Методика расследования преступлений, совершаемых в сфере высоких информационных технологий
- Криминалистическая характеристика преступлений, совершаемых в сфере высоких информационных технологий
- Обстоятельства, подлежащие установлению и доказыванию
- Особенности возбуждения уголовного дела
- Типичные следственные ситуации первоначального этапа расследования
- Особенности производства отдельных следственных действий
Криминалистическая характеристика преступлений, совершаемых в сфере высоких информационных технологий
В соответствии с доктриной информационной безопасности Российской Федерации 1 национальная безопасность страны существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет неуклонно возрастать. Информационная сфера, представляющая собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений, является системообразующим фактором жизни общества. Она активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности общества. Под информационной безопасностью понимается состояние защищенности национальных интересов в информационной сфере, определяющихся в совокупности сбалансированных интересов личности, общества и государства.
Формирование и развитие информационного общества в Российской Федерации демонстрирует появление целого ряда негативных тенденций, отмеченных в Федеральной целевой программе «Информационное общество (2011–2020 годы)». В качестве одной из проблем, препятствующих эффективному использованию информационно-коммуникационных технологий, в Программе названо увеличение количества компьютерных преступлений, в том числе трансграничных, совершенных группами лиц, рост корыстной направленности указанных преступлений, а также наносимый ими значительный материальный ущерб. Помимо этого немалую угрозу представляет использование информационных технологий для совершения традиционных преступлений, в частности хищений, вымогательств, мошенничества и террористической деятельности.
Разнообразие преступлений, совершаемых в отношении электронной цифровой информации и посредством ее использования, равно как и средств компьютерной и иной вычислительной техники, потребовало обобщения криминалистических знаний с целью выработки приемов, методов и средств выявления, расследования и превенции преступлений такого рода. Очевидно, что это преступления, объединенные общностью способов подготовки, совершения и сокрытия, осуществляемые преступниками определенного типа, имеющие специфику места и времени совершения, обусловленные схожей обстановкой. Перечисленные характеристики позволяют объединить их в отдельный род (группу), включив в него несколько видов преступлений.
В научной литературе и практике сложилось несколько названий данного рода преступлений: «компьютерные преступления», «преступления в сфере высоких технологий», «коммуникационные преступления», «киберпреступления», «сетевые преступления», «машинноинтеллектуальные или технико-интеллектуальные преступления».
Зарубежными исследователями и практиками чаще используются такие понятия, как “high-tech crime”, “cyber crime”, “network crime”, “digital crime”, которые соответственно и переводятся как «преступления в сфере высоких технологий», «киберпреступления», «преступления в компьютерных сетях», «цифровые преступления».
В инструктивных материалах Интерпола (1991 г.) такие преступления делятся на три группы:
1) собственно компьютерные преступления (нарушение авторских прав на программное обеспечение, хищение данных, нарушение работы вычислительных систем, хищение компьютерного времени и т. д.);
2) преступления, «связанные с компьютерами» (в основном финансовое мошенничество);
3) сетевая преступность (использование сетей для совершения незаконных сделок — распространение порнографии, торговля наркотиками, уклонение от таможенных пошлин, отмывание денег и т. д.).
Конвенция Совета Европы (ETC № 185) 2001 г. по борьбе с киберпреступностью подразделяет правонарушения на четыре вида:
1) преступления против конфиденциальности, целостности и работоспособности компьютерных данных и систем — незаконный доступ, незаконный перехват, создание помех для обмена данными, создание помех для функционирования систем, неправомерное использование аппаратных устройств;
2) компьютерные преступления — фальсификация и подлог, совершаемые с использованием компьютерной техники;
3) преступления, связанные с сетевым контентом: изготовление, распространение и хранение детской порнографии;
4) правонарушения, связанные с нарушением авторского права и смежных прав.
При широком распространении возможностей глобальных сетей компьютерные преступления стали транснациональными, т. е. не имеющими национальных, административных или ведомственных границ. Использование Интернета является распространенным способом совершения хищений чужого имущества, распространения порнографии, ложных сообщений об актах терроризма, вымогательства под угрозой блокирования или уничтожения баз данных, принадлежащих крупным корпорациям и общественным организациям, распространения компрометирующих материалов в отношении физических и юридических лиц. Такие преступления могут быть классифицированы следующим образом:
1) несанкционированное проникновение в компьютерную систему, имеющую подключение к глобальной компьютерной сети, связанное с нарушением конфиденциальности информации;
2) нарушение нормального функционирования сетевой компьютерной системы, приводящее к блокированию доступа к информации;
3) несанкционированное внесение изменений в компьютерные данные с корыстными целями, нарушающее целостность и достоверность информации;
4) размещение в глобальных компьютерных сетях материалов противоправного характера, связанное с ненадлежащим распространением информации.
Как известно, почти все из перечисленных форм девиантного поведения криминализированы в российском уголовном праве (ст. 138, 146, 159.3, 159.6, 163, 165, 183, 242.1 УК РФ и др.) и связаны с преступлениями в сфере компьютерной информации: ст. 272 (Неправомерный доступ к компьютерной информации), ст. 273 (Создание, использование и распространение вредоносных компьютерных программ), ст. 274 (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-коммуникационных сетей) УК РФ. Методика расследования преступлений в сфере высоких информационных технологий обусловлена конкретным видом преступления, совершаемым в отношении компьютерной информации, средств вычислительной техники или с их использованием. Однако на этапе выявления преступления и выполнения неотложных следственных действий по закреплению следов она носит унифицированный характер, поскольку ориентирована на работу с электронными данными, направленную на уяснение противоправного события и установление виновных лиц. В связи с этим в данном параграфе будет рассмотрена методика расследования преступлений в сфере компьютерной информации как основы расследования всякого рода преступлений, совершаемых в сфере высоких информационных технологий.
Криминалистическая структура рассматриваемых преступлений включает следующие элементы:
- предмет посягательства;
- орудие посягательства;
- физическая деятельность субъекта;
- вредные последствия;
- место и время совершения преступления;
- субъект преступления;
- психическая деятельность субъекта.
Предметом посягательства является компьютерная информация, определяемая как сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Она характеризуется возможностью фиксации на машинных носителях и передачи с помощью информационно-телекоммуникационных сетей — технологических систем, предназначенных для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Компьютер является центральным устройством средств вычислительной техники, представляющих собой совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем 2 и предназначенных для автоматической или автоматизированной обработки данных.
Машинным носителем информации является любое техническое устройство либо физическое поле, предназначенное для фиксации, хранения, накопления, преобразования и передачи компьютерной информации. К ним относятся устройства памяти ЭВМ, периферийные устройства связи, сетевые устройства и сети электросвязи. Наиболее распространены следующие виды материальных носителей информации: внутренние накопители на жестком магнитном или магнитооптическом диске (НЖМД), различные виды внешних накопителей — оптические и магнитооптические диски, микровинчестеры, карты памяти, флэш-память и др. На материальных носителях информация находится непосредственно в файлах, которые имеют стандартные свойства: тип информации (текст, графика, программный код, числа и пр.), местонахождение информации на физическом носителе, имя, объем информации, время создания и изменения, атрибуты информации (архивная, скрытая, только для чтения и пр.). При передаче файлов и сообщений (информации) в других формах (в виде сигналов) по системам, например, электросвязи, они не теряют своих индивидуальных свойств.
