Опыт: Как проходят "маски-шоу".
В продолжение темы: http://pikabu.ru/story/_3806325 и специально для @dtkbrbq по этому комментарию: #comment_65210159
Итак, мало кто из руководителей не боится «маски шоу» с изъятием документов и компьютеров. В середине нулевых (последний раз 7 лет назад) я трижды бывал экспертом при таком изъятии, два — плановые и одно «по горячим следам». Счет по плановым 1:1, внеплановое не в пользу правоохранителей.
Итак сперва повторюсь — сотрудники полиции идут в организацию исключительно при наличии достоверной информации о нарушении (во всех случаях когда меня привлекали, если и изымали у кого-то «просто так» то не в моем присутствии, а то чему не был свидетелм...). То есть если пришли «маски-шоу» - они знают (или думают что знают) что и где искать. Ввиду того, что у нас далеко не столичный регион «масками» выступали ППСники и сотрудники ОВО, причем вместо киношных АК — пистолеты пулеметы. Вот такие «маски-шоу» с учетом местных реалий. Правда тем к кому они приходили, на эту несуразность внимания не обращали.
1. Вводная: Торговая точка на общей системе налогообложения, 3 сотрудника в точке, имеется информация о наличии «черной бухгалтерии». Откуда поступила информация — неизвестно, оговорка — начало по отмашке.
Приезжаем, ждем. Через 40 минут. Выходит покурить парень, дается первая отмашка. Двое сотрудников под видом покупателей заходят в магазин, через минуту за ними заходят еще двое (понятые). Курящий парень заходит в магазин и на его плечах заходит волна «масок» (в кавычках т. к. вошли обычные полицейские). Вошедшие ранее сотрудники не дали пройти парню (как оказалось бухгалтеру) на свое рабочее место, представились, начали проверку. Дают отмашку мне — задача поиск нужных файлов. На 3 сотрудников 3 компьютера и ноутбук. На двух компьютерах стоит ОС+офис+антивирусник... И все. Компьютер бухгалтера имеет дополнительно 1С:Бухгалтерию с одной учеткой, а ноутбук 1С:Бухгалтерию с двумя учетками...
По итогам осмотра составляются документы, ноутбук (это к тому, что «все изъять») пакуется и уходит на экспертизу. Насколько мне известно бухгалтер получил условный срок за... (барабанная дробь) нелицензионное ПО т. к. сумма уклонения от уплаты налогов до уголовной статьи не дотянула, а копия 1С на ноутбуке была пиратской.
2. Вводная: строительная организация (проектно-сметные работы), 7 человек (директор+бухгалтер+юрист и 6 сметчиков, директор не является хозяином), имеется информация о наличии «черной бухгалтерии». Информация поступила от сотрудника организации обиженного на зарплату (он, кстати, на «мероприятии» в открытую высказывал директору что он сдал и т. п., остальные сметчики «на протокол» все подробно рассказывали), хозяин бизнеса дал добро на работу.
Заход «масок» прошол без меня т. к. я банально проспал, да и могу себе это позволить. Прихожу, получаю отмашку на начало работы и файлы смет которые точно делались в «черную». На всех компах ОС+офис+антивирь+ГрандСмета. На первом проходе ничего не нахожу. Понимаю, что что-то пропустил. Беру один из компов и начинаю смотреть подробно. Короче докапываюсь, что сохранение документов идет на локальный (белые проекты) и сетевой (черные) диск. Сетевой диск — молчок. По имени машины и путям устанавливаю, что сетевой диск является microSD вставленный в компьютер директора. И тут облом — то что сменник является microSD я понял по адаптеру вставленному в картридер, сама карточка памяти в компьютере отсутствовала. По документам установили, что отсутствовала и купленная 1Ска. Поскольку карту при обыске не нашли («потерять» или спрятать микроба очень легко) считаю это шоу провалом милиции. Тут бы история и закончилась, если бы не «предусмотрительный» заявитель — на его компьютере была копия файлов с флешки. Файлы записали на диск, компьютеры под мои показания и по велению здравого смысла (организация не виновата) решили не изымать. Объясню что значит «под мои показания» - для суда самое главное — заключение экспертизы, да и понятые стоят не ради мебели. Поэтому возник вопрос как во-первых законно собрать доказательную базу, а во-вторых не подставить хозяина фирмы (нормальный мужик, кстати). Сошлись на том, что я пишу заключение с описанием включения съемного носителя и описание изъятой папки, хозяин и понятые подписываются под моими словами.
