредоносный код).
  • K0107: Знание инструментов и законов/регламентов для проведения расследования инсайдерских угроз и составления отчетов.
  • K0110: Знание тактики, методов и процедур, используемых злоумышленниками.
  • K0114: Знание электронных устройств (например, компьютерных систем/компонентов, устройств контроля доступа, цифровых камер, цифровых сканеров, электронных органайзеров, жестких дисков, карт памяти, модемов, сетевых компонентов, сетевых приборов, сетевых устройств управления домом, принтеров, съемных устройств хранения данных, телефонов, копировальных устройств, факсимильных аппаратов и т.д.).
  • K0118: Знание процедур изъятия и сохранения цифровых доказательств.
  • K0123: Знание законных методов управления, связанных с обеспечением допустимости доказательств (например, норм доказательственного права).
  • K0125: Знание процессов сбора, упаковки, транспортировки и хранения электронных доказательств в рамках системы охраны доказательств.
  • K0128: Знание типов и наборов постоянно хранимых данных.
  • K0144: Знание социальной динамики взломщиков компьютеров в глобальном контексте.
  • K0155: Знание закона об электронных доказательствах.
  • K0156: Знание правовых норм доказательственного права и процедур судопроизводства.
  • K0168: Знание применимых законов, статутов (например, в титулах 10, 18, 32, 50 Кодексе США), президентских директив, директивных указаний органов исполнительной власти и/или административных/уголовно-правовых руководящих принципов и процедур.
  • K0209: Знание методов скрытой связи.
  • K0231: Знание протоколов, процедур и методов управления кризисными ситуациями.
  • K0244: Знание физического и физиологического поведения, которое может указывать на подозрительную или ненормальную активность.
  • K0251: Знание судебных процедур, включая процедуры представления фактов и доказательств.
  • K0351: Знание применимых статутов, законов, положений и принципов, регулирующих кибератаки и киберэксплуатацию.
  • K0624: Знание рисков для безопасности приложений (например, список Топ-10 сообщества «Открытый проект обеспечения безопасности веб-приложений»)

Навыки

  • S0047: Навыки сохранения целостности доказательств в соответствии со стандартными операционными процедурами или национальными стандартами.
  • S0068: Навыки сбора, обработки, упаковки, транспортировки и хранения электронных доказательств с целью недопущения изменений, потери, физического повреждения или уничтожения данных.
  • S0072: Навыки использования научных правил и методов для решения проблем.
  • S0086: Навыки оценки надежности поставщика и/или продукта.

Способности

  • A0174: Способность осуществлять поиск и навигацию по темной паутине с помощью сети TOR для поиска рынков и форумов.
  • A0175: Способность исследовать цифровые носители на нескольких платформах операционных систем.

Другие сотрудники системы уголовного правосудия, такие как прокуроры и судьи, также должны владеть специальными знаниями о киберпреступности и цифровой криминалистике (являющейся «одной из отраслей криминалистики, которая специализируется на уголовно-процессуальном праве и доказательствах применительно к компьютерам и связанным с ними устройствам»; Maras, 2014, p. 29; рассматривается в модуле 4 серии модулей по киберпреступности: «Введение в цифровую криминалистику», а также в модуле 6: «Практические аспекты расследования киберпреступлений и цифровой криминалистики»). Как и в случае правоохранительных органов, уровень подготовки прокуроров и судей варьируется между странами и даже внутри стран. Например, в Великобритании Королевская прокурорская служба имеет все возможности для судебного преследования виновных в совершении киберпреступлений, в то время как, по состоянию на 2016 год, прокуроры на местном уровне не имели такой же подготовки и ресурсов для осуществления судебного преследования в связи с киберпреступлениями (Global Cyber Security Capacity Centre, 2016c). В 2017 году власти Сьерра-Леоне сообщили, что прокуроры и судьи не обладают необходимыми знаниями, навыками, способностями и ресурсами для судебного преследования и разбирательства дел, связанных с киберпреступностью (Global Cyber Security Capacity Centre, 2016d). Схожая ситуация наблюдается в Исландии, где прокуроры и судьи проходят только специальную подготовку по вопросам киберпреступности на добровольной основе (Global Cyber Security Capacity Centre, 2017c). Сотрудники органов правосудия должны проходить подготовку для ознакомления с базовой информацией о киберпреступности и цифровой криминалистике, изучения вопросов, относящихся к показаниям экспертов по делам о киберпреступлениях и допустимости цифровых доказательств в суде. В 2017 году власти Сенегала сообщили, что судьи не проходят подготовку подобного типа (Global CyberSecurity Capacity Centre, 2016b).