Таким образом, компьютерная информация — зафиксированные на электронных носителях1 сведения о лицах, предметах, фактах, событиях, явлениях и процессах, которые создаются, изменяются, хранятся, обрабатываются, передаются с использованием средств вычислительной техники, а также фактические данные, обработанные СВТ и полученные на выходе в форме, доступной восприятию технического устройства либо человека, или передающиеся по телекоммуникационным каналам.
Компьютерная информация может быть массовой, если она предназначена для неограниченного круга лиц, или конфиденциальной, если принадлежит определенному обладателю2 или ее распространение и доступ к ней ограничены специальной нормой права, например персональные данные о субъектах, государственная, коммерческая, врачебная тайна и т. п. Доступ к такой информации ограничен и требует специального допуска. Если последний отсутствует, то доступ к такой информации является неправомерным.
Орудием совершения компьютерного преступления могут являться как компьютерные средства и оборудование, так и программное обеспечение, с помощью которого преступники осуществляют неправомерный доступ к охраняемой компьютерной информации.
Не всякий неправомерный доступ образует состав преступления, а лишь такой, при котором наступили вредные последствия для правообладателя информации, затруднившие или сделавшие невозможным для потерпевшего использование информации. К таковым относятся: уничтожение, блокирование, модификация или копирование информации.
Уничтожение информации — полная физическая ликвидация информации или таких ее элементов, которые влияют на изменение существенных идентифицирующих информацию признаков. Признаком уничтожения является прекращение существования при условии, что информация не может быть восстановлена и использована по назначению в том виде, в каком она существовала у обладателя. Уничтожение может осуществляться субъектами, имеющими доступ к этой информации, или по программно-техническим причинам, связанным с нарушением эксплуатации или использованием некачественных технических средств вопреки установленным правилам и инструкциям.
Блокирование — искусственное затруднение доступа пользователей к компьютерной информации, не связанное с ее уничтожением.
Оно влечет временную или постоянную невозможность осуществлять какие-либо операции с компьютерной информацией.
Модификация информации означает любые ее изменения вопреки желанию и интересам обладателя. Она порождает отличие информации от той, которую включил в систему и которой владеет обладатель.
Не является модификацией адаптация программы для ЭВМ или базы данных, т. е. такое изменение, которое осуществляется исключительно в целях обеспечения их функционирования на конкретных технических средствах пользователя или под управлением конкретных программ пользователя.
Копирование информации — воспроизведение ее в любой материальной форме без явно выраженного согласия обладателя.
Физическая деятельность субъекта преступления проявляется в осуществлении им подготовки, совершения и сокрытия преступления. Непосредственное совершение заключается в способе преступной деятельности. Для рассматриваемых преступлений это следующие способы:
1) неправомерный доступ к компьютерной информации, направленный на нарушение конфиденциальности информации, — получение возможности знакомиться и осуществлять операции с чужой информацией, находящейся в ЭВМ, на электронных носителях, в информационно-коммуникационных сетях, а также на машинных носителях;
2) создание, использование и распространение вредоносных компьютерных программ, приводящих к нарушению целостности или направленных на нарушение конфиденциальности информации либо нейтрализации средств защиты компьютерной информации;
3) нарушение порядка использования средств вычислительной техники либо информационно-телекоммуникационных сетей и оконечного оборудования, повлекшее нарушение целостности и конфиденциальности информации.
Наиболее распространенными объектами преступного посягательства при неправомерном доступе к компьютерной информации являются коммерческие структуры, в том числе кредитные и финансовые организации, а также частные лица. Нередко объектами посягательства становятся государственные органы и учреждения. Чаще всего неправомерное проникновение осуществляется путем удаленного доступа, однако треть посягательств осуществляется внутри потерпевших организаций, в основном с использованием правонарушителем своего служебного положения, т. е. возможности правомерного доступа к ЭВМ, их системе или компьютерной сети кредитной организации, учреждения, государственного или муниципального органа в силу выполняемой в них работы или занимаемой должности. Следует иметь в виду, что правомерный доступ к компьютерному оборудованию не означает такового к компьютерной информации, которая предназначается для определенных лиц и выполнения ими соответствующих функций.
Субъекты совершают преступления путем:
- модификации компьютерных программ с целью проводки подложных электронных документов для создания резерва денежных средств с их последующим перечислением на счета юридических и физических лиц, обналичиванием и изъятием;
- блокирования сайтов организаций в результате DDOS-атак с целью дальнейшего вымогательства;
- получения в базах данных кредитных и финансовых организаций, интернет-магазинов номеров банковских карт и ПИН-кодов с последующим незаконным использованием в расчетах денежных средств клиентов банка;
- занижения суммы выручки торговых организаций путем внедрения специальных вредоносных программ в контрольно-кассовые машины, являющиеся ЭВМ, для совершения налоговых преступлений и хищений;
- несанкционированного доступа к компьютерной системе организации для бесплатного получения предоставляемых ею услуг;
- неправомерного доступа к компьютерной системе организации или учреждения для завладения конфиденциальной информацией: персональными данными граждан, коммерческой информацией организаций, служебной информацией правоохранительных органов, экономически, политически, социально значимой информацией;
- другими способами.
Основными средствами неправомерного доступа и преодоления информационной защиты являются: хищение ключей и паролей, использование несовершенства защиты информации, использование визуальных, оптических и акустических средств наблюдения за ЭВМ, использование недостатков программного обеспечения, операционных систем, несанкционированное подключение к основной и вспомогательной аппаратуре ЭВМ, внешним запоминающим устройствам, периферийным устройствам, линиям связи и пр. В основном для совершения преступления используются программные либо комбинированные (программные и технические носители) средства.
Физическая деятельность субъектов при совершении преступления, предусмотренного ст. 273 УК РФ, заключается в постановке задачи, определении цели программы, выборе средств и языка реализации программы, написании текста программы, ее отладке и запуске, а также в ее использовании, т. е. в создании вредоносной программы. Вредоносной является любая программа, специально разработанная или модифицированная для несанкционированных собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ.
Создание программ может производиться непосредственно на ЭВМ в подвергшейся воздействию компьютерной системе, а также в любом другом месте, где субъект имеет доступ к персональному компьютеру и обладает необходимыми для разработки программы оборудованием, временем и средствами. Наказуемо и использование такой программы, которое заключается в применении разработанной, в том числе и иным лицом, вредоносной программы при эксплуатации ЭВМ и обработке информации. Способом совершения преступления является и распространение вредоносных программ, которое выражается в предоставлении доступа к воспроизведенной в любой материальной форме программе для ЭВМ или базе данных. Оно может осуществляться путем распространения через глобальные компьютерные сети, перезаписи на магнитные носители и продажи с рук или через торговые организации, сдачи в прокат, взаймы, путем обмена, дарения и т. п.
