Отчет Kroll-а (перевод с английского)

Фото: jurnal.md

В Молдове много говорится о таинственном отчете Kroll-а, который мало кто видел. И вот в Интернете появился 100-страничный перевод итогового отчета финансовых детективов. Приводим выдержки из этого документа.

3. Общий анализ Группы Шора

3.1 Определение Группы Шора

Под Группой Шора понимается список компаний, определенных НБМ как компании, находящиеся во владении и под управлением Илана Шора, либо напрямую, либо в результате получения информации, добытой в рамках расследования и указывающей на вероятную взаимосвязь. Когда в сентябре 2010 года общая сумма фактического долга Группы Шора начала отслеживаться НБМ, всего десять компаний подозревались во взаимосвязи с Группой Шора.

Со временем Группа разрослась, в связи с тем, что были установлены новые компании, связанные с Шором, посредством выездных проверок, дублирование адресов, дублирование IP-адресов, и связи между владельцами и директорами с Иланом Шором. Один пример такого анализа уделяет особое внимание установке услуги Клиент-Банк для 19 клиентов в BS, которая дает онлайн доступ к банковским операциям. Установка для всех 19 клиентов была произведена по одному и тому же адресу, Кишинэу, ул. Тигина 12, который ассоциируется с компанией Dufremol и, таким образом, вполне может быть связан с ней.

Количество установленных активных компаний Группы Шора выросло с 2010 по 2014 год, и к октябрю 2014 года равнялось 39. Мы не проводили анализ на определение компаний, принадлежащих Группе Шора, потому, все анализы по Группе основаны на работе, проведенной НБМ.

Таблица 1: количество активных компаний Группы Шора, установленных со временем

3.2 Обзор суммы задолженности Группы Шора

Общая сумма фактической задолженности по кредитам, взятым Группой Шора, перед всеми банками Молдовы, со 130 миллионов молдавских леев к 30 сентября 2010 года увеличилась примерно до 13.4 миллиардов молдавских леев к 25 ноября 2014 года.


4.3 Задолженность «Группы Шора»

Самые большие задолженности по кредитам у Группы Шора были перед BS, UB и Moldindconbank к концу 2012 года, при этом перед BEM сформировалась довольно небольшая задолженность. С декабря 2011 года по июнь 2012 года сумма по кредитам, выданным молдавскими банками компаниям Группы Шора, возросла с 0.9 миллиардов молдавских леев до 1.1 миллиарда молдавских леев. Во второй половине 2012 года и после реструктуризации системы распределения акций в UB, общая сумма фактической задолженности Группы Шора перед молдавскими банками увеличилась с 1.1 миллиарда молдавских леев до 1.4 миллиарда молдавских леев.

Во второй половине 2012 года объем кредитования UB компаниям Группы Шора увеличился на 164 миллиона молдавских леев, тогда как объем кредитования BS компаниям Группы Шора уменьшился на 188 миллионов молдавских леев. Уменьшение задолженности по кредиту Группы Шора перед BS объясняется 176 миллионами молдавских леев на депозитных счетах BS, размещенных в UB к концу 2012 года, представляя таким образом переброс долга Шора из BS в UB.

Задолженность по кредиту Группы Шора перед Moldindconbank возросла на 286 миллионов молдавских леев в 2012 году. Депозиты UB в размере 211 миллионов молдавских леев, размещенные в Moldindconbank могут частично объяснить это увеличение объема выданных кредитных средств, представляя передачу банковских депозитов компаниям Группы Шора в качестве кредитных средств.

Таблица 2: фактическая задолженность по кредиту Группы Шора за период с 31 декабря 2011 г. по 31 декабря 2012 г.

5. Задолженность «Группы Шора» 2013 г.

К 31 декабря 2013 года фактическая задолженность по кредиту Группы Шора более чем в три раза превысила сумму, которой она равнялась к концу 2012 года. В течение года наблюдалось значительное увеличение суммы долга перед UB в размере 2.6 миллионов молдавских леев, а также значительное уменьшение выдачи кредитов в BS и Moldindconbank.

