Об авторе: Олег Афонин, специалист по цифровой криминалистике компании «Элкомсофт»
Когда алгоритм объявляет цифровую улику «подделкой», человеческие аргументы теряют вес. Исход дела может зависеть от непрозрачного «чёрного ящика», решение которого сложно, а порой невозможно оспорить. Поддельные цифровые улики могут использоваться и стороной обвинения: их подбрасывают, ими давят на подозреваемого, ими формируют нужное впечатление. Где проходит грань между естественными реалиями цифрового мира и последствиями архаичных процедурных норм, не поспевающих за технологическим прогрессом?
Цифровые улики – фото, видео, аудиозаписи, логи, метаданные и данные из облаков – всё чаще становятся частью судебных процессов. Инструменты криминалистики подстраиваются под новые задачи: анализ становится автоматизированным, используются методы статистического анализа и нечёткого поиска, а также модели искусственного интеллекта, оценивающие степень достоверности доказательств. Они работают с вероятностями; их выводы основаны на сложных вычислениях, которые трудно проверить и почти невозможно воспроизвести.
Это создаёт практическую дилемму: процессуальные гарантии, которые веками строились на вещественных доказательствах и показаниях живых людей, не обеспечивают необходимых для цифровой экспертизы прозрачности и возможности перепроверить результат. Когда вывод строится на вероятностной модели или алгоритме с неизвестной логикой, возможности сторон оспорить такой результат резко сужаются. А значит, растёт риск судебных ошибок и несправедливых решений — не обязательно из злого умысла, а из-за того, что процессуальные нормы не успевают за реальностью.
Что такое цифровые доказательства — технически и юридически
Цифровые доказательства — это не просто файлы на устройстве. Это совокупность данных, включающая всю цепочку хранения: сам контент (фото, видео, переписка), его метаданные — такие как EXIF, временны́е метки, сетевые логи, история изменений, а также контекст хранения — контейнер, файловая система, облако или резервная копия. Даже простое копирование может изменить важные признаки подлинности: атрибуты, временны́е метки, признаки манипуляции; в ряде случаев в процессе извлечения может измениться даже сам формат файла. Для непосвящённого «снимок экрана» и «оригинальное изображение» могут выглядеть одинаково, особенно в распечатанном на бумаге виде, но для криминалиста это принципиально разные объекты с разной доказательной силой.
Юридическая ценность цифровой улики определяется не только её содержанием, но и тем, каким образом она была получена, как хранилась, чем и как исследовалась. Принцип криминалистической чистоты требует документировать каждый шаг: кто, когда и каким способом извлёк данные, каким инструментом, какой версией инструмента и с какими настройками, где и как хранились данные, кто имел к ним доступ. В отличие от физических вещественных доказательств, цифровые данные могут измениться незаметно, без следов внешнего воздействия; чтобы этого не случилось, обязательно считаются и сохраняются контрольные суммы. В цифровой криминалистике не меньшее значение, чем сам контент, имеет процесс — прозрачность и воспроизводимость всех действий с данными.
Почему старые подходы слабо применимы в новых условиях
Традиционные процессуальные гарантии — критерии подлинности, криминалистической чистоты, возможность перекрёстного допроса — были созданы для физических улик и живых свидетелей. Предмет можно осмотреть, человека — допросить, эксперту — задать неудобные вопросы. С цифровыми уликами всё сложнее: они существуют в виде набора данных, которые можно копировать, изменять, переносить и анализировать программными средствами, которые далеко не всегда способны обеспечить криминалистическую чистоту «цепочки хранения». Ошибочные действия любого участника, несовершенства алгоритмов могут сильно исказить результат экспертизы.
Процессуальные нормы исходят из того, что эксперт может объяснить, как он пришёл к выводу, а суд — проверить его рассуждения. Но цифровая экспертиза всё чаще опирается на алгоритмические модели, которые невозможно допросить или перепроверить — разве что использовав другую, но такую же непрозрачную модель. Программы анализа изображений, аудио или видео используют сложные статистические методы, машинное обучение и нейросети, которые выдают результат в форме вероятности: «есть признаки подделки — 82%». А если «63%»? При этом сам механизм расчёта вероятности остаётся скрытым и малопонятным даже для эксперта, который им пользуется, не говоря уже о суде или сторонах процесса.
Такое положение ставит судебный процесс в зависимость от доверия к инструменту, а не к человеку, а отсутствие прозрачности делает невозможным полноценный перекрёстный анализ. Модель может уверенно выдать заключение с точностью до сотых долей процента, но она не в состоянии объяснить, на чём заключение основано. Попытка оспорить вывод программы превращается в спор о доверии: чьи алгоритмы надёжнее, чья лаборатория авторитетнее. При этом сама методика не проходит независимой валидации, а статистика ложных срабатываний, как правило, не публикуется.
Эта размытость подрывает базовый принцип справедливого судебного разбирательства — возможность сторон понять и оспорить доказательство. Пока старые процессуальные нормы не адаптированы к цифровым реалиям, каждая новая экспертиза, основанная на непрозрачных моделях, остаётся результатом веры в технологию. Суду приходится выбирать, кому доверять: эксперту или показаниям сторон и свидетелей, и часто выбор делается в пользу вывода эксперта — просто потому, что эксперт формально квалифицирован и обладает сертификатом.