Характерным является то, что все эти действия могут выполняться одним лицом или разными лицами, как действующими в группе по предварительному сговору, так и индивидуально.
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации и информационно-телекоммуникационных сетей совершается путем выполнения действий или бездействия, нарушающих порядок их использования, установленный инструкциями по эксплуатации соответствующего оборудования.
Правила эксплуатации устанавливаются разработчиками оборудования, а также собственником и владельцем информационных ресурсов.
Их нарушение в равной мере недопустимо, если это повлекло вредные последствия в виде уничтожения, блокирования или модификации компьютерной информации. Ответственность за такую деятельность предусматривается только для лиц, имеющих разрешенный доступ к средствам хранения, обработки и передачи компьютерной информации, а также к информационно-телекоммуникационным сетям.
Для всех компьютерных преступлений характерно то, что место и время совершения противоправных действий не совпадают с местом и временем неправомерного доступа к информации и наступления вредных последствий. Это означает, что действия, совершаемые в одной местности, могут повлечь доступ к информации в нескольких других местах, значительно удаленных, а вредные последствия могут наступить в третьем месте, удаленном от первых двух. Наиболее ярким примером этого могут являться хищения путем незаконного электронного перевода денежных средств со счетов граждан и организаций путем использования номеров их платежных карт и банковских счетов с обналичиванием денег через подставных лиц в иной местности. Выявление компьютерных преступлений не всегда означает автоматическое выяснение места его совершения. Между выявлением и поимкой преступника могут существовать барьеры в виде национальных границ между государствами с разными правовыми системами, в которых по-разному определяется понятие компьютерного преступления, и тогда возмездие за содеянное может не наступить.
Субъекты компьютерных преступлений весьма специфичны. Способ совершения посягательства, как правило, отражает черты и мотивы преступников. Как показывает следственная практика, чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче моделировать личность подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями и специализацией, обычно весьма ограничен.
Анализ уголовных дел свидетельствует о том, что значительный процент киберпреступников имеют высшее или незаконченное высшее техническое образование, хотя тенденции последних лет указывают на то, что преступления все чаще совершают лица без специального образования и даже учащиеся школ и колледжей. Некоторые виды преступлений, как указывалось выше, совершаются лицами, работающими в потерпевшей от их действий организации, где они занимают административные и бухгалтерские должности либо относятся к инженерно-техническому персоналу, каждый третий по роду службы правомерно пользовался служебной компьютерной техникой и постоянно имел свободный доступ к ней. Наряду с этим распространены случаи совершения компьютерных преступлений несовершеннолетними. Большинство совершивших такие преступления — мужчины. Все шире распространяется совершение компьютерных преступлений группами, в том числе и организованными. Среди зарегистрированных преступлений каждое третье совершено организованной преступной группой с распределением ролей и соответствующей подготовкой. Уже регистрируются случаи использования «компьютерных взломщиков» организованными преступными группами, совершающими тяжкие преступления, в том числе финансовые, а также террористическими организациями.
Среди преступников выделяются три основные группы:
— лица, владеющие специальными навыками в области управления ЭВМ и ее устройствами, а также специальными познаниями в области обработки информации в информационных системах в целом, знающие финансовые, бухгалтерские, информационные технологии. Ими совершаются хорошо продуманные и тщательно подготовленные преступления, в основном корыстные;
— лица, не обладающие серьезными познаниями в области программирования и компьютерной техники, имеющие лишь некоторые пользовательские навыки работы с ЭВМ. Их действия направлены на уничтожение, блокирование, модификацию, копирование ничем не защищенной информации;
— лица, имеющие психические отклонения. К их числу относят страдающих различными компьютерными фобиями. Эта категория заболеваний связана с нарушениями в информационном режиме человека под воздействием внешних или внутренних дестабилизирующих факторов как врожденного, так и приобретенного свойства.
Эмпирические исследования показывают многообразие мотивов совершения компьютерных преступлений. Среди них: корысть, познавательский интерес, хулиганские побуждения, месть, коммерческий шпионаж и др.
Корыстные цели преследуются преступниками в 55,7% случаев.
Среди них преобладают деяния, связанные с распространением вредоносных программ (18,6% изученных случаев). Реже компьютерные преступления совершаются в целях получения безвозмездного программного обеспечения (7,1%) либо последующей продажи похищенного программного обеспечения или иной информации (5,7%). Корыстным мотивом движимы преступники, совершающие преступления в сфере экономической деятельности: мошенничество, присвоение и растрату, причинение имущественного ущерба путем обмана или злоупотребления доверием, незаконное получение и разглашение сведений, составляющих коммерческую налоговую или банковскую тайну, и др.
Познавательский интерес преобладает у молодых людей, осуществляющих неправомерный доступ к компьютерной информации различных обладателей: физических лиц, коммерческих структур, государственных органов и учреждений. Чем более защищена информация ведомства, тем настойчивее осуществляются хакерские атаки, в том числе по предварительному сговору группами преступников (иногда даже из разных стран), объединяющихся путем общения через глобальную сеть.
Некоторые преступники руководствуются мотивами мести. Чаще всего пытаются отомстить за недооценку их личности и профессионализма или за необоснованное увольнение с работы. Например, подлежащая увольнению по сокращению штатов из городского управления жилищно-коммунальных услуг Г., недовольная этим фактом, решила осложнить работу подразделений городской администрации. Используя свое служебное положение, Г., занимавшая должность инженера-программиста, под разными предлогами получила доступ к ЭВМ пяти ЖЭУ города и уничтожила содержавшуюся на них программу «Квартплата».
В последнее время имеются тенденции к увеличению числа преступлений, мотивами совершения которых являются коммерческий шпионаж и распространение в глобальной компьютерной сети материалов, возбуждающих ненависть и вражду по признакам национальной и религиозной принадлежности. Например, гр. Р. по месту своего жительства, используя компьютер, будучи зарегистрированным под псевдонимом «В.» в социальной сети Интернета на сайте www.vkontakte.ru (ООО «Вконтакте»), публично совершил действия, направленные на возбуждение ненависти и вражды, а также унижение достоинства группы лиц по признакам отношения к религии. При обсуждении темы в интерактивной группе Р. распространял высказывания, противопоставляющие отдельных представителей религиозных групп друг другу, пропагандирующие идеи исключительности, превосходства представителей одной религии по сравнению с представителями иных мировых религий, возбуждающие межрелигиозную вражду, направленные на обоснование религиозной нетерпимости, оправдание физического уничтожения человека по признаку религиозной деятельности.
Обстоятельства, подлежащие установлению и доказыванию
По делам о неправомерном доступе к компьютерной информации установлению и доказывании подлежат следующие обстоятельства.
1. Факт доступа к компьютерной информации.
2. Неправомерность доступа к компьютерной информации. Устанавливается правообладатель информации, ее конфиденциальность, использование им средств информационной защиты.
3. Место неправомерного доступа к компьютерной информации, которое включает местонахождение информации, подвергшейся нападению, и место, откуда осуществлялась компьютерная атака.
4. Время неправомерного доступа и время наступления вредных последствий.
5. Орудия преступления, т. е. компьютерные и телекоммуникационные средства, а также программное обеспечение, которые использовались субъектом для неправомерного доступа.
