Цифровая криминалистика в борьбе с терроризмом: методология анализа следов в социальном медиапространстве

В эпоху современности социальные сети стали важнейшей и неотъемлемой частью жизни не только молодого поколения, но и граждан преклонного возраста. Современный смартфон стал порталом в целый ряд возможностей: удаленная работа, банковские приложения, дистанционное обучение и мгновенный доступ к любой информации. Интернет-среда создала беспрецедентный уровень комфорта, позволяя человеку существовать, не выходя за пределы дома. Однако вместе с преимуществами цифровой эпохи, человечеству пришлось столкнуться и с новыми вызовами. В потоке бесконечной информации значительно усложнилась возможность быстрого выявления преступной деятельности. Наибольшую тревогу вызывают правонарушения в сфере терроризма: подготовка, вербовка, сбор данных о потенциальных жертвах, финансирование терроризма, распространение в свободном доступе инструкций по изготовлению самодельных взрывных устройств. Современные террористы мастерски используют все возможности интернет-пространства для координаций своих действий, связи с сообщниками, координации атак, даже находясь на другом конце света. По данным силовых ведомств более 70% участников террористических группировок активно ведут деятельность в социальных сетях, создавая зашифрованные группы и чаты. Все эти угрозы требуют более детальный подход к изучению и выявлению данной проблемы, а также обеспечению безопасности в цифровом пространстве. В связи с этим особую актуальность данной темы приобретает разработка новых методологических подходов к расследованию преступлений данного рода.

Объектом исследования выступают цифровые следы в социальных сетях и мессенджерах.

При написании статьи использовались такие методы как: теоретический анализ (изучение существующих методов цифровой криминалистики), эмпирический (анализ реальных случаев использования цифровых следов в расследовании преступлений террористической направленности), сравнительный (сопоставление эффективности различных методов).

Термин «цифровые следы» в контексте преступлений террористической направленности представляет собой совокупность информации, оставленной пользователями в процессе их активизации в интернет-среде. Эта информация содержит в себе как отдельные виды, так и совокупность следующих данных:

1. Метаданные сообщений и звонков (данные о времени, дате, длительности и участниках);
2. Геолокационные данные (информация о местоположении объекта, зафиксированная с помощью GPS);
3. Метки активности (записи о времени использования устройства и приложений);
4. IP-адреса устройства (уникальные идентификационные данные, позволяющие отследить устройство);
5. Данные сообщений (текст, фото-, видео-, аудиоматериалы, которыми обмениваются пользователи и другие данные).

Правовые аспекты доказывания использования цифровых следов в большинстве случаев регламентируются Уголовно-процессуальным кодексом Российской Федерации (далее – УПК РФ) и Федеральным законом № 144-ФЗ «Об оперативно-розыскной деятельности». Статья 81 УПК РФ определяет порядок фиксации и изъятия электронных носителей информации. Это говорит о том, что при сборе цифровых доказательств важным фактором является соблюдение определенных процедур, чтобы в последующем они могли быть признаны в качестве доказательств в суде. Федеральный закон № 144-ФЗ «Об оперативно-розыскной деятельности» регламентирует порядок получения информации о соединениях между абонентами.

Цифровые следы в социальных сетях и мессенджерах можно классифицировать по нескольким категориям. Статические следы включают профили абонентов, посты и комментарии. Динамические следы представляются в виде истории активности и всевозможных временных метках. Сетевые следы показывают информацию о связях между пользователями. Контентные следы включают в себя любой текст и медиа файлы. Метаданные отражают информацию о технических характеристиках используемых устройств.

В связи со значительным развитием технических устройств, которые могут в автоматическом режиме сохранять данные об активности, пользователям становится всё сложнее «замести» своё присутствие в интернет-пространстве. В большинстве смартфонах и приложениях уже автоматически заложены функции по формированию следов в социальных сетях. Например, автоматическое сохранение истории сообщений, создание всевозможных резервных копий данных, хранение удаленной информации на серверах, сохранение метаданных даже при полном удалении основной части контента. Несмотря на это, каждый раз участники преступных группировок пытаются скрыть компрометирующие данные с помощью энкриптированных мессенджерах (Telegram, WhatsApp), анонимные сети (Tor, VPN), временные сети и одноразовые номера, незаконный захват чужих аккаунтов. Исследования показывают, что средняя террористическая ячейка использует 5–7 различных аккаунтов для коммуникации.

