С развитием технологий искусственного интеллекта и машинного обучения меняются и технологии работы с данными, большими данными. В компьютерной криминалистике ключевым вопросом становится максимальная автоматизация процессов анализа больших объемов доказательств и формирование «подсказок» для экспертов на основе аналогичных кейсов для более быстрого расследования преступлений и минимизации влияния человеческого фактора на результат. Анализ, тегирование, визуализация связей, формирование наиболее вероятных оценок — то, к чему идут современные системы сбора и анализа доказательной базы.
- Введение
- Кому нужна криминалистика
- Приоритеты менеджмента при проведении расследований
- Идеальное решение
- Меняющийся характер расследований
- Подходы к получению эффективных результатов
- Искусственный интеллект и интернет вещей в криминалистике
- Использование машинного обучения
- Выводы
Введение
Расследований все больше... Инфраструктура для проведения эффективных расследований усложняется, подстегиваемая глобальными тенденциями, включая BYOD, обеспечение безопасности конфиденциальности данных, облачные среды. Во всех секторах расследования становятся «коллективными», и в настоящее время часто привлекаются сотрудники HR и других департаментов, которые не являются экспертами в криминалистике, но должны взаимодействовать с судебно-криминалистическими технологиями.
Экспертам-криминалистам приходится обрабатывать огромное количество данных, работать с новыми, сложными типами информации, получаемыми из разнообразных источников. По мере увеличения объемов расследований и необходимости соблюдения сроков их проведения, достижение необходимых результатов становится все более трудновыполнимой задачей.
Конечно, необходимы новые решения — более мощные, гибкие технологии, которые могут обрабатывать большие, разнообразные наборы данных быстрее, чем существующие платформы. Но дело не только в большей вычислительной мощности. Исследователи нуждаются в лучшей индексации, более высокой масштабируемости и возможностях быстрого сбора данных. Не менее важно и то, что сегодняшние решения должны учитывать меняющийся характер расследований. Сегодня решения должны быть умнее!
Кому нужна криминалистика
Корпорации
Корпорации сегодня имеют дело с огромным количеством цифровых данных, которыми делятся между собой команды, отделы, отдаленные филиалы. Даже в таких отраслях, как здравоохранение, финансы, энергетика, предприятия должны управлять цифровыми расследованиями и электронными документами быстрее, эффективнее и надежнее, снижая при этом затраты. Для обеспечения безопасности данных и повышения эффективности работ необходимо учитывать и правила обеспечения конфиденциальности данных, и при этом строить эффективные коммуникации. Поиск инструментов, которые помогут создать надлежащий баланс между сбором соответствующих доказательств для расследования и обеспечением конфиденциальности и защиты собираемых данных, должен быть приоритетом номер один.
Государственный сектор
Наряду с извечной проблемой нехватки финансирования ИТ/ИБ, организации государственного сектора сегодня часто сталкиваются с растущим отставанием во времени при рассмотрении дел. Как никогда важно, чтобы команды могли быстро сосредоточиться на соответствующих доказательствах для борьбы с мошенничеством и другими преступлениями, присущими государственному сектору. Необходимы инструменты для поиска и анализа данных, часто недоступные в рамках обычных процессов, позволяющие экспертам и следователям быстро и уверенно собирать ключевые доказательства и сокращать задержки между временем сбора данных и их рассмотрением.
Юридические фирмы
Все больше и больше юридических фирм хотят эффективнее обслуживать своих клиентов, упрощая процессы работы с электронными доказательствами и снижая затраты. Это сложная задача сегодня, когда миллионы документов и терабайты данных являются обычным явлением. Чтобы сделать работу с электронными документами более эффективной, необходим доступ к интегрированным инструментам для обработки, проверки и организации судебных дел. И для этого нужна платформа обзора документов в реальном времени, которая позволит обеспечить безопасное сотрудничество, независимо от того, где находится любой участник команды при подготовке к судебным разбирательствам.
Сервис-провайдеры
Как и юридические фирмы, поставщики услуг (компании, предлагающие помощь по сбору и расследованию инцидентов) должны иметь возможность осуществлять сложные проекты по работе с электронными свидетельствами. Таким образом, существует необходимость в инструментах, которые могут поддерживать глобально рассредоточенные следственные группы и их сотрудничество в реальном времени. И, как и в случае с крупными предприятиями, поставщикам услуг необходимо сбалансировать сбор доказательств и соблюдение их конфиденциальности.
Приоритеты менеджмента при проведении расследований
Поговорите с людьми, которые проводят расследования, и вы услышите некоторые общие умозаключения. Там ведь тоже собирается множество данных из множества источников. Следователи также работают со все более сложными типами информации, многие из которых могут быть труднодоступными. В целом, необходимо проводить множество расследований с ужесточением сроков и большим давлением на сокращение расходов на ИТ/ИБ.
В опросе, проведенном AccessData среди руководителей в самых разных организациях, было выяснено, что самые большие проблемы — это время, стоимость и эффективность при управлении процессом расследования по всей организации.