Таблица 3: фактическая задолженность по кредиту Группы Шора в период с 31 декабря 2012 г. по 31 декабря 2013 г.

Увеличение объемов выдачи кредитов потребовало большого увеличения ликвидности. Как уже было указано в разделе 6, 7 и 8, в течение 2013 года UB, BS и BEM– все увеличили свою способность выдавать кредиты посредством комбинации межбанковских размещений, сверхкраткосрочных депозитов и корреспондентских счетов, открытых между собой и в иностранных банках. В то же время акционерная структура обоих банков BEM и BS значительно изменилась.

Сводный анализ итоговой суммы фактической задолженности Группы Шора перед всеми банками Молдовы за период времени с сентября 2010 года по ноябрь 2014 года, изложен в приведенном ниже графике:


График 1: Итоговая сумма фактической задолженности Группы Шора перед всеми банками Молдовы

Молдавский лей ‘000



По состоянию на 31 октября 2014 года, кредиты Группы Шора были выданы почти исключительно банками UB, BS и BEM, с самой большой суммой общей задолженности в BS.

Согласно имеющимся данным, все кроме четырех кредитов Группы Шора, которые не были погашены по состоянию на 31 октября 2014 года, были практически полностью погашены к 24 ноября 2014 года.

Вместо них, в период с 1 по 24 ноября 2014 года, ВЕМ были выданы новые и более дорогостоящие кредиты четырем компаниям, считающимся частью Группы Шора, а именно: Provolirom SRL, Dracard SRL, Caritas SRL и Voximar SRL, таким образом, что остаток долга (отрицательный баланс) этих компаний перед ВЕМ по состоянию на 24 ноября 2014 года составлял 13.2 миллиардов молдавских леев.

В результате с 24 по 26 ноября 2014 года, кредиты, выданные ВЕМ компаниям Provolirom SRL, Dracard SRL, Caritas SRL и Voximar SRL, были погашены. ВЕМ разместил значительную часть кредитных средств, принятых на депозит, в BS, которые были использованы для выдачи новых кредитов пяти компаниям Группы Шора, насчитывающие в сумме 13.7 миллиардов молдавских леев.

26 ноября 2014 года, сразу после собрания, проведенного по требованию семерых акционеров из России и Украины, BS продал кредиты, непогашенные компаниями Группы Шора, компании под названием Fortuna United LP, как указано в пункте 11.3.5.

9. Январь - ноябрь 2014 года

В течение 2014 года сумма кредитов, выданных молдавскими банками компаниям Группы Шора, увеличилась примерно на 65% до 7.9 миллиардов молдавских леев. Движения на балансе BEM в течение 2014 года предполагают, что увеличение в кредитовании было профинансировано посредством механизма молдавских банков, разместивших свои депозиты в ряде российских банков, которые затем разместили такие же равноценные депозиты в молдавском банке, увеличив тем самым его кредитоспособность. Тем не менее существует огромный риск того, что вклады, заявленные как полученные от российских банков, на деле не появятся. Депозиты были отражены в заявлениях дневного отчета, отправленного НБМ, но никаких договоров, сообщений Swift или иных наглядных подтверждений платежей Национальным Банком Молдовы обнаружено не было.

9.1 Растущая задолженность «Группы Шора»

Таблица 4: долг Группы Шора перед банком с 31 декабря 2013 г. по 31 октября 2014 г.

Анализ долга Группы Шора по кредиту между 31 декабря 2013 г. и 31 октября 2014 г. говорит о том, что кредиты, выданные BEM, BS и UB значительно увеличились с 4.8 миллиардов молдавских леев на 7.9 миллиардов молдавских леев. Наиболее значительное увеличение было зарегистрировано в кредитном долге в BEM, который увеличился на 2.2 миллиардов молдавских леев, в то время как кредитный долг в UB и BS увеличился на 0.9 миллиардов молдавских леев и 0.8 миллиардов молдавских леев соответственно.

