Любое расследование инцидентов информационной безопасности упирается в один и тот же вопрос: что именно происходило на рабочем месте в момент нарушения. Логи серверов фиксируют факты передачи данных, но не показывают картинку. Скриншоты рабочих станций закрывают эту слепую зону — они показывают то, что видел своими глазами пользователь. Рассказываем, как делать, использовать и хранить снимки экрана, а при каких условиях их можно использовать как доказательство в суде.
Зачем нужны снимки экрана сотрудников
Скриншоты решают три задачи, с которыми не справляются логи: фиксируют действия там, где другие методы контроля бессильны, подтверждают, что действие совершил именно человек, и дают контекст, позволяющий быстро отсеивать ложные срабатывания.
Задача № 1. Контролировать то, что не видно другим инструментам
Есть целый класс приложений и сервисов, где традиционные методы мониторинга не работают. Это веб-интерфейсы мессенджеров, облачные редакторы, корпоративные порталы, CRM-системы — все, что открыто в браузере. В таких сервисах нет явных операций с файлами, которые могла бы перехватить DLP. Нет ввода текста, который можно было бы проанализировать. Логи самого веб-приложения компании чаще всего недоступны.
Скриншоты становятся единственным источником информации. Только они показывают, какие данные сотрудник просматривал, что вводил в формы, кому отправлял сообщения. Без визуальной фиксации эти действия остаются «черным ящиком».
Задача № 2. Доказать, что действие совершил человек
Логи могут фиксировать передачу данных, но не отвечают на вопрос: файл отправил сотрудник или это сработал фоновый скрипт, вредоносная программа, запланированная задача? Для расследования это принципиальная разница.
Скриншот с интерфейсом программы прямо доказывает, что за экраном сидел пользователь и выполнял осознанные действия. Если данные утекают автоматически — проблема в системе безопасности и нужно искать уязвимость. Если их отправляет человек — это инцидент, требующий разбирательства.
Задача № 3. Быстро отсеивать ложные срабатывания
DLP-системы часто сигнализируют о подозрительной активности, но без контекста невозможно понять, действительно ли произошло нарушение. Скриншоты дают этот контекст за секунды.
Например, система фиксирует отправку большого объема данных в облако. Логи показывают имя файла и IP-адрес. Только скриншот демонстрирует, что отправка шла через веб-интерфейс корпоративного аккаунта партнера, а не через анонимный файлообменник. Инцидент снимается с контроля за минуту, без привлечения дополнительных ресурсов.
Расследование инцидентов со Staffcop
Для расследования инцидента важны доказательства. Staffcop автоматически собирает снимки экрана и привязывает их к событиям и сотрудникам.
Как работают снимки экрана в мониторинге
Мало просто решить, что скриншоты нужны. Важно понять, как организовать их сбор так, чтобы система не захлебнулась в данных, но и не пропустила критический момент. Есть два основных режима: съемка по расписанию и съемка по событиям.
Автоматические снимки экрана ИБ
Частота съемки настраивается под задачи компании и критичность рабочих мест. Для рядовых сотрудников достаточно кадра раз в 5–10 минут — чтобы понимать общий характер работы. Для администраторов баз данных или финансистов интервал сокращают до нескольких секунд. Это позволяет не пропустить важные действия, но не перегружать хранилище.
Триггеры снимков экрана
Сплошная съемка всех подряд эффективна, но затратна. Некоторые системы используют триггеры снимков экрана — условия, при которых кадр делается вне расписания. Например, триггерами могут быть:
- открытие определенных типов окон — работа с хранилищами паролей, шифровальщиками
- нестандартное поведение сотрудника (резкое увеличение числа открытых документов, копирование файлов, смена привычных сценариев работы)
- запуск подозрительных приложений
Такой подход экономит ресурсы и сразу привлекает внимание службы безопасности к потенциально опасным моментам.
Анализ снимков экрана при расследовании
Собрать массив скриншотов — только первый шаг. Настоящая работа начинается, когда нужно извлечь из них смысл: найти иголку в стоге данных и не пропустить важные детали. Современные инструменты предлагают два пути — поиск по содержимому и фильтрацию по метаданным.
Поиск по содержимому
Если известно, какой именно документ утек или какие данные интересовали нарушителя, пролистывать все скриншоты подряд бессмысленно. Системы с распознаванием текста (OCR — Optical Character Recognition) работают иначе: вы вводите ключевое слово, номер договора или фразу, и система находит все кадры, где этот текст появлялся на экране любого сотрудника.
Допустим, утекла база с номерами паспортов. Вместо того чтобы гадать, кто и когда ее открывал, достаточно задать поиск по одному из номеров. Система покажет точные моменты, когда документ был на экранах, и восстановит всю цепочку работы с ним.
Фильтрация по метаданным
Другой способ навигации по скриншотам — использовать данные, которыми система автоматически помечает каждый кадр. Программа дополняет снимки метаданными: название активного окна, заголовок вкладки браузера, имя запущенного процесса, время съемки.
Это позволяет фильтровать кадры как в базе данных. Аналитик может найти «все снимки, где была открыта CRM за последнюю неделю» или «моменты работы с 1С в нерабочее время». Вместо хаотичного набора картинок аналитик получает структурированную выборку, с которой можно работать точечно.
Снимки экрана как доказательство в суде
Российские суды принимают скриншоты в качестве доказательств. Но чтобы снимок экрана имел юридическую силу, нужно соблюсти несколько правил.
