«Организация технико-криминалистической экспертизы компьютерных систем», Игорь Всеволодович Собецкий, преподаватель Учебного центра «Информзащита» // Урл я тоже забыл.
«В настоящее время экспертиза по уголовным делам производится либо экспертно-криминалистическими подразделениями органов внутренних дел и ФСБ, либо лабораториями судебной экспертизы Министерства юстиции. Ведомственные эксперты МВД и ФСБ, за очень редким исключением, разбираются в компьютерных системах на уровне «продвинутого пользователя», то есть в принципе не имеют возможности проводить сложные экспертизы. В лучшем случае такие эксперты не могут преодолеть парольную защиту в Windows NT или просят «снять пароль» с jpg-файла (работникам НИП «Информзащита» неоднократно приходилось консультировать таких специалистов). В худшем же случае результаты их экспертизы либо неполны, либо вследствие ошибок теряют доказательственное значение. Автору известно несколько особо тяжёлых случаев, когда недостаточно квалифицированные эксперты полностью уничтожали существенную информацию на изъятой компьютерной технике.
…
Если подсудимый смог воспользоваться услугами высокооплачиваемого адвоката и выводы эксперта ставятся под сомнение, то при повторной экспертизе могут возникнуть существенные трудности. Так, автору статьи пришлось некоторое время назад исследовать компьютер, побывавший в кривых руках «независимого» специалиста. Суд тогда вынес решение о повторной экспертизе.
В ходе повторной экспертизы на жёстком диске исследуемого компьютера было обнаружено множество файлов, созданных… после даты изъятия компьютера! Корпус не был опечатан, а микросхем оперативной памяти не оказалось вовсе. «Независимый» эксперт был прост как две копейки: файлы с бухгалтерскими документами были отформатированы очень неудобно, поэтому он попросту взял и отредактировал их прямо на исследуемом компьютере. Ничего, что содержимое изменилось, зато всё на принтер влезло! После «независимой» экспертизы компьютер в неопечатанном виде долго хранился в неохраняемом коридоре, поэтому извлечь микросхемы мог кто угодно, может быть их с самого начала не было. И вообще, при чём тут микросхемы, жёсткий диск исследовать надо! Да ты что, старик, мне не веришь?!
Общими усилиями горе-эксперту разъяснили, что экспертиза компьютерных систем проводится на основе сбора и анализа объективных фактов, а верить или не верить можно в свободное время в храме. К сожалению, автору статьи пришлось зафиксировать в заключении об исследовании и сомнительное авторство бухгалтерских документов, и изменение аппаратной конфигурации, и распакованные архивы… К новому судебному заседанию дело похудело вдвое. Приговор оправдал самые лучшие ожидания адвоката.
…
Не котируются в судах такие откровения экспертов, как «по моему скромному мнению», «всем известно, что…» и даже «на основании собранных данных я догадался…» Процитированного последним автора до сих пор вспоминают в одном из судов под ласковым псевдонимом «догадливый», что не помешало отклонить его заключение.»
