Расследование преступлений в сфере компьютерной информации
Расследование фактов неправомерного доступа к компьютерной информации
Информация и информационные правоотношения все чаще становятся предметом преступных посягательств. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных компьютерных программ (ст. 273); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274).
Общий объект данных преступлений – это общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступных посягательств являются: компьютерная информация, средства ее хранения, отдельные файлы конкретных информационно-телекоммуникационных сетей, а также компьютерные технологии, программные средства их обработки или передачи, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа, в особенности от вредоносных программ.
Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация - это зафиксированные на материальном носителе сведения с реквизитами, которые позволяют их идентифицировать. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
Ответственность по ст. 272 УК РФ наступает в случае, если неправомерный доступ к компьютерной информации привел к таким опасным последствиям, как уничтожение, блокирование, модификация, либо копирование компьютерной информации. Уничтожением считается такое изменение информации, которое лишает ее первоначального качества, вследствие чего она перестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией ее видоизменение с появлением новых, нежелательных свойств. Копирование - это воспроизведение точного или относительно точного аналога оригинала.
По ч. 2 ст. 272 УК квалифицируются те же деяния, но причинившие крупный ущерб или совершенные из корыстной заинтересованности, а по ч. 3 – деяния, предусмотренные предыдущими частями, но совершенные группой лиц по предварительному сговору или организованной группой, либо лицом с использованием своего служебного положения. При наступлении тяжких последствий или появлении угрозы их наступления содеянное квалифицируется по ч. 4 ст. 272 УК РФ.
При расследовании неправомерного доступа к компьютерной информации обстоятельства содеянного устанавливаются в такой очередности:
- факт неправомерного доступа к компьютерной информации;
- место несанкционированного проникновения в информационную систему;
- время совершения преступления;
- способ несанкционированного доступа;
- степень надежности средств защиты компьютерной информации;
- лица, совершившие неправомерный доступ, их виновность и мотивы преступления;
- вредные последствия содеянного.
Для рассматриваемых преступлений характерны такие ситуации начала расследования:
1. Собственник компьютерной системы обнаружил нарушение ее целостности и (или) конфиденциальности, установил виновное лицо и заявил о случившемся в правоохранительные органы.
2. Собственник самостоятельно выявил названные нарушения, однако не смог установить злоумышленника и заявил о случившемся.
3. Сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъекте стали известны или непосредственно обнаружены компетентным органом, владелец компьютерной системы этот факт скрывает.
4. Правоохранительным органом обнаружены признаки противоправного вторжения в компьютерную систему, виновное лицо и владелец компьютерной информации неизвестны.
Факт неправомерного доступа к информации обнаруживают, как правило, пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСКН России. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по расследуемым уголовным делам.
Признаками несанкционированного доступа или подготовки к нему могут служить:появление в компьютере искаженных данных;длительное необновление кодов, паролей и других защитных средств;увеличение числа сбоев в работе ПК.
Таким фактам могут предшествовать или сопутствовать:
- осуществление без необходимости сверхурочных работ;
- немотивированные отказы отдельных сотрудников, обслуживающих компьютерную систему, от очередного отпуска;
- приобретение работником для личного пользования дорогостоящего персонального компьютера;
- флэш-карты или CD-ROM, принесенные на работу кем-то из сотрудников компьютерной системы под предлогом копирования программ для компьютерных игр;
- участившиеся случаи перезаписи отдельных данных без серьезных на то причин;
- необоснованный интерес некоторых работников к содержанию чужих принтерных распечаток;
- повторный ввод в компьютер одной и той же информации и др.
Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду: нарушения принятых правил оформления документов и изготовления машинограмм; лишние документы, подготовленные для компьютерной обработки; несоответствие информации, содержащейся в первичных документах, данным машинограмм; преднамеренные утрата или уничтожение первичных документов и носителей компьютерной информации, внесение искажений в данные их регистрации. Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например халатности персонала, случайных ошибок и сбоев средств хранения, обработки или передачи компьютерной информации.
Место несанкционированного проникновения в компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств, но для этого также приходится выявлять все места работы компьютеров, имеющих единую информационно-телекоммуникационную сеть. Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Но и тут нужно учитывать, что компьютерная информация может храниться в других помещениях. Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную информационно-телекоммуникационную сеть. К его установлению необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к телекоммуникационной сети.
