Что делать, если, или Изъятие жестких дисков у компании ОБЭП и МВД
Наша компания делится с Вами уникальным опытом по копированию данных с изъятых дисков в МВД или ОБЭП.
Нам поступил запрос с просьбой скопировать данные с изъятых носителей и компьютеров. Мы решили такую услугу предоставить. Встреча с клиентом состоялась у здания МВД, где и были выяснены основные обстоятельства дела.
Некое юридическое лицо под названием «Ромашка» по каким-то причинам освободило арендованную площадь, и её заняла новая компания «Одуванчик». Персонал этих двух фирм разный, от директора до менеджера. После этого в офис по данному адресу пришли с обыском оперуполномоченные в поисках съехавшей компании «Ромашка». И, как результат, с изъятием всего, что они посчитали необходимым. Любые доводы в пользу того, что компания «Одуванчик» никак связана с «Ромашкой», не были приняты. Аргументация оперативников проста: есть постановление, и оно выполняется. Соответственно, произошла опись изъятого (обратите внимание, опись должна быть составлена в обязательном порядке, иначе как впоследствии доказать свои права на имущество), и правоохранители вернулись в свой отдел. После чего компания не могла ни сдать отчеты, ни отправить почту, стояла на месте и несла издержки. По здравому размышлении руководство «Одуванчика» решило написать ходатайство с просьбой предоставить копии изъятых данных, в котором пригласило нас, как специалистов.
На встрече нам выдали копию ходатайства и доверенность на нашего сотрудника. При рассмотрении всех документов от нас потребовалось доказательство нашей квалификации, и единственное, что удовлетворило следователя – это оригинал диплома. И это после снятий копий со всех документов и заверением от нашего специалиста. На следующий день мы были приглашены со своими удлинителями, компьютерами и переходниками.
При понятых были вскрыты коробки и из них были изъяты жесткие диски, ноутбуки и моноблоки. После чего в сопровождении понятых и IT-сотрудника из МВД мы перешли в отдельную комнату, где развернули оборудование.
При согласии IT-сотрудника из органов мы под диктовку описывали и выполняли следующие действия: прежде всего, снятие образов жестких дисков, что позволит без особого труда запустить систему со всеми работающими параметрами. Проблему вызвали только моноблок и ноутбук, так как нам пришлось их разбирать без включения, а операция эта довольно непростая. На прогнозируемое время копирования, которое мы сообщали правоохранителям, все покидали помещение, и оно опечатывалось, По окончании процесса мы возвращались и продолжали работу.
В ходе копирования данных нами были выявлены такие проблемы:
1. На одном диске был сломан SATA-вход. С согласия следователей и понятых мы постарались восстановить порт и произвести копирование. Образ был успешно создан.
2. На втором диске были выявлены BED-сектора. Копирование было невозможно, поэтому клиент согласился пропустить диск.
По всем найденным проблемам был составлен акт, который подписали все присутствующие. Суть возникших сложностей была изложена как терминологически, для специалистов, так и в форме, доступной для простого пользователя: «Сломана пластмасса, и с устройства невозможно прочесть данные».
В итоге мы получили 1 ТБ данных и около 25 часов, проведенных в здании МВД.
Все данные клиента были восстановлены, и он смог продолжить работу с того момента, когда диски были изъяты. Из затрат понадобилось приобрести заново все диски (около 7 штук).
Что касается данных с моноблоков и ноутбуков, то они были просто переданы как диски. Мы также посоветовали клиенту обратиться с ходатайством о снятии дисков с ноутбуков и моноблоков и передачи моноблоков и ноутбуков обратно.