Помимо национальных органов уголовного правосудия, региональные учреждения, такие как Агентство Европейского Союза по сотрудничеству правоохранительных органов (Europol) (для развития сотрудничества между правоохранительными органами в Европейском союзе) и Eurojust (для развития сотрудничества между судебными органами стран-членов Европейского союза), и международные агентства, такие как INTERPOL (Международная организация уголовной полиции, способствующая международному сотрудничеству между правоохранительными органами), оказывают содействие и/или способствуют проведению трансграничных расследований киберпреступлений. Например, в результате обмена оперативными данными и ресурсами между Европолом и государствами-членами Европейского союза был арестован преступник, известный тем, что продавал фальшивые банкноты номиналом 50 евро на незаконных рынках в темном Интернете (Europol, 2018c).

 

Органы национальной безопасности

Органы национальной безопасности могут принимать участие в расследованиях киберпреступлений (например, в некоторых странах расследования киберпреступлений могут проводиться с участием военных органов, тогда как в других странах такие расследования могут проводиться разведывательными органами или национальными управлениями кибербезопасности). Однако участие органов национальной безопасности в расследованиях киберпреступлений зависит от расследуемого киберпреступления, объекта (объектов) киберпреступления и/или исполнителей киберпреступления. Например, военные органы могут расследовать киберпреступления, имеющие какую-либо связь с вооруженными силами, то есть киберпреступления, совершенные против военнослужащих, военного имущества и/или военной информации, и/или киберпреступления, совершенные военнослужащими. В качестве примера можно привести Соединенные Штаты, где сотрудники военной полиции расследуют случаи нарушения Единого кодекса военной юстиции. В дополнение к расследованию таких киберпреступлений (или, как минимум, к участию в расследовании киберпреступлений в том или ином качестве), военные органы и прочие органы национальной безопасности могут отвечать за выявление, смягчение негативных последствий, предотвращение киберпреступлений, направленных на системы, сети и данные этих органов, системы, содержащие секретную информацию, а также за принятие ответных мер реагирования на такие киберпреступления (см. модуль 14 серии модулей по киберпреступности: «Хактивизм, терроризм, шпионаж, дезинформационные кампании и войны в киберпространстве» для получения дополнительной информации).

Органы национальной безопасности по всему миру развили и/или в настоящее время развивают свои кибероборонительные возможности (т.е. меры, которые предназначены для обнаружения и предотвращения киберпреступлений и смягчения последствий этих киберпреступлений в случае их совершения; Maras, 2016) и кибернаступательные возможности (т.е. меры, которые «предназначены для проникновения в системы противника и причинения им вреда или ущерба» и/или реагирования на кибератаку; Maras, 2016, p. 391). Именно признание киберпространства в качестве еще одной сферы ведения боевых действий (пятая сфера наряду с сушей, морем, воздухом и космосом; также известна под названием сфера операций, см. вставку «Знаете ли вы?» ниже), привело к расширению деятельности органов национальной безопасности в киберпространстве (Smeets, 2018; Kremer, 2014; Kallender and Hughes, 2017). Например, в Соединенных Штатах такое признание пятой сферы ведения боевых действий повлекло за собой создание Кибернетического командования США (USCYBERCOM). По примеру Соединенных Штатов другие страны, такие как Нидерланды, Германия, Испания, Республика Корея и Япония, также создали аналогичные кибернетические командования и/или кибернетические центры или подразделения (Smeets, 2018; Kremer, 2014; Kallender and Hughes, 2017; Ingeniería de Sistemas para la Defensa de España, n.d.). Организация Североатлантического договора (НАТО) также признала киберпространство пятой сферой ведения боевых действий (NATOCCDCE, 2016).