Рисунок 1. Результаты опроса среди руководителей, проведенного AccessData
Идеальное решение
Обобщая срезы по отраслям и опросы, возможно составить «портрет» идеального решения. Оно должно позволять производить следующие действия:
- собирать разнообразные данные со всех точек их расположения (удаленно и локально);
- обеспечивать защиту собираемых конфиденциальных данных при их сборе, хранении, обработке;
- осуществлять быстрый автоматизированный сбор и анализ информации для сокращения срока расследования инцидентов и их общей очереди;
- осуществлять ролевой доступ к данным/делам в зависимости от задачи из любой точки мира.
Меняющийся характер расследований
Нарушения, нормативные акты и интернет вещей
Руководители компаний хотят получить заверения от своих команд кибербезопасности, что их данные защищены, а компания соответствует требованиям стандартов и законов. Но как обеспечить соответствие требованиям и как защитить данные организации при доступе к ним с мобильных телефонов, смарт-часов или других новых устройств?
Тенденции, обуславливающие активизацию следственной деятельности, и проблемы, препятствующие проведению эффективных расследований:
- Возрастающие требования стандартов, которые стимулируют рост расследований.
- Растущее количество личных мобильных устройств в организациях (BYOD), удаленных
- рабочих мест.
- Необходимость удостовериться, что мы знаем, где находятся важные для нас данные, и можем их получить при необходимости.
- Увеличение объема интернета вещей, который генерирует новые данные из новых устройств и бизнес-процессов (smart car / smart home), которые могут иметь отношение к расследованию.
Подходы к получению эффективных результатов
Кросс-командное сотрудничество
Эффективное сотрудничество является ключом к успеху при управлении расследованиями. Команды больше не могут быть изолированы, поскольку данные, которые должны быть собраны, должны быть и доступны всем участникам расследования. Это относится к судебно-криминалистическим расследованиям как на корпоративном уровне, так и в государственном секторе. Эта необходимость особенно остро ощущается, когда к расследованию привлекаются внешние адвокаты, юридические фирмы или поставщики услуг. С учетом этих реалий лица, принимающие решения, предъявляют все более высокие требования к комплексным инструментам, которые способствуют такому сотрудничеству, не требуя ненужного перемещения данных, более длительных сроков расследований или более высоких затрат.
Согласно результатам опроса AccessData, ниже приведен уровень значимости сотрудничества между HR, IT и следственными группами для успеха цифровых расследований:
Рисунок 2. Уровень значимости сотрудничества между HR, IT и следственными группами, по опросу AccessData
Технологии, применяемые для решения возникающих проблем
Для проведения успешных расследований сегодня необходимо комплексное решение, которое позволит следователям найти соответствующие доказательства как можно быстрее.
Что искать:
- Скорость и стабильность: распределенная обработка и возможность использовать полный потенциал аппаратных ресурсов.
- Индексирование собираемых данных для эффективной фильтрации и поиска. Также важно при исследовании или проверке документов на основе общего индексного файла избегать дублирования файлов (дедупликация).
- Использование единой базы данных: единое хранилище данных гарантирует, что данные не перемещаются между отдельными, разрозненными платформами и продуктами, тем самым исключая риск потери, изменения данных или нарушения цепочки их хранения:
- при обычных подходах, в которых отсутствует единая база данных, данные должны передаваться между платформами и инструментами. В результате каждый раз, когда приходится перемещать данные, появляется риск повредить их или удалить, не говоря уже о дополнительных затратах на хранение данных;
- единая база данных позволяет кросс-функциональным командам легко сотрудничать при проведении расследований, уменьшая совокупное время расследований.
Что искать в цифровых расследованиях
Судебно-криминалистические расследования сегодня часто приходится передавать распределенным командам. От нескольких офисных помещений до массивных территориально-распределенных филиалов. Сотрудникам и следователям, которые находятся удаленно, нужны корпоративные инструменты, которые обеспечат глубокую видимость изменяемых «живых» данных непосредственно на конечной точке, помогая проводить более быстрые, целенаправленные расследования непосредственно после нарушения.
Возможности платформы ACCESSDATA ENTERPRISE:
- оптимизирует поддержку внутренних расследований, проводимых HR, IT или другими неюридическими заинтересованными сторонами;
- предоставляет возможность реагировать быстро, удаленно и скрытно (развертывается на определенной машине / ноутбуке / рабочей станции / файловом ресурсе) при сохранении цепочки хранения;
- облегчает целенаправленные судебные расследования и анализ после нарушения без перерыва в бизнес-процессах компании/сотрудников;
- исключает необходимость ехать за свидетельствами, которые находятся в другом месте, а также стоимостные издержки при доставке свидетельств (нет необходимости иметь физический доступ к машинам для того, чтобы выполнить сбор данных);
- обеспечивает функцию паузы / возобновления, чтобы после запуска сбора в случае перехода машины в автономный режим работа возобновилась, как только она появится в сети вновь.