Ошибки и злоупотребления
Цифровые улики также подвержены манипуляциям и злоупотреблениям, как и обычные. Одна из простейших схем — подброс файла, например, через AirDrop (фирменная технология беспроводной передачи данных между устройствами Apple – ред.). На первый взгляд улика может выглядеть убедительно, на деле это манипуляция, позволяющая произвести задержание [невинного человека], а при удачном для обвинения стечении обстоятельств — и довести дело до суда. Единственный подброшенный файл запускает процедуру, которая может перерасти в уголовное дело.
Другой тип злоупотреблений — использование данных, полученных с нарушением процедуры, а то и откровенно подделанных, для давления на подозреваемого. Даже если эти данные не попадут затем в суд, они могут заставить человека дать признательные показания. Впрочем, этот метод не нов: сделанные скрытой камерой или откровенно постановочные фотографии использовались спецслужбами репрессивных режимов повсеместно. Более того, подобные методики культивировались сознательно; они тщательно составлялись и документировались; с соответствующими архивными документами Ministerium für Staatssicherheit (MfS) ГДР, или Stasi, может ознакомиться любой желающий, посетив один из открытых архивов или музеев. Разница — и она принципиальна! — в том, что если раньше для убедительной подделки доказательств требовались ресурсы мощной организации, то теперь подделать (отредактировать, а то и сгенерировать), к примеру, фотографию способен любой школьник.
Далее, ошибки. Сюда входят некорректное извлечение данных (в частности, использование методов, не сохраняющих или модифицирующих метаданные — такие, как атрибуты владельца файла или временные метки), конверсия форматов, потеря хэшей. К примеру, фотография экрана устройства, а тем более — её распечатка, хотя и может использоваться в ходе расследования, сама по себе не является доказательством, но в совокупности с корректно оформленной и документированной цепочкой хранения может получить доказательственное значение. Техническая ошибка легко превращается в процессуальную проблему: стороны начинают спорить не о содержании, а о корректности экспертизы.
В рамках этой публикации мы рассуждаем о том, как подобные вещи должны работать в теории — и в то же время понимаем, что современные реалии далеки от идеала. Проблемы такого рода решаются не мгновенно и не только усилиями отдельных экспертов. Важно последовательно выстраивать процедуры и стандарты: фиксировать контрольные хэши и логи, подробно документировать действия с данными, обеспечивать возможность проверки и повторной экспертизы. Это не требует «идеальных условий», но повышает прозрачность и доверие к цифровым доказательствам, тем самым делая судебные ошибки менее вероятными.
С одной стороны, ответственность за выводы экспертизы лежит на конкретном специалисте. Если эксперт что-то не увидел, пропустил, не понял — это не нарушение. С другой — в связи с нехваткой времени, а иногда и квалификации эксперты могут опасаться брать на себя лишнюю ответственность, предпочитая «не заметить лишнего», если не уверены, что смогут квалифицированно это интерпретировать и в случае необходимости — объяснить. Наконец, нельзя игнорировать и то, что в реальных условиях на выводы экспертов влияют и внешние факторы: организационные ограничения, профессиональная изоляция, а иногда — системные ожидания, которые делают выбор «удобного» заключения привлекательным. Поэтому помимо персональной ответственности важны и институционные гарантии: прозрачные процедуры назначения экспертиз, возможность независимой проверки и механизмы защиты для специалистов — всё это снижает риск того, что одна ошибка или давление превратятся в фатальное и необратимое решение.
Как проверить результат экспертизы
Если экспертиза объявила доказательство сфабрикованным или, напротив, не распознала подделку, имеет смысл запросить полный отчёт эксперта: как именно он проводил проверку, какие программы и какой версии использовал, какие файлы анализировал и как они были получены. Для проведения повторной независимой экспертизы важно получить доступ к оригиналам всех данных, в идеале — к самому устройству, из которого они были извлечены. При необходимости может иметь смысл пригласить технического специалиста, который сможет объяснить детали проверки понятным языком.
Разные программы и модели могут давать разные результаты, поэтому важно не только проверить исходные данные, но и понять, как именно программа пришла к тому или иному выводу. В суде эксперт должен ответить на простые вопросы: можно ли воспроизвести анализ? Если метаданные имеют значение, не могли ли они измениться при копировании? Если возникают сомнения, ходатайствовать о повторной проверке и исключении сомнительных результатов из доказательств. Иногда простые уточняющие вопросы помогают увидеть, что предполагаемая «подделка» оказалась просто ошибкой, а инкриминирующее фото или видео не могло быть снято на устройстве обвиняемого — что, кстати, отлично демонстрирует недавний кейс, описанный в статье Deepfakes Uncovered – iPhone 6 Could Not Have Captured the A.I.-Generated Evidence.
Заключение
Цифровые улики становятся неотъемлемой частью расследований, но вместе с ними появилась неопределённость. Мы доверяем алгоритмам, которых не понимаем, и моделям, для которых «управляемая галлюцинация» — не ругательство, а техническое описание принципов работы. Модели и алгоритмы, их решения и рекомендации, всё чаще определяют судьбы людей. Суд и следствие пока опираются на правила, созданные для мира вещественных доказательств и живых свидетелей, которых можно было допросить, поймать на противоречиях, уличить во лжи. Поймать на противоречиях компьютерную модель намного сложнее, иногда — невозможно. «Прекрасный новый мир» требует новых подходов, которые формируются прямо сейчас на основе проб и ошибок.