6. Способ совершения неправомерного доступа.
7. Вредные последствия неправомерного доступа, их оценка правообладателем компьютерной информации, характер и размер вреда.
8. Субъект неправомерного доступа, его служебное положение, наличие доступа к ЭВМ, иным носителям компьютерной информации, относящимся к посягательству, наличие преступной группы, распределение ролей между ее участниками, наличие организованной преступной группы.
9. Виновность каждого субъекта преступления, форма вины, мотив преступной деятельности.
10. Обстоятельства, характеризующие личность каждого субъекта.
11. Обстоятельства, исключающие преступность и наказуемость деяния.
12. Обстоятельства, смягчающие и отягчающие наказание, предусмотренные ст. 61, 63 УК РФ.
13. Обстоятельства, которые могут повлечь за собой освобождение от уголовной ответственности и наказания.
14. Причины и условия, способствовавшие совершению преступления. Характеристика обстановки совершения преступления.
При расследовании создания, использования и распространение вредоносных программ для ЭВМ устанавливаются и доказываются следующие обстоятельства.
1. Факт и способ создания вредоносной программы для ЭВМ или факт внесения в существующую программу изменений, приводящих к уничтожению, блокированию, модификации или блокированию информации.
2. Факт использования или распространения вредоносной программы или машинных носителей с такой программой.
3. Вредные последствия, причиненные преступлением, их оценка правообладателем компьютерной информации, характер и размер вреда, наступление тяжких последствий.
4. Физические или (и) юридические лица, потерпевшие от преступления.
5. Место совершения преступления: место создания, использования, распространения вредоносных программ, место наступления вредных последствий содеянного.
6. Время создания, использования, распространения вредоносных программ, время наступления вредных последствий.
7. Орудия преступления, т. е. компьютерные и телекоммуникационные средства, а также программное обеспечение, которые использовались субъектом для создания, использования и распространения вредоносных программ.
8. Субъект преступления, наличие преступной группы, распределение ролей между ее участниками.
9. Виновность каждого субъекта преступления, форма вины, мотив преступной деятельности.
10. Обстоятельства, характеризующие личность каждого субъекта.
11. Обстоятельства, исключающие преступность и наказуемость деяния.
12. Обстоятельства, смягчающие и отягчающие наказание, предусмотренные ст. 61, 63 УК РФ.
13. Обстоятельства, которые могут повлечь за собой освобождение от уголовной ответственности и наказания.
14. Причины и условия, способствовавшие совершению преступления. Характеристика обстановки совершения преступления.
Расследование нарушений правил эксплуатации ЭВМ, системы ЭВМ или их сети предполагает установление и доказывание следующих обстоятельств.
1. Факт нарушения определенных правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации. Факт нарушения правил эксплуатации информационно-телекоммуникационных сетей и оконечного оборудования. Факт нарушения правил доступа к информационно-телекоммуникационным сетям.
2. Способ действия субъекта (субъектов) преступления.
3. Наступление вредных последствий в виде уничтожения, блокирования, модификации, копирования компьютерной информации.
Характер компьютерной информации, подвергшейся воздействию.
Размер причиненного ущерба обладателю информации. Наступление тяжких последствий или угроза наступления таковых.
4. Субъект нарушения правил эксплуатации, его служебное положение, наличие доступа к средствам хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационным сетям и оконечному оборудованию. Наличие преступной группы, распределение ролей между ее участниками.
5. Виновность каждого субъекта преступления, форма вины, мотив преступной деятельности.
6. Обстоятельства, характеризующие личность каждого субъекта.
7. Место нарушения правил эксплуатации.
8. Время нарушения правил эксплуатации.
9. Обстоятельства, исключающие преступность и наказуемость деяния.
10. Обстоятельства, смягчающие и отягчающие наказание, предусмотренные ст. 61, 63 УК РФ.
11. Обстоятельства, которые могут повлечь за собой освобождение от уголовной ответственности и наказания.
12. Причины и условия, способствовавшие совершению преступления. Характеристика обстановки совершения преступления.
Особенности возбуждения уголовного дела
Поводами для возбуждения уголовных дел о преступлениях в сфере высоких информационных технологий являются:
— заявления граждан и организаций, являющихся обладателями и законными пользователями компьютерной информации, подвергшейся преступному воздействию. Заявления должны быть оформлены и зарегистрированы в соответствии с требованиями ст. 140 УПК РФ;
— сообщения о совершенном или готовящемся преступлении, полученные из различных источников. Уполномоченное лицо, получившее такое сообщение, составляет рапорт об обнаружении признаков компьютерного преступления в соответствии с требованиями ст. 143 УПК РФ. В основном такими источниками являются данные, полученные в результате проведения оперативно-розыскных мероприятий специализированными подразделениями ФСБ и МВД;
— теоретически возможна явка с повинной лица, совершившего преступление в сфере компьютерной информации, хотя в следственной практике такие случаи почти не встречаются.
Решение вопроса о возбуждении уголовного дела требует тщательной проверки и оценки имеющихся данных в соответствии со ст. 144 УПК РФ. Исключение составляют случаи задержания правонарушителей с поличным. Тогда уголовное дело должно быть возбуждено немедленно для производства неотложных следственных действий и иных мероприятий, к которым относятся: задержание с поличным, личный обыск подозреваемого, осмотр места происшествия, обыск по месту возможного пребывания подозреваемого, где находится используемый им персональный компьютер или другие средства вычислительной техники, изъятие компьютерной техники и информации, имеющей значение для дела.
В ходе предварительной проверки должны найти подтверждение факты:
- нарушения целостности (конфиденциальности) компьютерной информации;
- наступления вредных последствий в виде копирования, уничтожения, модификации, блокирования информации, нарушения работы ЭВМ, за исключением дел о создании, использовании и распространении вредоносных компьютерных программ;
- наличия причинной связи между неправомерными действиями и наступившими последствиями;
- размера ущерба или существенности вреда, причиненного в результате преступных действий.
В процессе проверки заявления или сообщения о совершенном компьютерном преступлении необходимо принять меры к установлению таких необходимых для возбуждения уголовного дела данных, как:
- время неправомерного проникновения в компьютерные сети (внутри потерпевшей организации или извне) и доступа к компьютерной информации;
- место нахождения информации, на которую была совершена атака;
- время и место создания, использования и распространения вредоносных компьютерных программ;
- способы совершения неправомерного доступа или нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-теле коммуникационных сетей и оконечного оборудования, их последствия;
- технические, программные, комбинированные или иные средства, использованные при совершении преступления;
- способы преодоления информационной защиты информации у ее обладателя;
- субъект преступления.
В зависимости от ситуации на стадии проверки заявления могут быть проведены различные мероприятия и такое неотложное следственное действие, как осмотр места происшествия. Их цель не только выявить криминалистические признаки совершенного преступления, но и зафиксировать и изъять следы преступления, определить круг свидетелей, подлежащих допросу.