Время несанкционированного доступа можно определить с помощью программ общесистемного назначения. В работающем компьютере они обычно фиксируют текущее время. Если данная программа функционирует, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируется в оперативной памяти. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или флэш-карт, производимого с участием специалиста, чтобы информация, находящаяся в оперативной памяти ПК или на диске, не была случайно стерта. В качестве специалистов могут выступать, например, сотрудники информационно-аналитических центров МВД, ГУВД, УВД субъектов Российской Федерации. Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на конкретном ПК, если это не было зафиксировано в автоматическом режиме.
Способы преступных манипуляций в сфере компьютерной информации могут быть разделены на две большие группы. Первая группа осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть: а) хищение носителей компьютерной информации в виде блоков и элементов ПК; б) использование визуальных, оптических и акустических средств наблюдения за ПК; в) считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих телекоммуникационных систем; г) фотографирование компьютерной информации в процессе ее обработки; д) изготовление бумажных дубликатов входных и выходных документов, копирование распечаток; е) использование оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику компьютерной информации, фиксация их разговоров; ж) осмотр и изучение не полностью утилизированных отходов деятельности информационно-телекоммуникационных систем; з) вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику компьютерной информации, получение от них под разными предлогами (обычно за деньги) нужных сведений и др.
Для таких действий, как правило, характерна достаточно локальная следовая картина. Она определяется тем, что место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают. Приемы их исследования достаточно традиционны.
Вторая группа преступных действий осуществляется с использованием компьютерных и телекоммуникационных устройств. Тогда несанкционированный доступ реализуется с помощью различных способов: подбором пароля, использованием чужого имени, отысканием и использованием пробелов в программе, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих информационно-телекоммуникационную систему, и ее разработчиков.
При этом следует учитывать выявленную следовую картину. У них необходимо выяснить, как преступник мог проникнуть в защищенную информационную систему, например узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты.Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) информационной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся на носителях компьютерной информации и в телекоммуникационных сетях (дорожка электронных следов).
Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную информационно-телекоммуникационную систему?" Для этого эксперту нужно представить всю проектную документацию на взломанную информационную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.
В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты данной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в работе электронного оборудования.
Выясняя надежность средств зашиты компьютерной информации, прежде всего, следует установить, предусмотрены ли в данной информационной системе или сети меры защиты от несанкционированного доступа, в том числе к определенным файлам. Это возможно в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации телекоммуникационной сети. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты компьютерной информации, поскольку для обеспечения высокой степени надежности систем, обрабатывающих документированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкционированного доступа.
Так, законодательством предусмотрена обязательная сертификация средств защиты информационных систем и телекоммуникационных сетей, а кроме того обязательное лицензирование всех видов деятельности в области проектирования и производства названных средств. Поэтому в процессе расследования необходимо выяснить: есть ли лицензия на производство средств защиты компьютерной информации, задействованных в данной компьютерной системе, от несанкционированного доступа и соответствуют ли их параметры выданному сертификату. Ответ на последний вопрос может дать информационно-техническая экспертиза, с помощью которой выясняется: соответствуют ли средства защиты компьютерной информации от несанкционированного доступа, использованные в данной информационной системе, выданному сертификату? Правда, ответственность за выявленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.
При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых рекомендуется начинать с технического персонала взломанных информационных систем или телекоммуникационных сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите компьютерной информации, другие сотрудники.
Следственная практика свидетельствует, что чем технически сложнее способ проникновения в информационную систему или телекоммуникационную сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен.
Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ПК и его компонентов. Это, например, следы пальцев, записи на внешней упаковке CD-ROM и др. Для их исследования назначаются криминалистические экспертизы: дактилоскопическая, почерковедческая и др.
Для установления лиц, обязанных обеспечивать надлежащий режим доступа к информационной системе или телекоммуникационной сети, следует прежде всего ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты компьютерной информации.
У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ПК, принтеров, средств телекоммуникационной связи с компьютерными информационными сетями, записных книжек, в том числе электронных, с уличающими записями, дисков и флэш-карт с информацией, могущей иметь значение для уголовного дела, особенно если это коды, пароли, идентификационные номера пользователей данной информационной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике.
Доказать виновность и выяснить мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, можно лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется: с какой целью совершен несанкционированный доступ к компьютерной информации; знал ли правонарушитель о системе ее защиты; желал ли преодолеть эту систему и какими мотивами при этом руководствовался.
Вредные последствия неправомерного доступа к компьютерной информационной системе могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютерными программами, а также информацией путем изъятия ее носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, ввод заведомо ложных данных и др.
Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обнаруживают сами работники банков, устанавливаются они и в ходе оперативно-розыскных мероприятий. Сумма хищения определяется посредством судебно-бухгалтерской экспертизы.
Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получение информации из различных компьютерных систем, ее копирование и размножение с целью продажи либо использования в других преступных целях.
Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация конфиденциальна или имеет категорию государственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.
Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, "закачки" в информационную систему заведомо ложных сведений выявляются прежде всего самими пользователями информационной системы. Следует учитывать, что не все эти негативные последствия наступают в результате умышленных действий. Их причиной могут стать случайные сбои в работе компьютерного оборудования, происходящие довольно часто.
При определении размера вреда, причиненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных. Помогут здесь и допросы технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и телекоммуникационной связи, экономики, финансовой деятельности и товароведения.
На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.
К этим обстоятельствам относятся:
- неэффективность методов защиты компьютерной информации от несанкционированного доступа;
- совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения;
- неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций, действий программ и обслуживающего персонала;
- нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации.
Расследование создания, использования и распространения вредоносных компьютерных программ
К вредоносным компьютерным программам, прежде всего, относятся так называемые компьютерные вирусы, т.е. программы, могущие внедряться в чужие информационные ресурсы, размножаться и при определенных условиях повреждать информационные системы, хранящуюся в них компьютерную информацию и программное обеспечение. Свое название они получили потому, что многие их свойства аналогичны свойствам природных вирусов. Компьютерный вирус может самовоспроизводиться во всех системах определенного типа. Некоторые из них сравнительно безопасны, поскольку не уничтожают компьютерную информацию, однако большинство приносит существенный вред.
Имеются также иные вредоносные программы, облегчающие доступ к информационным ресурсам, используемые обычно для хищений денежных средств в компьютерных банковских системах и совершения других злоупотреблений в сфере компьютерной информации.
Непосредственный объект данного преступления - это общественные отношения по безопасному использованию компьютеров, их программного обеспечения и информационного содержания. Часть 1 ст. 273 УК РФ предусматривает совершение одного из следующих действий: создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации, или нейтрализации средств ее защиты. Изменением программы является преобразование алгоритма, описанного в ней на специальном языке, а распространением - расширение сферы ее применения.
Часть 2 этой статьи предусматривает более опасное преступление: любое из вышеуказанных действий, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившее крупный ущерб или совершенное из корыстной заинтересованности. Часть 3 этой статьи карает за деяния, предусмотренные предыдущими частями, если они повлекли тяжкие последствия или создали угрозу их наступления.
Этим преступлениям свойственна высокая латентность; особенно трудно выявлять создателей вредоносных компьютерных программ. Основные задачи расследования - это установление факта и способа создания, использования и распространения вредоносной компьютерной программы; установление лиц, виновных в названных деяниях, а также вреда, причиненного ими.
Вредоносная компьютерная программа обнаруживается, как правило, после того, когда уже проявились вредные последствия ее действия. Однако она может быть выявлена и в процессе антивирусной проверки, производимой при начале работы на компьютере, особенно если предстоит использование чужих устройств внешней памяти.
Разработка вредоносных компьютерных программ обычно осуществляется одним из двух способов.
1. Вредоносная программа разрабатывается прямо на одном из рабочих мест компьютерной системы, что обычно маскируется под правомерную повседневную работу. В силу своих служебных обязанностей разработчик имеет доступ к системе и обрабатываемой в ней компьютерной информации, в том числе нередко к кодам и паролям. Сокрытие преступного характера своих действий разработчик осуществляет путем удаления компрометирующих данных или хранения их на собственных флэш-картах.
2. Программа создается вне сферы обслуживания информационной системы, для воздействия на которую она ориентирована. Злоумышленнику необходимы сведения о функционирующей в системе информации, способах доступа к ней, методах ее защиты. Для получения этих данных он устанавливает связи с кем-либо из пользователей системы либо внедряется в нее посредством взлома.
Иногда вредоносная программа создается путем изменения действующей программы. Например, на Волжском автозаводе оказалась умышленно расстроенной работа трех линий главного сборочного конвейера, управляемого компьютером. Произошло это по вине инженера-программиста, который из низменных побуждений за пять месяцев до этого ввел в одну из взаимодействующих программ управления накопителем механических узлов заведомо неправильную последовательность команд счета подвесок и подачи шасси на главный конвейер. Тем самым предприятию был причинен крупный материальный ущерб, а кроме того, вследствие сверхнормативного простоя главного сборочного конвейера не было собрано около 500 автомобилей "Жигули".