10.3.4 BS выдал новые кредиты пяти компаниям Группы Шора

25 и 26 ноября BS выдал кредиты на общую сумму 13.7 миллиардов молдавских леев компаниям группы Шора: Danmira SRL, Davema Com SRL, Caritas Group SRL, Contrade SRLи Voximar Com. Две из этих компаний, Caritas Group SRL и Voximar Com были получателями больших займов от BEM в период между 1 и 24 ноября, которые затем были погашены 25 и 26 ноября. Кредиты были пронумерованы в документации последовательно один за другим в течение одного и того же дня, доказывая то, что они были выданы партией.


Таблица 5: Кредиты, выданные BS компаниям Группы Шора

Далее платежи по кредиту перешли к офшорным предприятиям, зарегистрированным в Великобритании и Гонконге, как в евро, так и в долларах.


Table 6: Выплаты кредитующихся клиентов офшорным предприятиям

Все офшорные компании использовали банковские счета в Privatbankв Латвии для получения средств.

Существует ряд сходств между этими предприятиями, которые, судя по всему, являются компаниями-однодневками, созданных в целях выкачки кредитов из BS. Все пять компаний были созданы за месяц до сделки, между 28 мая 2014 года и 6 ноября 2014 года, и на сегодняшний день только лишь зарегистрировали учредительные документы.

Три из этих компаний были учреждены менее чем за месяц до кредитной сделки: Royalport Limited (Гонконг), Expovision Logistics LP (Великобритания), и Danley Impex L.P (Великобритания). Трое из компаний были зарегистрированы в Шотландии, две из которых зарегистрированы по разным адресам в Эдинбурге, Danley Impex L.P и Expovision Logistics LP. Третья, United Technologies L.P. (Великобритания), зарегистрирована в жилом здании по адресу 45 Роузхаф Роуд, г. Инвернесс, Шотландия, который также является юридическим адресом для других компаний, которые осуществляли кредитные сделки с BSв ноябре 2014 года, такие как Westland Alliance L.P и Zenit Management L.P.

В дополнение к этому у всех пяти компаний в качестве владельцев и партнеров выступают офшорные предприятия. В частности, Vercel Solutions LLP и Royal port Limited контролируются юридическими лицами, зарегистрированными на Маршалловых островах в Комплексе Трастовых Компаний, Аджелтэйк Роуд, остров Аджелтэйк, Маджуро, MH 96960.

Комплекс Трастовых Компаний является также юридическим адресом для предприятий, раскрытых в великобританской корпоративной документации как партнеры Roseau Alliance LLP. Корпоративные партнеры Danley Impex L.P. зарегистрированы в Доминике.

Юридические адреса корпоративных партнеров United Technologies L.P и Expovision Logistics LP не раскрыты в имеющихся записях. Тем не менее, у United Technologies L.Pте же самые корпоративные партнеры, что и у Westland Alliance L.P, приведенные выше.

10.5 Подозрительная утеря кредитной документации в BEM, BS и UB

Большое количество документации, которой владели BEM, BS и UB, исчезло при странных обстоятельствах всего за несколько дней до того, как над BEM установили специальное управление 27 ноября 2014 года. Фургон, который использовался для перевозки документации BEM, подшитой с целью хранения в архивах, находившийся в ведении компании, связанной с Иланом Шором, был якобы украден и позднее найден сожженным.

Внутреннее расследование, проведенное BEM в декабре 2014 года, установило, что 26 ноября 2014 года, действующий на тот момент президент BEM, Виорел Бырка ("Бырка"), издал внутренний указ, требующий архивации некоторых документов. Документы, с пометкой для архивации, включали оригинальные документы, содержавшиеся в кредитных досье некоторых кредитующихся клиентов, такие как документация, обсуждавшаяся на совете директоров банка, и SWIFT подтверждения. Документация относительно вложений и получений финансовых инструментов в российских банках, также подлежали архивации.