Знаете ли вы?

На Филиппинах предпочитают использовать термин «сфера операций». Согласно статье 2 Конституции страны, «Филиппины отказываются от войны как инструмента осуществления национальной политики, перенимают и используют общепринятые принципы международного права как часть законодательства собственной страны и придерживаются политики мира, равенства, справедливости, свободы, сотрудничества и мирных отношений между всеми нациями».

 

Частный сектор

Частный сектор играет важную роль в деле выявления, предотвращения, смягчения последствий и расследования киберпреступлений, поскольку в большинстве случаев именно частный сектор владеет критически важной инфраструктурой (т.е. инфраструктурой, считающейся необходимой для функционирования общества) и управляет ею и является одной из основных мишеней многих киберзависимых преступлений (т.е. киберпреступлений, цель которых заключается в нарушении конфиденциальности, целостности и доступности систем, сетей, сервисов и данных, таких как взлом, распространение вредоносных программ и распределенные атаки типа «отказ в обслуживании» или DDoS-атаки) и преступлений с использованием киберсетей (например, финансовое мошенничество в Интернете, преступления, связанные с использованием персональных данных, кража данных и коммерческой тайны и многие другие) (для получения дополнительной информации об этих киберпреступлениях и прочих видах киберзависимых преступлений и преступлений с использованием киберсетей, см. модуль 2 серии модулей по киберпреступности: «Основные виды киберпреступности»).

Согласно Резолюции 2341 (2017) Совета Безопасности Организации Объединенных Наций, «каждое государство само определяет, какие объекты его инфраструктуры являются критически важными» на его территории. Поскольку такой статус инфраструктуры определяется самим государством, между странами существуют различия в отношении того, какие объекты инфраструктуры относятся к критически важным. Например, Австралия в качестве критически важной инфраструктуры определила объекты, относящиеся к восьми секторам (а именно: здравоохранение; энергетика; транспорт; водоснабжение; связь; производство продовольствия и розничная торговля продуктами питания; банковское дело и финансы; и правительство Австралийского союза) (Australian Government, Department of Home Affairs, n.d.), в то время как Соединенные Штаты определили 16 типов объектов критически важной инфраструктуры (химические объекты; торговые предприятия; объекты связи; критически важные промышленные объекты; плотины; производственная база оборонной промышленности; аварийные службы; энергетика; финансовые услуги; продовольствие и сельское хозяйство; государственные учреждения; здравоохранение и санитарно-эпидемиологические службы; информационные технологии; ядерные реакторы, материалы и отходы; транспортные системы; и системы водоснабжения и удаления сточных вод) (US Department of Homeland Security, n.d.).

Знаете ли вы?

Термин «критически важная инфраструктура» используется не всеми странами для описания базовой инфраструктуры (Исполнительный директорат Контртеррористического комитета Совета Безопасности Организации Объединенных Наций и Контртеррористическое управление Организации Объединенных Наций, 2018 год). Например, вместо термина «критически важная инфраструктура» Новая Зеландия использует термин «жизненно важные коммуникации» для обозначения своих важных объектов жизнеобеспечения, которые включает в себя энергетику, связь, транспорт и водоснабжение (New Zealand Lifelines Council, 2017).