В данное время, силовыми структурами используются классические методы обнаружения следов, которые включают в себя мониторинг публичных профилей и групп, анализ паттернов поведения пользователей, анализ и выявление подозрительных действий в активности аккаунтов, обнаружение зашифрованных каналов связи, анализ геолокационных данных и анализ ключевых слов и фраз в сообщениях. Практическое выявление цифровых следов успешно показывает свои результаты в расследовании вербовки новых членов террористических группировок (анализируются цепочки сообщений, используемые для привлечения сторонников, которые позволяют выявить лидеров групп и каналы распространения незаконной идеологии), финансирования терроризма (отслеживаются финансовые транзакции через цифровые следы), координации действий (анализ временных меток сообщений позволяет успешно устанавливать последовательность событий и связи между всеми участниками). Также, существуют (и активно используются) технические средства фиксации цифровых следов:

1. Специализированные анализаторы трафика для мониторинга активности пользователей;
2. Программное обеспечение для анализа метаданных;
3. Системы автоматического определения и распознавания подозрительного контента, который требует наиболее детального изучения;
4. Всевозможные инструменты и программное обеспечение для восстановления удаленной информации;

Несмотря на уже достаточно успешный имеющийся опыт в расследовании данного рода преступлений, специалисты сталкиваются с рядом сложностей при обнаружении цифровых следов. Во-первых, информация распространяется с достаточно высокой скоростью, что затрудняет её своевременную фиксацию и отслеживание. Во-вторых, существует возможность мгновенного удаления данных, что делает их недоступными для выявления и анализа. В-третьих, имеющиеся возможности технологий шифрования усложняют процесс и увеличивают длительность обработки информации, в связи с необходимостью дешифрования и получения доступа к данным. Несомненно, все цифровые следы, оставленные в интернет-пространстве, представляют собой важный и необходимый источник доказательств при расследовании преступлений террористической направленности. Однако их эффективное использование требует комплексного подхода, включающего технические, правовые и организационные меры.

Совсем недавно, но уже успешно в программное обеспечение по выявлению всевозможных цифровых следов, внедряется искусственный интеллект, который может быстро обрабатывать огромный объем данных, анализировать и выявлять закономерности, вычленять «запрещенные» слова. Например, искусственный интеллект может использоваться для прогнозирования поведения пользователя на основе уже имеющихся данных.

Активно развивается институт лингвистического анализа, который позволяет выявлять настроения, определять тональность текста, скрытый умысел и выявлять ключевые темы. Это направление помогает анализировать любые текстовые данные, такие как сообщения в социальных сетях, отзывы клиентов, электронные письма, статьи во всевозможных изданиях.

Также, в последнее время всё чаще встречается использование биометрических данных для идентификации пользователей.

Нельзя оставить без внимания и внедрение технологий машинного обучения для выявления подозрительной активности. Оно используется для обнаружения мошенничества, кибератак и других угроз. Например, внедренные алгоритмы могут анализировать имеющиеся транзакции, чтобы выявить необычные паттерны, свойственные мошенническим схемам.

Отечественный опыт доказал хорошую эффективность системы «Окулус», которая способна обрабатывать до 200 000 фотографий в сутки и «СЕУС», являющаяся одной из немногих систем, решающей задачи в области противодействия терроризму.

Существуют и перспективные направления развития методов обнаружения преступных интернет-следов. Среди них создание единой базы данных подозрительных аккаунтов и паттернов поведения, доступ к которой был бы у всех силовых структур для более полного понимания угроз и организации межведомственного взаимодействия, разработка алгоритмов автоматического выявления террористического контента, внедрение систем мониторинга активности в реальном времени, повышение квалификации специалистов в области цифровой криминалистики, совершенствование законодательства в сфере цифровых доказательств. Практический опыт показывает, что наиболее эффективные результаты будут достигаться исключительно при комплексном подходе, включающем в себя сочетание технических методов с правовыми инструментами, использование международного опыта и сотрудничества, а также постоянное обновление методик с учетом постоянно меняющихся технологий и изменения методов террористических организаций.

В результате проведенного исследования методологии расследования преступлений террористической направленности с использованием следов в социальных сетях можно сделать вывод, что цифровые следы в условиях современности представляют собой важнейший источник доказательств в расследовании преступлений террористической направленности. Социальные сети и мессенджеры всё активнее и активнее используются террористами для выполнения своих преступных задач в области координации действий, вербовки новых членов группировки, распространении террористической идеологии. В данной статье разработаны эффективные методики работы с различными типами доказательств, определены наиболее эффективные инструменты и методы работы, а также выявлены проблемные зоны и предложены пути их решения. В целом, ожидаемые результаты от внедрения разработанных методик основаны на повышении эффективности террористических атак, увеличению доказательной базы и повышению уровня защищенности общества от террористических угроз. Дальнейшие исследования в данной области должны быть направлены на развитие технологий анализа наибольших данных, совершенствование методов шифрования и дешифрования, а также на создание новых инструментов для выявления и пресечения террористической деятельности в интернет-среде.