Указ был доложен соответствующим главам отдела и 12 мешков с документами были переданы в кабинет Бырка, Юрие Буруянэ, глава отдела BEM по управлению, инкассации платежей и технической защите, должен был приобрести транспортное средство для перевозки документов в архив. Транспортное средство было предоставлено в распоряжение в 7 часов после полудня 26 ноября охранной компанией Klassica Force SRL, которую, по утверждениям работников BEM, контролировал Илан Шор. Мешки были загружены в транспортное средство водителем под наблюдением Юрие Буруянэ. И, поскольку было уже поздно, водитель заявил, что документы будут перевезены в архив на следующий день, 27 числа, а транспортное средство будет находиться в надежном гараже в течение ночи.

На следующий день Klassica Force SRL проинформировала BEM о том, что транспортное средство было украдено и найдено сожженным, данный факт был подтвержден отчетом молдавской полиции от 1 декабря 2014 года. Впоследствии, 22 декабря 2014 года Klassica Force SRL разъяснила BEM, что транспортное средство было украдено в процессе перевозки документов в архив UB, который располагался в городе Хынчешть.

Отчет BEM о происшествии отмечает, что было подозрительным то, что такое огромное количество документов хранилось в головном офисе BEM, и что "ни разу не был инициирован процесс их перевозки в архив ". Отчет также просветил и тот факт, что для перевозки документации было задействовано третье лицо, несмотря на то, что в отделе Юрие Буруянэ имеется достаточно средств для перевозки служебной документации. Следственный комитет также отметил, что во время допроса Виорел Бырка не сообщил следователям, что не получил уведомление от Klassica Force 27 ноября 2014 года о том, что транспортное средство было украдено.

11.1.2.6 «Холдинг Шора» со слов персонала BS

Уверенность в том, что компании, вовлеченные в подозрительные кредитные сделки, могли действовать в согласии с Шором, в дальнейшем подтвердилась схемой компаний «Холдинга Шора», раскрытым в BS. Отправленный по электронной почте персоналом BS до того, как банк был помещен под специальное управление, и обнаруженный расследованием НБМ, файл описывает компании, указанные ниже, как часть «Холдинга Шора». Такие компании, как Davema Com SRL, Provolirom SRL и Dracard SRL известны как кредитующиеся клиенты трех банков и уже ранее упоминались в данном отчете.

Компании, обозначенные в схеме как “Холдинг Шора”, включают:

• Ghermivali

• Elcomet Prim

• Vascovprod

• Molint Grup SC SRL

• Alutus COM

• Alreda Pro

• Davema COM

• Contrade

• Nobil Air

• Moldclassica Internaţional

• Dasler CON

• Provolirom

• Lavima Impex

• Dracard

• Biro Media

• Talnes

• Storad Grup


12. Куда ушли деньги?

Между 2012 годом и 31 октября 2014 года, долг компаний, признанных частью Холдинга Шора существенно увеличился с 1.1 миллиарда молдавских леев на 8 миллиардов молдавских леев. Это включило в себя то, что, похоже, произошло изначально, непосредственно операции по кредитованию, которые, со временем характеризовались сложным рядом сделок, при которых кредитные средства прошли между банками, между предприятиями, через иностранные предприятия, с использованием латвийских банковских счетов. Структура сделок и примерная схема были разработаны в попытке намеренно замаскировать истинную природу кредитной деятельности, и максимизировать размер доступного кредита. Общий профиль этих кредитных клиентов не был характерен для обычных коммерческих операций и уровень связи между предприятиями демонстрирует целенаправленные усилия, чтобы замаскировать истинные долги банков.