«Сети и системы командования и управления, предназначенные для поддержки производственных процессов» на объектах критически важной инфраструктуры, известны под названием системы управления технологическими процессами (СУ ТП) (ENISA, n.d.). Как отмечает Европейское агентство по сетевой и информационной безопасности,

СУ ТП претерпели значительные преобразования, превратившись из закрытых изолированных систем в системы открытой архитектуры и стандартных технологий, тесно связанные с другими корпоративными сетями и Интернетом. Сегодня продукты СУ ТП в основном основаны на стандартных платформах встроенных систем, применяемых в различных устройствах, таких как маршрутизаторы или кабельные модемы, и они зачастую используют коммерческое готовое программное обеспечение. Все это привело к снижению затрат, удобству в использовании и позволило осуществлять дистанционное управление и мониторинг из разных мест. Однако существенным недостатком, связанным с подключением к интрасетям и сетям связи, является повышенная уязвимость к атакам на основе компьютерных сетей (ENISA, n.d.).

Именно эти уязвимости, а также те, которые являются результатом ненадлежащих мер по обеспечению физической безопасности и защите от злоумышленных действий персонала (например, работник может принести зараженный флэш-накопитель на объект критически важной инфраструктуры и физически подключить его к системам этой инфраструктуры; см. модуль 9 серии модулей по киберпреступности: «Кибербезопасность и предупреждение киберпреступности: практические методы и меры» для получения дополнительной информации о практических мерах обеспечения кибербезопасности), делают возможными атаки киберпреступников на объекты критически важной инфраструктуры.

Поскольку в большинстве случаев критически важной инфраструктурой владеет частный сектор, который управляет ею и является одной из основных мишеней киберпреступников, он располагает всеми возможностями для принятия мер обеспечения безопасности, предназначенных для выявления киберпреступлений и киберпреступников в упреждающем порядке в целях предотвращения или, как минимум, смягчения последствий киберпреступлений, а также реагирования на киберпреступления, которые совершаются или были совершены (для получения дополнительной информации о мерах, реализуемых с целью предотвращения и смягчения последствий киберпреступлений и реагирования на них, см. модуль 9 серии модулей по киберпреступности: «Кибербезопасность и предупреждение киберпреступности: практические методы и меры»). Масштабы таких мер, принимаемых частным сектором, зависят от конкретной организации, ее сферы деятельности или организационно-правовой формы, ее людских, финансовых и технических ресурсов и возможностей.

Частный сектор также проводит частные расследования киберпреступлений. Частный сектор уязвим как к внутренним угрозам (например, к киберпреступлениям, совершаемым сотрудниками или руководителями коммерческого предприятия или организации), так и к внешним угрозам (например, к киберпреступлениям, совершаемым лицами, каким-либо образом связанными с коммерческим предприятием или организацией, например, поставщиками или заказчиками, или лицами, никак не связанными с предприятием или организацией) (Maras, 2014, p. 253). Когда совершается киберпреступление, предприятия и организации зачастую не обращаются в правоохранительные органы. Это, однако, зависит от вида киберпреступления, людских, технических и финансовых ресурсов частной организации, а также воздействия киберпреступления на организацию с точки зрения последствий сообщения о совершенном киберпреступлении для этой организации (например, потенциальный ущерб репутации и/или утрата доверия потребителей) (Maras, 2014; Maras, 2016).

Несообщение информации об утечке данных компанией Yahoo Inc.

Компания Yahoo Inc. (теперь известная под названием Altaba) сообщила об одном случае (из нескольких случаев) утечки данных, с которым она столкнулась, спустя два года после инцидента. В результате такого раскрытия информации «цена акций Yahoo упала на 3 процента, что привело к потере около 1,3 миллиардов долларов США рыночной капитализации. Кроме того, компания, которая [в тот момент времени] вела переговоры о продаже своего бизнеса компании Verizon, была вынуждена согласиться со скидкой в размере 7,25 процентов на предложенную цену покупки, что снизило ее на 350 млн. долларов США» (Dicke and Caloza, 2018). Из-за несвоевременного раскрытия сведений об утечке данных компания Yahoo была также оштрафована на 35 млн. долларов Комиссией по ценным бумагам и биржам США (US Securities and Exchange Commission, 2018).