К моменту возбуждения уголовного дела материал проверки заявления должен содержать следующие документы:
— заявление или сообщение о совершенном или готовящемся компьютерном преступлении;
— рапорт уполномоченного лица об обнаружении признаков преступления;
— объяснения заявителя и других лиц, которым известно о совершенном или готовящемся компьютерном преступлении;
— Правила эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационных сетей и оконечного оборудования, Инструкции по работе с компьютерными средствами, журналы регистрации сбоев, справки о происшедшем неправомерном доступе в организации и другие документы, относящиеся к совершению компьютерного преступления, его последствиям или субъекту правонарушения;
— документы, подтверждающие распространение вредоносных программ через торговые предприятия: приходные накладные, кассовые чеки, инвентаризационные описи, товарно-денежные отчеты и др.;
— материалы органов, осуществлявших оперативно-розыскную деятельность по рассматриваемому факту: протоколы проверочных закупок носителей с вредоносными компьютерными программами, оперативного наблюдения, перехвата и регистрации информации электронной почты, оперативных экспериментов и других оперативно-розыскных мероприятий, проводимых по данному факту, стенограммы прослушивания телефонных переговоров и иных сообщений (радиообмена, модемных, SMS, MMS и др.), перехвата информации с иных каналов связи, свидетельствующие о неправомерной деятельности подозреваемых лиц и других оперативно-розыскных мероприятий, проводившихся в ходе ОРД;
— Постановление начальника органа, осуществляющего ОРД, о рассекречивании полученной информации;
— Постановление начальника органа, осуществляющего ОРД, о представлении результатов ОРД органу дознания, следователю или прокурору.
Типичные следственные ситуации первоначального этапа расследования
Организация начального этапа расследования зависит от того, какая следственная ситуация сложилась к моменту возбуждения уголовного дела. Под следственной ситуацией понимается объективная криминалистическая категория, отражающая положение в определенный момент расследования, характеризующаяся содержанием криминалистически значимой информации и степенью достаточности ее для принятия решений следователем. Поэтому на начальном этапе расследования организация сводится в основном к работе с информацией, а именно к ее восприятию, анализу, переработке, оценке, систематизации, синтезу. На основе результатов обработки исходной информации осуществляется выдвижение версий, определяются задачи расследования, следователь принимает решения, организует их выполнение и осуществляет контроль за исполнением всеми участниками процесса.
В результате он получает новую информацию, которая, в свою очередь, воспринимается, анализируется, перерабатывается, синтезируется, что ведет к постановке новых задач, к принятию новых управленческих решений и корректировке прежних. Постоянно по ходу этого процесса следователь прогнозирует расследование в целом, поведение подозреваемого, обвиняемого, заявителя о компьютерном преступлении, свидетелей, других участников расследования, а также возможное недобросовестное противодействие со стороны защиты.
Организация расследования осуществляется с использованием программно-целевого метода, метода мысленного моделирования, криминалистического факторного анализа и комплексного подхода.
Для начального этапа расследования компьютерных преступлений наиболее типичны следующие ситуации:
1) собственник или правообладатель компьютерной информации самостоятельно выявил факт преступления и обнаружил лицо, его совершившее;
2) собственник или правообладатель компьютерной информации самостоятельно выявил факт преступления, но преступник неизвестен;
3) преступление выявлено органом дознания в результате проведенной оперативно-розыскной деятельности.
Анализ исходной информации, независимо от ситуации, осуществляется на основе обобщения имеющихся в материале сведений о криминалистических признаках, указывающих на совершение компьютерного преступления. Это могут быть следующие признаки:
- сбои в работе ЭВМ или локальной вычислительной сети собственника или обладателя;
- уничтожение, блокирование, модификация или копирование компьютерной конфиденциальной информации;
- утрата значительных массивов информации или баз данных;
- необычные проявления в работе ЭВМ: замедленная или необычная загрузка операционной системы, замедление работы машины с внешними устройствами, неадекватные реакции ЭВМ на команды пользователя и пр.;
- копии чужих файлов в файловой системе правообладателя;
- файлы с вредоносными программами;
- наличие программного обеспечения подбора паролей для неправомерного доступа в Интернет либо иного проникновения в компьютерные сети, а также содержащего функции по уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или локальной вычислительной сети;
- внесение в конструкцию компьютера встроенных устройств, дополнительных жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и т. д.;
- наличие нестандартных периферийных устройств;
- изменения в оперативном запоминающем устройстве, зафиксированные при задержании подозреваемого с поличным в момент работы на компьютере при совершении неправомерного доступа к компьютерной информации;
- улики поведения подозреваемого;
- другие признаки.
Анализируя указанные признаки, следователь выдвигает общие и частные типовые версии:
- имело место компьютерное преступление, обладатель информации правильно отразил в заявлении его обстоятельства;
- совершено иное преступление, сбой компьютерного оборудования применен для запутывания следов преступления;
- имеет место оговор или ложное заявление о преступлении с целью отвести подозрение от себя или избавиться от нежелательного лица;
- отклонения в работе средств вычислительной техники связаны с техническими неполадками или ошибками, допущенными самим обладателем (оператором);
- имеет место заблуждение или ошибка заявителя.
Одновременно выдвигаются типовые частные версии по каждому из обстоятельств, подлежащих доказыванию в зависимости от того, какие из них не установлены к данному моменту. После этого в результате сопоставления обстоятельств, подлежащих установлению и уже установленных, формулируются задачи расследования и определяются средства их решения, т. е. те следственные действия и иные мероприятия, в результате проведения которых предполагается установить неизвестные еще обстоятельства совершения преступления. Таким образом формируется план расследования по делу в целом, отдельным эпизодам и обстоятельствам. По мере его выполнения и получения новой информации вносятся коррективы в имеющийся план и вновь проводятся анализ и формулирование дальнейших задач расследования.
Наиболее важными следственными действиями на начальном этапе расследования компьютерных преступлений являются осмотр места происшествия, компьютерного оборудования и информации, обыск и выемка с целью обнаружения, фиксации и изъятия компьютерной информации и средств вычислительной техники, относящихся к расследуемому событию. Это ключевой момент расследования, поскольку компьютерная информация является предметом посягательства, неправомерный доступ к ней должен быть своевременно процессуально зафиксирован.
Тем более, что компьютерная информация может быть легко изменена или уничтожена, что повлечет утрату следов преступления.
Тактике производства и процессуальным особенностям этих следственных действий посвящена отдельная глава «Тактика изъятия компьютерной информации». Здесь отметим лишь необходимость тщательной фиксации всех данных о неправомерном доступе к компьютерной информации. Указанные данные включают: содержимое энергонезависимых носителей информации (жесткие диски, компакт-диски, накопители USB Flash и т. п.); содержимое энергозависимых носителей информации (оперативная память); лог-файлы сетевого оборудования, серверов; сетевой трафик. Сбор данных заключается в создании их копии специализированными средствами.
Перед созданием копии энергонезависимого носителя информации необходимо обеспечить целостность (неизменность) его содержимого, для чего применяются программные и аппаратные блокираторы записи, а также специализированные операционные системы. Следует отметить, что копирование содержимого энергонезависимых носителей информации осуществляется по ходатайству обладателя информации на представленный им носитель, а сам носитель изымается для дальнейшего экспертного исследования.