Требуется полное экспертное аналитическое расследование, чтобы установить последних получателей 8 миллиардов молдавских леев в пределах компаний Группы Шора по состоянию на 31 октября 2014 года, и как это развилось со временем.

И, вместе с тем ясно, что Илан Шор, а также физические лица, с которыми он связан, сильно замешан в схеме.

Между 1 и 24 ноября, долг Группы Шора увеличился на 5 миллиардов молдавских леев в результате массового увеличения кредитования в BEM четырех компаний: Provolirom SRL, Dracard SRL, Caritas Group SRLи Voximar Com SRL. Точные причины для действий, предпринятых в течение данного периода, не ясны, однако очевиден тот факт, что на тот момент, были предприняты согласованные усилия с целью извлечь капитал из трех банков, сконцентрировать кредитование в пределах BEM и уменьшения долга в других местах. Это было единственно возможным как результат введения полученного капитала четырьмя молдавскими банками в форме межбанковских депозитов на общую сумму 2.3 миллиардов молдавских леев и дальнейших межбанковских депозитов от UB и BS.

Как сформулировано в разделе 11.2, можно полагать, что из 13.1 миллиардов молдавских леев в займах, выданных банком BEM компаниям Provolirom SRL, Dracard SRL, Caritas Group SRLи Voximar Com SRL, 6.5 миллиардов молдавских леев были использованы для погашения существующего долга по кредитам Группы Шора от лица других компаний Группы Шора в трех банках. Как остаток по счёту в размере 6.6 миллиардов молдавских леев был использован, - остается неясным.

По неизвестным причинам там, по-видимому, было принято сознательное решение в конце ноября перевести долг из BEM в BS. Это привело к выдаче новых кредитов между 25 и 26 ноября на общую сумму 13.7 миллиардов молдавских леев компаниям Группы Шора, Danmira SRL, Davema Com SRL, Caritas Group SRL, Contrade SRL и Voximar Com банком BS. Эти средства были перечислены на латвийские банковские счета, в пользу иностранных компаний, учрежденных в Великобритании и Гонконге. В течение этого периода кредиты, выданные BEM в пользу Provolirom SRL, Draoard SRL Cantas Group SRL и Voximar Com SRL были погашены.

Сопутствующие события вокруг очевидно умышленного уничтожения кредитной документации, относящейся к компаниям, замешанным в схеме, наряду с попыткой изменить соглашения об уступке с Roseau, дополнительно доказывает то, что кредиты были мошенническими, и являлись частью преднамеренной попытки выкачать средства из банков.

Текущий подсчет убытков и отслеживание средств является частью более широкого ряда действий, который необходимо произвести на следующем этапе расследования. Тем не менее является ясным тот факт, что в настоящее время BS должен 18.3 миллиардов молдавских леев компании Fortunа (13.7 миллиардов молдавских леев до применения набегающих процентов).

Даже если эти средства были использованы частично для погашения долга по кредиту в размере 13.1 миллиардов молдавских леев в BEM в пользу Provolirom SRL, Dracard SRI, Caritas Group SRL и Voximar Com SRL, эти предприятия были указаны лишь как использовавшие ссуженные им средства в размере 6.5 миллиардов молдавских леев для погашения существующего кредитного долга Группы Шора, оставив 7.2 миллиарда молдавских леев без вести пропавшими.

Дальнейшие потери были понесены в связи с задолженными межбанковскими депозитами, которыми владели молдавские банки в BEM на момент банкротства.

Требуется полное экспертное аналитическое расследование получателей средств, чтобы установить реальный объем бенефициаров сделок и применить соответствующую законную мошенническую стратегию для покрытия исчезнувших средств.