Возможности централизованной платформы – что искать:
- функция совместного анализа территориально-распределенных сотрудников;
- функция обработки огромных наборов данных, различных типов данных и выполнения нескольких дел одновременно в рамках совместной единой масштабируемой среды;
- поддержка распределенной обработки, позволяющая следователям использовать дополнительное оборудование для увеличения скорости обработки данных по мере необходимости;
- мощные функции веб-обзора собранных данных;
- визуализация данных, которая позволяет проводить более глубокий анализ, раскрывая отношения между объектами и шаблоны для принятия лучшего решения, что приводит к более благоприятным результатам.
Искусственный интеллект и интернет вещей в криминалистике
Меняющийся характер следственных задач приводит к разработке новых технологий. Мы видим это в новых интегрированных исследовательских системах, которые предлагают более быстрые возможности обработки, мощные базы данных, высокую масштабируемость и более тесную интеграцию команды для эффективного сотрудничества. Но будущее автоматизированных цифровых криминалистических инструментов в действительности лежит в машинном обучении и искусственном интеллекте (ИИ).
Искусственный интеллект часто описывается как технология будущего, нечто, не играющее роли в повседневной жизни сейчас, ориентированное на будущее. Но на самом деле это то, с чем мы сталкиваемся ежедневно. Когда мы ищем кинофильмы для просмотра, а браузер предлагает новые аналогичные на основе нашей истории просмотра — это искусственный интеллект в действии. То же самое происходит, когда мы входим в интернет-магазины, и они предлагают книги или другие продукты, адаптированные к нашим интересам. Этот тип технологии может использоваться и для управления процессом расследования, и со временем повышает точность и эффективность. Например, в рамках проведения юридического анализа ИИ ускоряет анализ документов и обеспечивает результаты, которые являются прозрачными и юридически оправданными: осуществляемая кластеризация документов и возможности предсказания используют машинное обучение для автоматической классификации документов.
Фактически искусственный интеллект позволяет сделать за эксперта первую часть работы: изучить документы, проанализировать улики и определить вероятный уровень сложности дела, то есть быстро подготовить необходимую базу для второго этапа работы криминалиста (проверки и вынесения заключения по делу).
И интернет вещей является для правоохранительных органов дополнительным источником информации — данные из автомобилей (видеорегистраторы, GPS, Bluеtooth, которые позволяют получить данные о его использовании, местонахождении), данные из бытовых приборов, систем охраны объектов, видеонаблюдения на улицах городов, в общественном транспорте — позволяют с использованием технологий искусственного интеллекта строить дополнительные связи между людьми, событиями и обогащать материалы следствия.
В будущем интеграция с системами хранения ДНК, с криминалистическими системами Интерпола позволит решать задачи не только на корпоративном и государственном уровне, но и на международном.
Использование машинного обучения
Природа машинного обучения заключается в том, что благодаря повторению и наблюдению с течением времени решения могут обеспечить более быструю производительность и улучшить качество результатов. В контексте цифровой криминалистики мы видим, что с помощью этих новых технологий следственные группы могут на каждом уровне квалификации проводить и фиксировать более точные результаты расследований в более короткие сроки. Машинное обучение может оказать влияние на каждом этапе расследования:
Использование графических и видеоматериалов
Интегрированная визуализация (временные графики, карты, диаграммы), анализ коммуникаций между людьми, распознавание изображений, распознавание лиц с фотографий.
Выявление связей
Продвинутые инструменты позволяют легко искать данные по всем делам и находить глубокие перекрестные доказательства, быстро анализировать объемы информации и делать большие, разнообразные наборы данных более применимыми.
Руководство текущими и будущими расследованиями
Возможности машинного обучения позволяют отслеживать каждый шаг к результатам и помогают делать более точные и релевантные выводы быстрее, а также максимально эффективно использовать доступные инструменты для создания рабочих процессов, автоматизации задач и сотрудничества между командами.
AccessData предлагает решения для сквозного бесшовного анализа со всеми продуктами на единой базе данных для непрерывной и эффективной работы команд в рамках рабочих процессов по работе с юридически значимой информацией и работает над максимальным использованием современных технологий в своих решениях.
Рисунок 3. Схематическое изображение процесса расследования инцидентов с помощью ACCESSDATA ENTERPRISE
Выводы
Эффективность в вопросах криминалистики сводится не только к использованию систем для сбора и анализа данных. Криминалистика — это, в первую очередь, реализация процессов взаимодействия команд, и решения по анализу данных являются проводником между экспертами в разных областях, которые задействованы в процессах, и инструментом оптимизации рутинных типовых задач.
Влияние новых технологий открывает широкие горизонты для криминалистов, позволяя с одной стороны обогатить доказательную базу (интернет вещей), а с другой — быстро сформировать из доказательств кейсы и осуществить предсказательную оценку возможных результатов посредством искусственного интеллекта.