На факт создания вредоносной программы могут косвенно указывать: а) повышенный интерес посторонних лиц к алгоритмам функционирования программ, работе системы блокировки и защиты, входной и выходной компьютерной информации; б) внезапный интерес к программированию лиц, в круг обязанностей которых оно не входит. Эти обстоятельства выявляются как в ходе оперативно-розыскных мероприятий, так и при производстве следственных действий, в частности допросов пользователей информационной системы, в которой обнаружились признаки действия вредоносной программы.
О создании вредоносной программы свидетельствуют факты ее использования и распространения, особенно данные, позволяющие заподозрить конкретное лицо в такой противоправной деятельности. При этом необходимы своевременные и тщательно произведенные обыски в местах работы и жительства подозреваемого, а также там, откуда он мог наладить доступ к информационной системе. К обыску целесообразно привлечь специалиста-программиста, который поможет обнаружить все относящееся к созданию вредоносной компьютерной программы.
Факты использования и распространения вредоносной компьютерной программы нередко обнаруживаются с помощью антивирусных программ. В ходе расследования такие факты можно установить при осмотре следующих документов:
- журналов учета рабочего времени, доступа к вычислительной технике, ее сбоев и ремонта, регистрации пользователей информационной системы или телекоммуникационной сети, проведения регламентных работ;
- лицензионных соглашений и договоров на пользование программными продуктами и их разработку;
- книг паролей; приказов и других документов, регламентирующих работу учреждения и использование компьютерной информации.
Эти документы нередко ведутся в электронной форме, поэтому к ознакомлению с ними необходимо привлекать специалиста. При изучении журналов, книг, соглашений и другой документации следователь может выяснить законность использования того или иного программного обеспечения, систему организации работы учреждения и обработки в нем компьютерной информации, доступа к ней и соответствующей технике, круг лиц, имевших на это право.
Проводя допросы свидетелей, необходимо выяснять, какая компьютерная информация подвергалась вредоносному воздействию, ее назначение и содержание; как осуществляется доступ к информационным ресурсам ПК, или их сети, кодам, паролям и другим закрытым данным; как организованы противовирусная защита и учет пользователей компьютерной системы.
В ходе допросов свидетелей нужно иметь в виду, что практикуется множество способов использования и распространения вредоносных программ. Так, нередки случаи запуска такой программы с другого компьютера или с диска, купленного, одолженного, полученного в порядке обмена, либо с электронной "доски объявлений". Распространение вредоносной компьютерной программы, вызывающей уничтожение, копирование, модификацию или блокирование информации, сбои в работе ПК или их системы, может происходить по телекоммуникационной сети вследствие использования нелицензионной и несертифицированной программы (чаще игровой), купленной у случайного лица, а также скопированной у кого-либо.
Доказыванию фактов использования и распространения вредоносных компьютерных программ способствует своевременное производство информационно-технологической экспертизы, посредством которой можно определить, какие изменения и когда внесены в исследуемые программы, а также последствия использования и распространения вредоносных компьютерных программ. Экспертиза может также установить примененный преступником способ преодоления программной и аппаратной защиты (подбор ключей и паролей, отключение блокировки, использование специальных программных средств).
При установлении лиц, виновных в создании, использовании и распространении вредоносных компьютерных программ, необходимо учитывать, что такую программу может создать человек, обладающий специальными познаниями. Легче всего создать вирус опытному программисту, который, как правило, не участвует в их распространении. Зачастую вредоносные программы создают и используют субъекты, хорошо освоившие машинный язык, движимые чувством самоутверждения, мотивами корысти или мести, а иногда и потребностью в компьютерном вандализме. Некоторые делают это, стремясь "расколоть" систему защиты компьютерной информации, официально считающуюся неуязвимой.
Выделяются следующие группы преступников: а) хакеры - лица, рассматривающие меры защиты информационных систем как личный вызов и взламывающие их с целью получения контроля закомпьютерной информацией независимо от ее ценности; б) шпионы - лица, взламывающие защиту информационных систем для получения компьютерной информации, которую можно использовать в целях политического влияния; в) террористы - лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать и в целях политического влияния; г) корпоративные налетчики - служащие компании, взламывающие компьютеры конкурентов для экономического влияния; д) воры, вторгающиеся в информационные системы для получения личной выгоды; е) вандалы - лица, взламывающие информационные системы с целью их разрушения; ж) нарушители правил пользования ПК, совершающие противоправные действия из-за недостаточного знания техники и порядка пользования информационными ресурсами; з) лица с психическими аномалиями, страдающие новым видом заболеваний - информационными болезнями или компьютерными фобиями.