Данные о выполненных работах и полученных денежных средствах благодаря «запасливому» сотруднику быстро получили «живые» (с печатями и штампами) доказательства. Получил или нет директор срока не знаю, но с поста директора он был уволен в день обыска.
3 (внеплановый). Вводная: нормальное и долгосрочное партнерство двух фирм. Внезапно одна из них получает письмо о смене реквизитов и звонок о предоставлении очередного пакета документов на оплату. Письмо привезла «попутка», а привезти документы на оплату через два часа должен «продажник». Сумма — несколько миллионов. Главного бухгалтера что-то торкнула и она позвонила «коллеге» во вторую организацию. Реквизиты естественно не менялись. Поскольку «дяди» и суммы серьезные оперативная группа побила все рекорды сбора, согласования и подготовки документов. В момент передачи пакета документов (кстати документы были явно подписаны другой рукой) «продажника» кладут мордой в стол.
Получив подтверждение о поддельных документах оперативно вызывается группа «масок» и идет штурм «с ходу» организации где работал «креативный» продажник. Для тех кто в танке объясняю — у милиции (тогда еще полиции не было) на руках явно поддельные документы и человек который их привез, но вот кто составлял и насколько быстро «составитель» может замести следы неизвестно, поэтому и пошли на жесткие варианты. Параллельно вызванивают меня и дают координаты куда приехать. Приезжаю, наблюдаю соответствующую картину, начинаю работать. Из всего что я нашел был оригинальный (с правильными реквизитами) пакет документов сформированный в 1С и информация о том, что одно из писем двухлетней давности открывалось пару часов назад. Со слов присутствующего продажника он открыл документ, заменил текст, распечатал, отправил с попуткой, закрыл файл не сохраняя. Затем сформировал очередные пакеты документов по организациям, в нужном на просмотре печати отредактировал реквизиты, подписал настоящие, сам подписал поддельные, поставил на всех печать и повез развозить по клиентам.
Итог — продажник получил срок за мошенничество.
Ни на одно судебное заседание меня не вызывали. Так что, как показала практика, грамотно примененная microSD карта может оказаться более эффективной, чем забугорные терминальные серверы. Не из-за «технологичности», а потому, что если приходят «маски-шоу» они скорее всего знают что, где и как искать. Меня привлекали в нулевых по той простой причине, что относительно независимых квалифицированных специалистов в сфере ИТ вдалеке от крупных городов на тот момент практически не было. Но прошло время и теперь у полиции есть «специально обученные» люди для «полевого» нахождения нужной информации на компьютерах организаций. С одной стороны тупых выемок должно стать меньше т. к. специалист может сразу отсеять не нужные для дела машины, с другой стороны — спрятать информацию стало гораздо сложнее, более того даже до нашего городка (типа мухосранска) добралась цивилизация в виде профессиональных механизмов съема стертой информации с хардов и действительно квалифицированных специалистов.
В заключении хочу отметить две вещи и сделать ремарку:
Во-первых — на случай возможного изъятия машин вне организации (если идет полное изъятие изымаются и все флешки/съемники) должна храниться копия рабочих данных. Для большинства сотрудников объем рабочих документов за год — менее 3Гб, а значит можно хардами/флешками обеспечить современный «флоппи-нет» с резервной системой. В этом случае теряется информация за один день. Как временную замену изъятым компам можно использовать или старые машины или планшеты (офис и веб-приложения точно на Андройдах запускаются).
Во-вторых — максимально (в рамках закона естественно) сотрудничайте с правоохранителями. Чем быстрее будут закончены все проволочки, тем быстрее будет возвращена техника и организация приступит к работе.
Ремарка: в последнее время многие фильмы и сериалы "показывают" работу полиции. Так вот это художество и реальность имеют очень мало общего. Более того - правду о работе полиции показывать и рассказывать не будут никогда т.к. это может сказаться на расследовании преступлений. В подавляющем большинстве сотрудники полиции - отличные ребята, многие идут туда именно защищать нас с вами. Есть и уроды, спорить не буду. Просто один урод-полицейский совершивший преступление гораздо заметнее сотен молчаливых ребят, которые пашут сутками напролет, тонут в морях документов, подставляются под ножи и пули. Помните о том, что в любом стаде есть паршивые овцы.
Всем удачи и добра!