Сбор энергозависимых данных производится с работающих систем перед их выключением. Как правило, процесс сбора энергозависимых данных заключается в копировании содержимого оперативной памяти компьютера, примонтированных зашифрованных файловых систем и сетевых хранилищ, списков работающих процессов и сервисов, текущих сетевых соединений и открытых портов, сетевой конфигурации исследуемой системы, переменных окружения, изображения, которое видит пользователь на экране монитора (создание снимка экрана).
Копирование лог-файлов в зависимости от ситуации и обстоятельств дела может производиться несколькими способами: копированием только записей, имеющих отношение к инциденту (например, относящихся к определенному IP-адресу или промежутку времени); копированием логфайлов целиком; копированием всего носителя информации.
Для фиксации сетевого трафик создаются копии (дампы) сетевых пакетов с применением специальных программ. При этом необходимо организовать подключение точки съема сетевого трафика в участке сети, который обеспечивает сбор всех криминалистически значимых потоков данных. В процессе создания дампа сетевых пакетов необходимо минимизировать обмен данными между узлом, который производит съем сетевого трафика, и узлами сети, которые имеют отношение к расследуемой ситуации.
Как отмечалось выше, место совершения компьютерного преступления неоднозначно, поэтому поиск и фиксация компьютерной информации осуществляются на различных объектах, а именно в местах:
- непосредственной обработки и постоянного хранения компьютерной информации, ставшей предметом преступного посягательства;
- непосредственного использования компьютерного оборудования с целью неправомерного доступа к охраняемым базам и банкам данных или создания, использования и распространения вредоносных компьютерных программ;
- хранения добытой преступным путем из других компьютеров, компьютерных систем и сетей информации на различных машинных носителях;
- непосредственного нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационной сети или оконечного оборудования;
- непосредственного нарушения правил доступа к информационно-телекоммуникационной сети;
- наступления вредных последствий;
- личного обыска подозреваемого на месте задержания.
В ходе осмотров исследуются служебные и жилые помещения, средства вычислительной техники, носители машинной информации, документы, предметы и иные объекты.
Поскольку для следователя может быть затруднительным обращение с компьютерной техникой и информацией, необходимо привлекать для участия в следственных действиях всевозможных специалистов:
- программистов по операционным системам и прикладным программам;
- электронщиков;
- специалистов по средствам связи и телекоммуникациям;
- специалистов по сетевым технологиям;
- специалистов в области экономики, финансов, бухгалтерского учета, в том числе лиц, владеющих навыками работы с определенными компьютерными бухгалтерскими, учетными и другими программами;
- других специалистов в зависимости от обстоятельств совершенного преступления.
Производя указанные следственные действия, необходимо учитывать, что компьютерное оборудование и компьютерная информация, как уже упоминалось, могут быть предметом посягательства, орудием преступления и хранилищем доказательств. В связи с этим их осмотр и обыск должны иметь цель поиска, обнаружения, закрепления и изъятия всех возможных следов, связанных с указанными функциями объектов.
Например:
- информация о незаконных бухгалтерских и финансовых операциях, проведенных в кредитно-финансовой сфере;
- программы, отвечающие за проведение электронных платежей по сети Интернет с использованием услуг интернет-магазинов и виртуальных фирм, а также списки произведенных перечислений с чужих счетов и кредитных карт;
- программы для использования платежных систем (WEB-MANY и др.);
- переписка соучастников, касающаяся организации и исполнения преступления;
- сведения, составляющие государственную, коммерческую, банковскую или иную тайну;
- программное обеспечение и базы данных, правообладателями которых являются иные лица;
- личная переписка;
- порнографические изображения;
- вредоносные компьютерные программы;
- файлы, содержащие конфиденциальную информацию, которой на законных основаниях не может обладать данный субъект;
- зашифрованные данные, связанные с совершением преступления.
Немаловажное значение имеет обнаружение и изъятие в помещении, где установлено компьютерное оборудование, традиционных вещественных доказательств. При совершении компьютерных преступлений таковыми могут быть:
- бумажные носители информации (распечатки с принтера, в том числе оставшиеся внутри него);
- записи кодов и паролей доступа;
- тексты программ и описание программного обеспечения;
- записные книжки, в том числе и электронные, в которых могут находиться имена, клички хакеров и соучастников, номера телефонов, банковских счетов, ПИН-коды пластиковых карт;
- пластиковые карты соучастников и третьих лиц, с помощью которых обналичивались и изымались денежные средства, похищенные с использованием компьютерных технологий;
- вещи и ценности, приобретенные на похищенные деньги;
- счета за пользование провайдерскими услугами;
- нестандартные периферийные устройства, устройства доступа к глобальной компьютерной сети;
- документы, должностные инструкции, регламентирующие правила работы с данной компьютерной системой, сетью, с пометками сотрудника, свидетельствующими о его ознакомлении с ними;
- личные документы преступников.
Если непосредственный доступ к ЭВМ осуществлялся посторонним лицом, целесообразно направить усилия на поиск следов рук на клавиатуре, мониторе, системном блоке, мебели, следы ног на полу, следы орудий взлома, сопровождавшего проникновение преступника в помещение, и пр.
В ходе выемки обязательно изымаются документы, необходимые для решения вопроса о нарушении правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования или правил доступа к информационно-телекоммуникационным сетям:
- Инструкции производителя по эксплуатации оборудования;
- Правила работы с оборудованием, установленные фирмой — собственником оборудования;
- журналы регистрации сбоев ЭВМ;
- журнал ремонта и профилактических осмотров компьютерного оборудования;
- материалы служебного расследования факта нарушения правил эксплуатации;
- приказ руководителя организации об отнесении сведений к разряду коммерческой тайны;
- приказ о назначении лица на должность;
- должностная инструкция виновного;
- документы о соответствующей подготовке виновного для работы с оборудованием;
- другие документы.
Осмотры, обыски и выемки дают богатый материал для дальнейшего расследования. Его дополняют показания заявителей о совершенном преступлении. Если заявление поступило от лиц, которым причинен материальный, моральный или иной вред действиями преступников, они признаются потерпевшими по делу. В ходе их допроса выясняются: обстановка в организации, способы защиты компьютерной информации, доступа к средствам вычислительной техники и локальной вычислительной сети организации, обстоятельства выявления преступления, последствия преступного посягательства, оценка причиненного вреда. Если преступник не установлен, целесообразно в ходе допроса попытаться выяснить некоторые криминалистические признаки, позволяющие получить сведения о правонарушителе.
Например: как часто менялись коды и пароли доступа к информации, на ком лежала ответственность за их смену, имелись ли факты осуществления сотрудниками сверхурочных работ без видимых на то причин, немотивированные отказы от отпусков сотрудников, обслуживающих компьютерные системы или сети, чрезмерный интерес некоторых сотрудников к работе других отделов, к документам или работе компьютеров, появление внешних носителей информации для копирования компьютерной информации, другие случаи подозрительного поведения сотрудников, обслуживающего персонала или посторонних лиц, кто из посторонних лиц проявлял интерес к оборудованию, программному обеспечению и компьютерной информации.