15.1.2 Последующие приоритетные шаги: 1 этап

НБМ проинформировал нас, что были предприняты попытки удаления как электронных, так и печатных экземпляров документов. Не смотря на попытки удаления можно спасти хотя бы часть удаленных или утраченных электронных данных. Чтобы предпринять это действие необходимо будет раздобыть копии содержимого памяти соответствующих компьютеров и серверов. Это должно произойти чем скорее, во избежание заполнения удаленного пространства/незаполненных кластеров новой информацией. Из-за надвигающейся опасности утраты соответствующих данных мы самым настоятельным образом рекомендуем предпринять следующие безотлагательные меры:

Полное аналитическое моделирование систем электронного почтового сервера BEM и UB

Анализ системы электронной почты трех банков очень важен, даже если информационный обмен смог обойти официальные системы. Учитывая то, что мы до сих пор не установили каналы связи, для нас кране важно защитить все источники электронной почты, включая серверы электронной почты, персональные рабочие станции и их резервные копии. Поскольку системы электронной почты сервера все еще находятся в употреблении, при обработке ежедневного почтового трафика, незанятое пространство, то есть удаленные данные, постоянно переписываются. Чем дольше мы будем ждать с получением копии содержимого памяти этих систем, тем менее вероятно, что полезная информация сможет быть восстановлена. Следовательно, крайне необходимо немедленно получить копии содержимого памяти этих систем электронной почты сервера.

Полное аналитическое моделирование требуется для того, чтобы проанализировать удаленную информацию. Это должно быть осуществлено IT командой подразделения аналитики и безопасности Национального Банка Молдовы.

Полное аналитическое восстановление информации со всех рабочих столов и лэптопов потенциальных подозреваемых/депозитарных организаций

Поскольку данные уже были удалены (рукописные и электронные варианты), существует риск удаления или переписки более подробных данных. Чтобы восстановить офисную документацию, сканированные копии или прочие соответствующие данные, необходимо предпринять любые попытки, чтобы смоделировать хотя бы машины текущих подозреваемых, которые все еще находятся в пользовании.

Полное аналитическое восстановление информации требуется для проведения анализа удаленной информации.

Список лиц/должностей и их компьютеров предстоит установить компании Kroll и НБМ. Это задание должны выполнить члены IT-команды подразделения аналитики и безопасности Национального Банка Молдовы.

Полное аналитическое восстановление информации файловых серверов, по возможности, до конца первой недели марта 2015 года.
Системы файловых серверов владеют сетевым хранилищем банков, где люди индивидуально или коллективно могут сохранять данные, относящиеся к их бизнесу, для совместного использования с другими коллегами и для централизованного резервного копирования. Эти персонально используемые ресурсы, ‘совместно используемые ресурсы' и управленческие ресурсы' необходимо сделать доступными ввиду проведения дальнейшего анализа. Поскольку эти серверы до сих пор используются, а, следовательно, удаленные данные постоянно переписываются, очень важно, как можно скорее защитить все данные для экспертного анализа, содержащиеся в этих машинах.

Полное аналитическое восстановление информации требуется для проведения анализа удаленной информации.

Это задание должны выполнить члены ITкоманды подразделения аналитики и безопасности Национального Банка Молдовы.

15.1.3 Последующие приоритетные шаги: 2 этап

Защитить файлы системных журналов прокси-серверов как можно быстрее. Включая по возможности резервные копии.

Файлы системных журналов прокси-серверов как ‘наживка’ (используемая хотя бы в одном из банков) могут предоставить информацию о входящих и исходящих письмах по датам и темам, что поможет провести связь с письмами или системами чатов вне банковских систем (например, mail.ru, gmail.com, Skype и т.д.). Такая информация сможет помочь понять возможные связи, обойдя официальные банковские системы. Файлы системных журналов должны быть собраны и проанализированы на предмет соответствующей информации. Файлы системных журналов могут быть предоставлены местными IT-отделами трех банков. Это задание должны выполнить члены ITкоманды подразделения аналитики и безопасности Национального Банка Молдовы.

Поиск и защита любых доступных резервных копий файловых серверов, электронных почтовых серверов, баз данных и рабочих станций, как можно скорее.

