После эфира “Российская форензика в условиях нового времени” взяли интервью у Юрия Тихоглаза, сооснователя Zero eDiscovery и экс-руководителя лаборатории компьютерной криминалистики в PwC.
Юрий рассказал о том, как пришел в сферу форензики, о планах развития компании в текущих условиях и поделился пятью любимыми инструментами форензики
Ты сооснователь Zero eDiscovery. Это что за компания?
Это ещё пока что даже я бы не назвал компанией. Это, наверное, даже больше идея. Проект, который мы начали с ещё одним моим бывшим и нынешним коллегой, с которым мы вместе работали в PwC. Мы решили сделать свою собственную систему eDiscovery.
Т.е. такой стартап?
Стартап ещё на уровне идеи, я бы сказал.
Так же ты экс-руководитель лаборатории компьютерной криминалистики PwC.
Да. Я какое-то время руководил лабораторией в PwC. Но тут нужно понимать, что компьютерная криминалистика, форензика в крупных аудиторских и консалтинговых фирмах отличается от того, что принято считать компьютерной криминалистикой.
А в чём отличие?
Это сложно назвать компьютерной криминалистикой в чистом виде. Там это называется “Технологические решения при проведении независимых финансовых расследований”.
А по факту для тех, кто не понимает?
В аудиторских фирмах есть практика форензик. Во всех фирмах.
Они занимаются финансовыми расследованиями. То есть это финансовая криминалистика. Но называется подразделение чаще всего “форензик”.
Потому что криминалистика. Они занимаются совершенно разными вещами от расследования финансовых преступлений внутри компании до классической компьютерной криминалистики.
И даже иногда реагированием на киберинцеденты. Зависит от компании.
Какая у тебя основная специализация? В чём ты себя считаешь экспертом?
Я занимался и продолжаю заниматься eDiscovery. Это то, что происходит после криминалистики.
Анализ данных?
Анализ данных. eDiscovery – что это вообще такое? Electronic Discovery.
В зарубежной юридической практике это стадия, которая предшествует самому какому-нибудь арбитражному, например разбирательству.
Т.е. это аналитическая разработка?
Это сбор, анализ и раскрытие информации по запросу третьей стороны или по запросу регулятора.
Т.е., например приходит регулятор и говорит компании: “Предоставьте мне все документы, которые относятся к вашему взаимодействию вот с этой компанией!” И соответственно эти данные надо собрать, проанализировать и извлечь оттуда только то, что относится к делу, и правильным образом предоставить это либо противной стороне, либо в суд, либо регулятору. И сделать это так, чтобы это не стоило бешеных денег.
Сейчас вы, как стартап кем видите своего клиента? И в текущих ситуативных условиях?
Сложно сказать. Потому что эта идея появилась, когда всё это ещё не началось.
Я смотрел на те инструменты, которыми я пользуюсь, и как разработчику они мне казались мягко скажем неидеальными.
Сейчас я думаю, что клиенты все те же самые. Т.е. это аудиторские фирмы, крупные юридические фирмы, внутренние службы безопасности, которые проводят внутренние расследования.
Как ты видишь сейчас изменения российского рынка, с которым вам и приходится работать именно в плане eDiscovery? Насколько поменялся ландшафт? Или поменяется ли?
Вендоры ушли, как я уже говорил сегодня. Образовался вакуум, который кому-то придётся заполнять. Плюс если мы говорим про какие-то крупные решения вроде той же самой Релативити, они сейчас играют роль такого монополиста. Условный 1С в мире eDiscovery.
Можешь назвать 5 любимых инструментов для eDiscovery или форензики?
Для eDiscovery: FTK, Guymager…
Guymager для того же самого. Autopsy.
Мне очень нравился EnCase Forensic, но, к сожалению, он стоил немалых денег, плюс в нормальной редакции он абы кому не продаётся, но у меня был шанс с ним поработать, мне с ним нравилось работать.
Мне очень нравится, как сделан Data share.
Ой, я фанат! За бесплатно это прекрасный способ индексации любых данных.
Я иногда натравливаю его на свой жёстки диск для того, чтобы разобраться, где что лежит.
Прекрасный инструмент. Если не пользуетесь, то обязательно посмотрите!
Хорошо, вопрос к тебе, как к человеку. Как ты к этому пришёл? Почему решил заниматься форензикой?
Я вообще не знал, что такое форензика. Я пришёл к этому совершенно случайно. Я пришёл в PWC, как разработчик. То есть крупная аудиторская консалтинговая фирма формировала международную команду разработчиков, которая должна была разрабатывать софт для внутренних и внешних клиентов, и таким образом зарабатывать для компании деньги. Через какое-то время эта инициатива схлопнулась, но, поскольку эта инициатива была внутри практик форензики, то оставшихся разработчиков перенаправили туда.
Почему? Что было вектором?
Просто интересно. Потому что, когда ты занимаешься этим, это всегда драйв и интересная движуха. Ну, и полетать по нашей необъятной родине в рамках проектов тоже всегда интересно.
По-моему, прекрасный совет, кто не знает с чего заняться форензикой: прийти в интересную компанию, сесть с интересными людьми и заняться интересным делом.
Это всегда так. В первую очередь заниматься интересным делом, а шанс рано или поздно появится.
Как ты видишь рынок форензики на ближайший год?
Я не думаю, что что-то будет сильно меняться, потому что потребность в классической форензике всегда остаётся.
Поуходили крупные международные юридические фирмы, а люди, которые в них работали, остались. Они прекрасно знают, что такое форензика и eDiscovery и зачем это надо, как этим пользоваться.
Всё равно оно всё здесь. Может быть, будет небольшой какой-то сдвиг в сторону классической экспертизы и реагирования на инциденты просто потому, что сейчас этого может быть несколько больше. Мы видели это на примере утечек.
Просто за счёт того, что появляются новые акторы во всей это истории, появляются новые команды и новые угрозы.