После таких допросов легко определить свидетельскую базу, т. е. тех лиц, которые причастны к работе вычислительных систем и сетей.
Начинать допросы, безусловно, следует с очевидцев совершенного преступления, т. е. тех, кто непосредственно может свидетельствовать о неправомерном доступе к информации, создании, использовании или распространении вредоносных программ или нарушении правил эксплуатации компьютерного оборудования либо о тех последствиях, которые возникли в результате этих действий. В качестве свидетелей допрашиваются сотрудники потерпевшей организации по обстоятельствам неправомерного доступа: операторы, администраторы сети, работники бухгалтерии и финансового отдела, руководители отделов, где обрабатывается информация, подвергшаяся нападению, инженеры-программисты, разработавшие программное обеспечение и осуществляющие его отладку и обслуживание, специалисты, занимающиеся эксплуатацией и ремонтом компьютерной техники, системные программисты, инженеры по средствам связи и телекоммуникационному оборудованию, специалисты, обеспечивающие информационную безопасность, работники охраны и службы безопасности и др.
Целью их допросов является получение показаний об обстоятельствах, предшествовавших совершению преступления, для установления круга подозреваемых лиц, об обстоятельствах обнаружения факта преступления и наступивших негативных последствиях. Уточняются наличие и функционирование информационной защиты, ее недостатки, иные причины и условия, которые могли быть использованы для совершения противоправных действий.
Если преступник установлен, проводятся его задержание, личный обыск, допрос в качестве подозреваемого, обыск по месту жительства и работы, другие следственные действия.
Готовиться к допросу подозреваемого и обвиняемого в ряде случаев целесообразно, заранее получив консультацию специалиста, поскольку совершение компьютерных преступлений по плечу не каждому субъекту, а лишь тем, кто имеет специальную подготовку, соответствующие знания, навыки, оборудование. Знания следователя не всегда могут соответствовать необходимому уровню, поэтому он должен восполнять пробелы за счет привлечения специалиста. Лучше всего получить предварительную консультацию, а затем пригласить специалиста для участия непосредственно в допросе.
В ходе допроса подозреваемого и обвиняемого выясняются следующие вопросы:
- какое образование имеет подозреваемый или обвиняемый, имеет ли навыки обращения с компьютером, где, когда и при каких обстоятельствах он освоил работу с компьютерной техникой и с конкретным программным обеспечением;
- каково место его учебы или работы, должность, работает ли он со средствами вычислительной техники по месту работы, имеет ли правомерный доступ к компьютерной технике и к каким видам программного обеспечения;
- какие операции с компьютерной информацией выполняет на рабочем месте;
- имеет ли правомерный доступ к глобальной сети Интернет или иной, работает ли в них;
- закреплены ли за ним по месту работы идентификационные коды и пароли для работы в компьютерной сети, кто их устанавливает, как часто они меняются;
- если не работает, то какие операции выполняет на своем персональном компьютере либо персональных компьютерах других лиц из своего ближайшего окружения, где и у кого приобрел программы для своей ЭВМ.
На эти вопросы подозреваемые обычно отвечают охотно и даже немного бравируют, стараясь показать свое превосходство над следователем в области знания компьютерного оборудования. Если подозреваемый или обвиняемый пожелает далее отвечать на вопросы, то у него следует выяснить обстоятельства совершенного преступления:
- как и кому пришла идея совершения преступления;
- как осуществлялась подготовка, выбирался объект атаки;
- каковы мотивы и цель совершения преступления;
- как осуществлен неправомерный доступ к информации и создана вредоносная программа, как она использовалась или распространялась, знает ли создателя вредоносной программы;
- знает ли о наступивших вредных последствиях и другие вопросы.
Несколько отличается тактика допроса подозреваемого в нарушении правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования или правил доступа к информационно-телекоммуникационным сетям. Ими могут быть только лица, имеющие правомерный доступ к компьютерному оборудованию и сети, компьютерной информации. Чаще всего это операторы, программисты, техники-наладчики, сотрудники подразделений, где компьютеризированы функции. При допросе этих лиц следует выяснять:
— когда назначен на должность, какое получил образование, какими навыками обладает;
— был ли ознакомлен с установленными режимом работы и правилами эксплуатации; в каком документе такое ознакомление отражено, проводился ли официальный инструктаж, кем и как часто, в каких документах фиксировался;
— каковы место и время факта нарушения правил эксплуатации, в какой период времени подобным образом эксплуатировалось оборудование;
— в чем конкретно выразилось нарушение правил эксплуатации, каковы технические аспекты способа и механизма нарушения правил: совершены действия, не предусмотренные инструкциями, или не выполнены предписанные действия, нарушены технологии соответствующих операций;
— каковы последствия допущенных нарушений: возникновение нештатной ситуации с компьютером и его устройствами, повлекшее уничтожение, модификацию или копирование информации; выведение из строя компьютерной системы, вызвавшее блокирование информации и нарушение работы организации, учреждения, предприятия, систем управления и связи; вывод из строя оборудования организации, управляемого компьютерными программами; иное;
— место наступления вредных последствий.
В отношении субъектов преступления устанавливаются:
- персональные данные;
- занимаемая должность;
- функциональные обязанности, связанные с ответственностью за информационную безопасность и надежность работы компьютерного оборудования, за обеспечение выполнения правил эксплуатации данной компьютерной системы или сети;
- нормативные акты, устанавливающие функциональные обязанности субъекта: инструкции и правила по эксплуатации, приказы, распоряжения руководителей, трудовой договор или контракт, дополнительные соглашения и пр.;
- образование и специальность;
- стаж работы по специальности и на данной должности;
- уровень профессиональной квалификации;
- данные, характеризующие лицо по месту работы.
Все это устанавливается посредством допросов свидетелей, самого подозреваемого, истребования соответствующих документов из кадрового органа, осмотра эксплуатационных документов на данную компьютерную систему, осмотра компьютера, оборудования к нему, машинных носителей информации, распечаток.
Особенности производства отдельных следственных действий
Расследование преступлений в сфере высоких информационных технологий представляет значительные трудности для следователей.
Сам специфический способ совершения подобных деяний недостаточно изучен, в связи с этим сложности возникают не только при поиске следов, но и при их фиксации, закреплении и исследовании. Именно поэтому расследование данного вида преступлений, как никакого другого, связано с использованием знаний специалистов самых разных отраслей: электроники, программирования, телекоммуникаций и др.
Использование специальных знаний может осуществляться в виде:
- неофициальных консультаций у специалистов-профессионалов в различных отраслях науки и техники;
- участия специалистов при производстве следственных действий;
- производства экспертиз.
Неофициальные консультации проводятся чаще всего до возбуждения уголовного дела или на начальном этапе расследования, необходимы для получения общих сведений о действии средств вычислительной техники, локальных вычислительных и глобальных сетей, построения общей модели способа совершения преступления и никак не отражаются в материалах дел. Если же лицо приглашается для участия в следственных действиях в качестве специалиста, то его статус имеет процессуальную регламентацию в соответствии со ст. 58 УПК РФ. Использование специальных знаний при производстве осмотра, обыска и выемки подробно освещено в главе «Тактика изъятия компьютерной информации». Заметим лишь, что специалист может участвовать и в любых других следственных действиях, оказывая помощь следствию в обнаружении, закреплении и изъятии предметов и документов, в применении технических средств, разъясняя вопросы, входящие в его профессиональную компетенцию.