Поскольку каждая резервная копия делается в определенный момент до удаления соответствующих данных и ранее утраченные данные можно восстановить, очень важно тщательно искать резервные копии. Информационные средства, используемые для работы, или резервные копии могут иногда повреждаться, и иногда они были удалены не сразу, а хранились в шкафу, ящике стола или хранилище в IT-отделе для последующего задействования.

Это задание должны выполнить члены IT-команды подразделения аналитики и безопасности Национального Банка Молдовы совместно с IT -подразделениями местных банков.

Проверить на наличие таких виртуальных машин, как VMware или Virtualbox, или им подобных, в особенности на наличие действующих VMs серверов. При наличии сделать копию соответствующих виртуальных дисков.

Виртуальные машины представляют собой стандартный способ упрощения комплектующих и эксплуатации. Они могут хранить информацию любого рода и могут легко копироваться методом моментального снимка в любое время или путем копирования виртуального диска, который представляет собой просто большой файл. Соответствующими системами могут быть серверы электронной почты, файловые серверы, серверы резервирования данных, серверы баз данных банковских систем, серверы управления отношениями с клиентами, системы архивирования или системы управления документами.

Это задание должны выполнить члены IT-команды подразделения аналитики и безопасности Национального Банка Молдовы совместно с IT-подразделениями местных банков.

Проверить, если в банк приносились устройства после приобретения г-ном Шором, и если да, то удалялись ли эти устройства снова впоследствии.

Наличие внешнего оборудования в банковских системах (персональные компьютеры, серверы, инфраструктурные устройства) будет давать указания об информации, которая может быть извлечена, и как другая информация могла попасть в банки. Обладая такого рода сведениями станет возможным поиск определённой более подробной информации относительно этих машин или устройств.

Это задание должны выполнить члены IT-команды подразделения аналитики и безопасности Национального Банка Молдовы совместно с IT-подразделениями местных банков.

Проверить на наличие старых, неработающих персональных компьютеров или жёстких дисков, а при их наличии, обезопасить эти устройства.

Старые неисправные персональные компьютеры и жесткие диски, возможно неисправные, но не выброшенные, могут оказаться ценным источником информации. И при наличии их с соответствующего периода времени и от подозрительных пользователей, пожалуйста передайте их Kroll для восстановления данных чистого места.

Это задание должны выполнить члены IT-команды подразделения аналитики и безопасности Национального Банка Молдовы совместно с IT-подразделениями местных банков.

Проверить на наличие узлов аварийного восстановления и сообщить банку.

Существование сайта дополнительных операций является значимым, но дополнительная информация о типе синхронизации данных, используемая для поддержания этих дополнительных сайтов в обновлённом состоянии, необходима. Синхронизирована ли она (зеркальное отображение удаленной информации на дополнительном сайте), или же находится в режиме резервного копирования (зеркальное отображение только файлов, не удаленной информации)? Также проверьте на наличие резервных копий эти дополнительные сайты, будь то банковским ITили третьей стороной.

Это задание должны выполнить члены IT-команды подразделения аналитики и безопасности Национального Банка Молдовы совместно с IT-подразделениями местных банков.

Обеспечить безопасность резервной копии/распечатки баз данных автоматизированных банковских систем в трех банках, включая кредитный модуль, и передать копию Kroll для проведения дальнейшего анализа.

Автоматизированные банковские системы уже были защищены Национальным банком.

Команде необходимо подтвердить при этом, если кредитный модуль является частью автоматизированных банковских систем. Если нет, база данных систем кредитного модуля должна также быть защищена.

Это задание должны выполнить члены ITкоманды подразделения аналитики и безопасности Национального Банка Молдовы.

Полное экспертное копирование содержимого памяти дополнительных серверов и раздобыть любые найденные резервные информационные средства.