Так же, как и правоохранительные органы, частные компании и организации проводят расследования при выявлении киберпреступления или получении сообщения о киберпреступлении. Расследование проводится с целью получения информации об инциденте и возбуждения дела в отношении исполнителя (исполнителей) киберпреступления (киберпреступлений). В зависимости от размера и ресурсов частных компаний и организаций, расследование может проводиться штатными следователями или следователями, нанятыми извне (Maras, 2014). В число лиц, принимающих участие в расследованиях киберпреступлений, входят представители частных компаний, отраслевых организаций, торговых организаций и компаний, предоставляющие услуги по обеспечению безопасности, расследованиям и цифровой криминалистике (Hunton, 2012). Бывали случаи, когда специалисты по информационным технологиям и эксперты в области цифровой криминалистики из негосударственного сектора использовались частными компаниями и организациями для сбора и сохранения цифровых доказательств. Однако эти специалисты могут не иметь необходимых знаний, навыков и способностей для проведения расследований киберпреступлений и надлежащего обращения с цифровыми доказательствами киберпреступления, чтобы обеспечить их допустимость в судах общего права (Maras, 2014)

 

Государственно-частные партнерства и целевые группы

Частный сектор обладает людскими, финансовыми и техническими ресурсами для проведения расследований киберпреступлений и может оказать помощь органам национальной безопасности, правоохранительным органам и другим государственным учреждениям по делам, связанным с киберпреступностью. В этой связи на международном уровне было разработано множество проектов в рамках государственно-частного партнерства с целью усиления возможностей стран для расследования киберпреступлений (Shore, Du, and Zeadally, 2011). В качестве примера можно привести Центр обработки данных о киберпреступности (Cyber Fusion Centre) Интерпола, где работают как сотрудники правоохранительных органов, так и отраслевые эксперты по кибербезопасности, которые собирают ценную оперативную информацию и обмениваются ей с соответствующими заинтересованными сторонами (INTERPOL, n.d.). Trend Micro (компания-разработчик программ обеспечения кибербезопасности и киберзащиты), Лаборатория Касперского (разработчик программ кибербезопасности и защиты от компьютерных вирусов) и другие частные компании, которые занимаются вопросами, связанными с киберпреступностью или кибербезопасностью, и/или являются поставщиками Интернет-услуг и Интернет-контента или оказывают иные услуги, связанные с Интернетом, тесно сотрудничают с Интерполом (INTERPOL, n.d.). Организация Североатлантического договора (НАТО) также сотрудничает с союзниками в целом и с Европейским союзом и частной промышленностью в частности на основе Технического соглашения о киберзащите и Киберпартнерства НАТО с промышленностью.

Механизмы государственно-частного партнерства (ГЧП) также создаются на национальном уровне. В Соединенных Штатах Национальный альянс киберкриминалистики и киберподготовки (NCFTA) объединяет специалистов по киберпреступности из государственных органов, научных кругов и частного сектора с целью выявления и смягчения последствий киберпреступлений и борьбы с ними (NCFTA, n.d.). В Японии в рамках ГЧП была создана схожая с NCFTA структура – Центр по борьбе с киберпреступностью (JC3, 2014). В Европе проект 2Centre (2 Центр) осуществляется на основе сотрудничества между правоохранительными органами, образовательными организациями и частным бизнесом. Реализация этого проекта в рамках ГЧП началась с создания национальных центров в Ирландии и Франции, и впоследствии национальные центры были созданы в других странах; по состоянию на 2017 год, такие центры функционируют в Греции, Испании, Бельгии, Эстонии, Литве, Болгарии и Англии (Cybercrime Centres of Excellence Network for Training, Research and Education, n.d.).