Основная задача специалиста заключается в даче консультаций по правилам обращения с вычислительной техникой, выявлении средств компьютерной техники, описании аппаратных устройств и программного обеспечения, поиске информации в компьютере, оказании следователю помощи при изъятии средств вычислительной техники и информации, подготовке их к транспортировке и хранению.
Уголовно-процессуальный закон не препятствует назначению экспертизы лицу, привлекавшемуся в качестве специалиста по этому же делу, что весьма облегчает расследование преступлений, связанных с использованием высоких технологий, так как указанных специалистов еще недостаточно.
Заключение эксперта по рассматриваемой категории дел является одним из важнейших источников доказательств. Именно экспертные исследования позволяют придать изъятым аппаратным средствам, программному обеспечению и компьютерной информации доказательственное значение, упрощая процедуру юридической оценки собранных по делу материалов. В таких условиях основными задачами следователя являются лишь поиск, фиксация, изъятие с помощью специалистов и представление эксперту необходимых материальных объектов — носителей информации о совершенном преступлении.
Заключение эксперта оценивается следователем исключительно на основании анализа и сопоставления всех имеющихся материалов дела и доказательств. В случае неясности или неполноты заключения эксперт может быть допрошен или перед ним ставятся дополнительные вопросы. Если же у следователя возникают сомнения в выводах эксперта или если выводы противоречат другим доказательствам, уголовно-процессуальным законом предусмотрена проверка выводов путем назначения повторной экспертизы, поручаемой другому эксперту, или дополнительной экспертизы в соответствии со ст. 207 УПК РФ.
Экспертным исследованиям подлежат предметы и документы, имеющие значение для расследования преступления и изъятые в ходе следствия в строго процессуальном порядке путем осмотра, обыска или выемки таким образом, как указано выше. Объекты, представляемые на экспертизу, весьма разнообразны. Ими могут быть:
— компьютеры, их системы и сети, а также их отдельные части и комплектующие, сопроводительная документация к ним;
— периферийные устройства и сопроводительная документация к ним;
— различные носители компьютерной информации;
— различные коммуникационные устройства (электронные записные книжки, мобильные телефоны и другая техника, содержащая информацию в электронном виде), непосредственно линии электросвязи и обеспечивающие их устройства, иные электронные носители текстовой и цифровой информации (контрольно-кассовые машины и т. п.), сопроводительная документация к ним;
— документы, изготовленные с использованием компьютерных систем и электронных средств передачи и копирования информации;
— компьютерная информация (программы, тексты) в различном виде;
— документация по работе с информацией, информационными системами и оборудованием;
— видео- и звукозаписи, визуальная и звуковая информация, в том числе на лазерных дисках;
— иные электронные технические средства, средства спецтехники и связи, электронные замки, электронные средства охраны и безопасности экономического субъекта, пластиковые карты различного назначения.
Следователь, установив, что добытые им в ходе следственных действий фактические данные не могут быть непосредственно положены в основу обвинения, поскольку для их интерпретации и использования требуются специальные знания, принимает решение о назначении экспертизы. Такое же решение принимается им, когда показания разных лиц противоречат друг другу или иным доказательствам по делу и противоречия не могут быть устранены без обращения к лицам, обладающим специальными познаниями.
Предметом компьютерно-технической экспертизы являются фактические данные, устанавливаемые на основе исследования закономерностей формирования и эксплуатации компьютерных средств, обеспечивающих сбор, обработку, хранение, поиск и распространение информации, и на основе анализа самой компьютерной информации, имеющие значение для дела вследствие посягательства на них, использования в качестве орудия преступления или доказательства по делу.
В связи с этим основными задачами экспертизы можно считать определение статуса объекта, являющегося компьютерным средством, его диагностику, выявление и изучение следовой картины представленного устройства, получение доступа к компьютерной информации и ее всестороннее исследование.
В зависимости от тех задач, которые решает следствие с помощью экспертизы, последняя может быть разделена на следующие виды:
- судебная аппаратно-компьютерная — исследует электронные, электрические и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы;
- судебная программно-компьютерная (экспертиза программного обеспечения) — исследует всевозможное программное обеспечение:
- как системное, необходимое дополнение аппаратных средств, так и прикладное, определяющееся функциональной ролью компьютерной системы и потребностями конкретного пользователя (по делам об экономических преступлениях это чаще всего бухгалтерские, складские, кадровые программы);
- судебная информационно-компьютерная — осуществляет поиск, обнаружение, анализ, идентификацию и интерпретацию информации, используемой или подготовленной интересующим следствие пользователем, а также созданной для организации информационных процессов в компьютерной системе.
Это деление отчасти условно, поскольку, как правило, при назначении компьютерно-технической экспертизы следствие вынуждено ставить вопросы по каждому из названных видов в зависимости от того, какие именно объекты представляются эксперту и какие вопросы ставятся перед ним.
Приведем наиболее типичные вопросы, подлежащие разрешению:
— является ли представленный объект средством вычислительной техники, носителем компьютерной информации;
— каковы технические характеристики представленной локальной вычислительной сети, соответствуют ли ее конфигурация и технические характеристики представленной технической документации;
— каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, какие программные продукты там находятся, каково их назначение, когда производилась их инсталляция;
— какие изменения вносились в программу, как они видоизменили программу; вносились ли изменения, направленные на преодоление защиты информации;
— использовались ли ограничения доступа к информации, какие именно; каково содержание скрытой информации; предпринимались ли попытки неправомерного доступа к информации;
— имеются ли на представленном носителе информации скрытые или удаленные файлы; возможно ли восстановление удаленных файлов; каково содержание восстановленных файлов;
— каков механизм утечки информации из локальной вычислительной сети;
— не вызваны ли сбои в работе компьютера действием вредоносной программы;
— имеются ли на представленном носителе информации файлы, обладающие определенными признаками (изображения, текст и пр.);
— имеются ли на представленном носителе информации файлы определенного типа (текстовые, графические, электронные таблицы, базы данных);
— имеются ли на представленном носителе информации файлы, содержащие следы подготовки определенных документов, банкнот и т. п.;
— имеются ли на представленном компьютере базы сообщений и контактов электронной почты и базы сообщений и контактов программ для мгновенного обмена сообщениями, сведения о работе пользователей в сети Интернет;
— имеются ли на представленном компьютере сведения о работе с системами дистанционного банковского обслуживания или системами электронных платежей;
— имеются ли на представленном компьютере следы несанкционированного доступа к операционной системе либо программы, предназначенные для удаленного управления компьютером;
— имеются на представленном носителе информации программы, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;
— каким образом организована база данных; какая информация содержится в базе данных, когда она обновлялась последний раз, имеется ли в ней запись конкретного содержания; возможно ли внесение в базу данных новой информации, каким образом.