Требования к скриншотам
Верховный суд РФ в Постановлении Пленума от 23.04.2019 № 10 прямо указал: скриншоты — это допустимые доказательства при выполнении определенных условий. На распечатке должны быть указаны:
- адрес интернет-страницы, если речь о сайте
- точное время получения скриншота
- данные о лице, которое сделало распечатку
При этом закон не требует обязательного нотариального заверения. Участник дела может заверить скриншот самостоятельно — достаточно поставить на распечатке дату, подпись и расшифровку. Это подтверждает и более позднее Определение Верховного суда от 07.02.2023 № 5-КГ22-144-К2: если другая сторона не заявляет о фальсификации, суд обязан исследовать скриншот наравне с другими доказательствами, даже если он не заверен нотариально.
Обычный скриншот, сделанный вручную, легко оспорить. Ответчик может заявить, что картинка отредактирована или сделана задним числом. Другое дело — снимки из системы мониторинга вроде Staffcop.
Автоматизированная система фиксирует не просто изображение, а целый набор метаданных:
- точное время съемки, которое фиксируется сервером, а не компьютером пользователя
- идентификатор рабочей станции
- имя пользователя
- название активного окна и запущенного процесса
Эти данные хранятся в защищенном хранилище, который исключает несанкционированные изменения. Для суда такой скриншот — не просто картинка, а официальный документ с подтвержденной хронологией. Если в деле фигурируют снимки из легитимно внедренной в компании DLP-системы, назначение технической экспертизы для проверки подлинности требуется гораздо реже.
Скриншоты для форензики
Компьютерная форензика (от англ. forensic, криминалистика) — это научное исследование цифровых устройств для получения доказательств. Когда дело доходит до суда, привлекают независимых экспертов-криминалистов, которые работают по строгим правилам: каждое действие фиксируется, чтобы результаты нельзя было оспорить.
Зачем это нужно? Исследование неизбежно меняет данные — даже загрузка с собственной флешки оставляет следы. Скриншоты, сделанные до манипуляций, позволяют восстановить исходную картину. Вместе с криптографическими хэшами и образами дисков они создают доказательную базу, которая выдерживает проверку в суде.
Интеграция скриншотов с DLP и SIEM
Когда скриншоты существуют сами по себе, аналитику приходится ходить в разные системы: в DLP смотреть инциденты, в модуль мониторинга экранов — искать визуальное подтверждение. Интеграция решает эту проблему, собирая все данные в одном месте.
Автоматическое обогащение инцидентов DLP
Современные DLP-системы позволяют настроить правило: при срабатывании политики безопасности автоматически прикреплять к событию скриншоты, сделанные в момент инцидента. Аналитик, открывая карточку инцидента, сразу видит не только факт отправки файла и получателя, но и картинку — в каком окне это происходило, какие еще приложения были запущены.
Это ускоряет расследование: вместо того чтобы вручную искать скриншоты за нужное время, переключаясь между интерфейсами, аналитик получает готовый пакет данных. Например, если сработало правило на отправку архива с паролем, система приложит к инциденту скриншоты за последние 30 секунд до события. Часто на них видно, вводил ли сотрудник пароль сам или архив уже был запаролен заранее.
Визуальный слой для SIEM
SIEM-системы собирают события с сотен источников: файловые серверы, контроллеры домена, межсетевые экраны, DLP. Поток данных огромен, и без контекста разобраться в нем сложно. Интеграция со скриншотами добавляет визуальный слой к аналитике.
Например, SIEM фиксирует аномальный трафик с рабочей станции бухгалтера в нерабочее время. Без скриншотов это просто подозрительное событие. Со скриншотами картина меняется: система показывает, что в этот момент бухгалтер работал в 1С и отправлял отчеты в налоговую через личный кабинет — стандартная сверка отчетности перед сдачей. Угроза снимается за минуту.
Или другой сценарий: SIEM сигналит о массовом доступе к конфиденциальным файлам. Скриншоты подтверждают: сотрудник открывает документы один за другим, пролистывает их, делает пометки — явно готовит аналитический отчет, а не пытается скопировать базу. Визуальные данные помогают не тратить ресурсы на ложные срабатывания.
Интеграция дает синергию: технические метрики из SIEM и человеческий фактор со скриншотов работают вместе, позволяя принимать решения быстрее и точнее.
Законность и хранение скриншотов
У внедрения мониторинга экранов есть две стороны: юридическая и техническая. Первая касается прав сотрудников и управления рисками, вторая — объемов данных и сроков их жизни.
Законно ли делать скриншоты сотрудников
Вопрос законности съемки экрана сотрудников волнует многие компании. В России контроль за действиями работников на рабочем месте допускается при соблюдении простых правил:
- Когда компания издает локальный акт о мониторинге и знакомит с ним персонал под роспись.
- В документе нужно указать цели сбора данных (обеспечение безопасности, контроль эффективности) и порядок их хранения.
Если сотрудник предупрежден о контроле, а данные собираются только в рабочее время и с рабочих устройств, нарушения закона нет.
Также важно понимать, что скриншоты не считаются биометрией, так как не предназначены для идентификации личности по физиологическим признакам. Поэтому получать отдельное согласие по закону о биометрии не требуется.
Как хранить снимки экрана
Сроки хранения скриншотов компания определяет сама, исходя из задач безопасности и требований регуляторов. Обычно хранение снимков экрана ИБ ограничивается периодом, достаточным для проведения проверок и истечения срока давности по трудовым спорам.
Практика показывает, что оптимальный срок — от трех до шести месяцев. За это время можно выявить и расследовать большинство инцидентов. Для критичных данных срок может быть увеличен, но важно помнить о принципе минимизации: хранить только то, что действительно нужно, и защищать архивы от несанкционированного доступа.
Скриншоты не заменяют другие инструменты, но добавляют то, без чего расследование остается слепым, — визуальное подтверждение действий. Вместо того чтобы строить догадки по косвенным признакам, вы просто видите, что происходило на экране.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.