В дополнении к ГЧП были созданы национальные целевые группы для оказания помощи в расследовании киберпреступлений. Эти целевые группы позволяют правоохранительным органам, обладающими разными юрисдикциями и полномочиями в своих странах (будь то местные, региональные или федеральные/национальные органы) осуществлять сотрудничество по делам, связанным с киберпреступностью. Эти группы, в зависимости от конкретной страны и/или региона, могут также включать в свой состав представителей научных кругов и частных компаний и организаций. В качестве примера можно привести Национальную объединенную оперативную группу по киберрасследованиям (NCIJTF) Федерального бюро расследований США, которая 

состоит из… представителей учреждений-партнеров, входящих в структуры правоохранительных органов, разведывательного сообщества и Министерства обороны, которые базируются в одном месте и тесно взаимодействуют с целью выполнения задачи организации на основе общегосударственного подхода. Являясь уникальным межведомственным кибернетическим центром, NCIJTF в первую очередь отвечает за координацию, обобщение и обмен информацией в поддержку исследований киберугроз, выполнение анализа оперативных данных и представление его результатов лицам, принимающим решения, и оказание содействия другим непрерывным усилиям по борьбе с киберугрозами национальной безопасности (FBI, n.d.). 

Были созданы и другие целевые группы, которые занимаются конкретными видами киберпреступлений. Например, Целевая группа по борьбе с электронными преступлениями (ECTF), специальная группа секретной службы США, отвечает за предотвращение, смягчение последствий, выявление и расследование киберпреступлений, в том числе совершенных в отношении систем финансовых расчетов и объектов критически важной инфраструктуры (US Secret Service, n.d.). В соответствии с Законом «О сплочении и укреплении Америки путем обеспечения надлежащими средствами, требуемыми для пресечения и воспрепятствования терроризму» («ПАТРИОТИЧЕСКИЙ акт») 2001 года, секретная служба США создала сеть целевых групп по борьбе с электронными преступлениями (ECTF) по всей территории Соединенных Штатов. Эти целевые группы взаимодействуют с местными, региональными и федеральными правоохранительными органами, а также с другими работниками системы уголовного правосудия (например, прокурорами), представителями научного сообщества и частного сектора (US Secret Service, n.d.). Европейская целевая группа по борьбе с электронными преступлениями (EECTF) была создана в 2009 году. EECTFосуществляет сбор, анализ и распространение информации о передовой практике.

Хотя органы уголовного правосудия, органы национальной безопасности, частный сектор, ГЧП и целевые группы являются основными действующими лицами при проведении расследований киберпреступлений, независимые расследования киберпреступлений могут также проводиться институтами гражданского общества, журналистами и общественностью. Примером может служить лаборатория Citizen Lab, опубликованные исследования которой включают в себя «расследование цифрового шпионажа против гражданского общества, документальное подтверждение фильтрации Интернет-контента и других технологий и методов, оказывающих негативное воздействие на осуществление права на свободу слова в Интернете, анализ средств контроля конфиденциальности, безопасности и информационных потоков, используемых в популярных приложениях, а также изучение механизмов обеспечения прозрачности и подотчетности во взаимоотношениях между корпорациями и государственными учреждениями в сфере защиты персональных данных и прочих видов надзора» (Citizen Lab, n.d.). Кроме того, представители общественности могут оказывать правоохранительным органам добровольное содействие путем проведения собственных независимых расследований в сети Интернет; такой случай наблюдался после взрывов в Бостоне в 2013 году (Nhan, Huey, and Broll, 2017). Более того, некоторые аспекты расследования киберпреступности (например, выявление незаконных материалов в Интернете) могут поручаться и уже поручались общественности путем проведения открытого конкурса (этот процесс именуется краудсорсингом). Например, «Европол выступил с краудсорсинговой инициативой для привлечения широкой общественности к расширенному поиску источников происхождения изображений сексуального насилия над детьми. С момента запуска проекта, реализация которого началась 1 июня 2017 года, в Европол было отправлено более 22.000 полезных подсказок, в результате рассмотрения которых уже опознано восемь детей, и один преступник задержан благодаря помощи простых граждан» (Europol, 2018a).

 
 Далее: Препятствия для расследования киберпреступлений
 Наверх