Данные с серверов дополнительных сайтов могут быть дедуплицированы при сопоставлении с данными с серверов основных сайтов, и оставшиеся данные покажут удаленные или измененные файлы, которые, в свою очередь, могут быть проанализированы подробно. Это задание должны выполнить члены ITкоманды подразделения аналитики и безопасности Национального Банка Молдовы совместно с ITподразделениями местных банков.

15.2 Фаза II работа

Защита и сбор данных является важным первым шагом. Анализ доступной информации позволит нам, совместно с Kroll, установить информацию, требуемую для дальнейшей работы.

Следующий список основан на наших имеющихся знаниях и может быть расширен или сокращен на клиента, и/или в соответствии с необходимостью ведущегося расследования. И, соответственно, это первая, но обоснованная рекомендация исследовательской работы, которая должна следовать за задачами, выполненными Национальным Банком Молдовы.

1. Список ключевых слов для расширенного поиска по ключевым словам в отношении утраченных документов или по другим тематикам должен быть разработан командами Krollи НБМ. Сюда должны входить английские, румынские и русские (кириллические) ключевые слова в каждом варианте написания слов.

2. Данные системы обмена электронной корреспонденцией (копии содержимого памяти почтового сервера и писем с рабочей станции, а также файлы журналов относительно электронной почты) должны быть проанализированы на предмет наличия этих слов.

Клиентами электронной почты на рабочих станциях должны быть Outlookили OutlookExpressв режиме POP3. Сюда также должен входить специальный анализ информационного обмена между руководствами замешанных банков.

3. Копии данных рабочей станции (без писем) также должны быть проанализированы на предмет этих ключевых слов. Мы будем использовать способы-Xдля поиска удаленных данных (поиск подписи), деятельность USB(sbagи связующие файлы), файлы программы подкачки/откачки данных, информационный обмен на базе интернета и внутренняя связь (чат, интернет-почта, и т.д.), информационный обмен между руководствами замешанных банков вне официальной почтовой системы и удаление. Мы также должны найти защитный пароль или кодированные файлы и взломанные пароли, при необходимости. Эти типы файлов представляют особый интерес.

4. Копии данных сервера файлов и резервные копии доступных файловых серверов (т.е. резервные копии DVDдля BankaEconomii) должны быть проанализированы на предмет ключевых слов. Вслед за восстановлением удаленных данных посредством способов-X. Сюда должен входить анализ на предмет использования программного обеспечения типа Truecrypt для удаления и шифрования данных. Мы также должны найти защитный пароль или кодированные файлы и взломанные пароли, при необходимости. Эти типы файлов представляют особый интерес.

5. Данные с серверов принтеров, принтеров и факсов с жёсткими дисками также должны быть проанализированы и могут восстановить некоторые утраченные документы. Сюда входят поиски по ключевым словам, анализ вручную и оптическое распознавание символов.

Мы должны воспользоваться предоставлением сервисных услуг поставщиками в случае возникновения проблем с шифрованием или других проблем. Сюда должны входить файлы журналов чтобы показать связь между названиями документов и IP-адресами, которые в свою очередь могут быть связаны с пользователем посредством анализа файлов журнала DHCP/AD.

6. Копии данных и резервные копии дополнительных сайтов должны быть проанализированы и затем дедуплицированы в сравнении с основными сайтами, чтобы получить только удаленные или измененные данные. Эти данные затем могут быть проанализированы тем же способом, что и первичная система (например, файловый сервер).

7. Журналы принтеров, факсов и серверов принтеров для каналов связи (факсов), названия файлов и IP-адреса (принтеры и серверы принтеров) и номера телефонов/факсов (факсы) также необходимо проанализировать. Затем эти данные могут быть сопоставлены в связи с другими источниками с целью выявления соответствующих депозитарных организаций и документов. Этот шаг состоит в основном в ручном анализе и поисках по ключевым словам.

Все соответствующие данные должны затем быть выгружены в Хостинг Центр электронного расследования для обеспечения легкого сотрудничества между аналитиками Kroll и Национального Банка Молдовы.