Использовать и распространять вредоносные компьютерные программы в принципе может любой владелец современного ПК. Однако наибольшую потенциальную опасность представляют опытные компьютерные взломщики, получившие название хакеров, а также высококвалифицированные специалисты в области электронных технологий. Преступления этой категории нередко бывают групповыми: хакер-профессионал создает вредоносные компьютерные программы, а его сообщники помогают ему в материально-техническом и информационном отношениях. Мировой практике борьбы с компьютерными преступлениями известны случаи связей между хакерами и организованными преступными формированиями. Последние выступают в роли заказчиков компьютерных махинаций, обеспечивают хакеров необходимой техникой, а те организуют хищения денежных средств из банковских компьютерных систем.
Поиск лица, причастного к использованию вредоносных компьютерных программ, сопряжен со значительными затратами времени, сил и средств. Органу дознания нужно поручить выявление и проверку лиц, ранее привлекавшихся к ответственности за аналогичные преступления. В некоторых случаях злоумышленника можно идентифицировать по следам рук, оставленным на участках дисководов, клавишах, других частях компьютера.
Установив подозреваемого, его немедленно задерживают, чтобы предотвратить уничтожение компрометирующих материалов. Кроме того, если вредоносная программа является компьютерным вирусом, промедление может расширить масштабы его распространенности и причиненный материальный ущерб.
Проводя допрос подозреваемого, нужно выяснить уровень его профессиональной подготовки, опыт работы по созданию программ данного класса на конкретном языке программирования, знание алгоритмов их работы, но особенно тех, которые подверглись неправомерному воздействию. Допрашивая подозреваемого, необходимо выяснить, где он живет, работает или учится, его профессию, взаимоотношения с коллегами, семейное положение, круг интересов, привычки и наклонности, навыки программирования, ремонта и эксплуатации компьютерной техники, какими ее средствами, машинными носителями, аппаратурой и приспособлениями он располагает, где и на какие средства их приобрел, где хранил и т.д.
Допрос обвиняемого преследует цель выяснить обстоятельства подготовки и совершения преступления, алгоритм функционирования вредоносной компьютерной программы и то, на какую компьютерную информацию и как она воздействует. Для проверки возможности создания вредоносной компьютерной программы определенным лицом, признавшимся в этом, проводится следственный эксперимент с использованием соответствующих средств компьютерной техники.
При установлении вреда, причиненного преступлением, следует помнить, что вредоносная компьютерная программа может практически мгновенно размножиться в большом количестве экземпляров и очень быстро заразить многие информационные системы и телекоммуникационные сети. Это реально, ибо компьютерные вирусы могут: а) заполнить весь диск или всю свободную память компьютера своими копиями; б) поменять местами файлы, т.е. смешать их так, что отыскать их в компьютере будет практически невозможно; в) испортить таблицу размещения файлов; г) отформатировать диск или иной носитель, уничтожив все ранее записанное на соответствующем носителе; д) вывести на дисплей то или иное нежелательное сообщение; е) перезагрузить ПК, т.е. осуществить произвольный перезапуск; ж) замедлить его работу; з) изменить таблицу определения кодов, сделав невозможным пользование клавиатурой; и) изменить содержание программ и файлов, что повлечет ошибки в сложных расчетах; к) раскрыть информацию с ограниченным доступом; л) привести компьютер в полную негодность.
Размер причиненного материального ущерба устанавливается экспертным путем в рамках судебно-бухгалтерской и судебно-экономической экспертиз, проводимых в комплексе с информационно-технологической и информационно-технической экспертизами.
Полную безопасность информационных систем обеспечить чрезвычайно трудно, однако снизить вредные последствия распространения компьютерных вирусов до определенного уровня вполне возможно. Для этого необходимо: применять антивирусные средства, не использовать случайное несертифицированное программное обеспечение, а также нелегальные копии компьютерных программ; делать резервные копии программ и системных файлов, обязательно контролировать доступ к компьютерным системам; проверять каждую приобретенную программу на возможную зараженность компьютерным вирусом; регулярно записывать программы, устанавливаемые в компьютерную систему, и др.