В сфере компьютерной информации 1 страница

§ 1. Расследование фактов неправомерного доступа

к компьютерной информации

Информация и информационные правоотношения все чаще становятся новым предметом преступного посягательства. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Общий объект данных преступлений - общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.

Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация - это зафиксированные на материальном носителе сведения с реквизитами, которые позволяют их идентифицировать. Компьютерная информация считается документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя.

К машинным носителям компьютерной информации относятся блоки памяти ЭВМ, ее периферийные системы, средства связи, сетевые устройства и линии электросвязи.

Ответственность по ст. 272 УК РФ наступает в случае, если неправомерный доступ к компьютерной информации привел к таким опасным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.

Уничтожением считается такое изменение информации, которое лишает ее первоначального качества, вследствие чего она перестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией - ее видоизменение с появлением новых, нежелательных свойств. Копирование - это воспроизведение точного или относительно точного аналога оригинала; а нарушение работы ЭВМ, их системы или сети - замедление, зацикливание, прекращение действия программы, нарушение порядка выполнения команд, отказ в выдаче информации, отключение элементов компьютерной системы, другие нештатные ситуации. При этом системой считается взаимосвязанная совокупность компьютеров с их единым организационно-техническим обеспечением, а сетью - объединение систем ЭВМ, действующих на определенной территории.

При расследовании неправомерного доступа к компьютерной информации обстоятельства содеянного устанавливаются в такой очередности:

1) факт неправомерного доступа к информации в компьютерной системе или сети;

2) место несанкционированного проникновения в эту систему или сеть;

3) время совершения преступления;

4) способ несанкционированного доступа;

5) степень надежности средств защиты компьютерной информации;

6) лица, совершившие неправомерный доступ, их виновность и мотивы преступления;

7) вредные последствия содеянного.

Для рассматриваемых преступлений характерны такие ситуации начала расследования:

1) собственник компьютерной системы обнаружил нарушение ее целостности и (или) конфиденциальности, установил виновное лицо и заявил о случившемся в правоохранительные органы;

2) собственник самостоятельно выявил названные нарушения, однако не смог установить злоумышленника и заявил о случившемся;

3) сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъекте стали известны или непосредственно обнаружены компетентным органом, владелец компьютерной системы этот факт скрывает;

4) правоохранительным органом обнаружены признаки противоправного вторжения в компьютерную систему, виновное лицо и владелец информации неизвестны.

Факт неправомерного доступа к информации обнаруживают, как правило, пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ России, ФСКН России. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по расследуемым делам.

Признаками несанкционированного доступа или подготовки к нему могут служить:

1) появление в компьютере искаженных данных;

2) длительное необновление кодов, паролей и других защитных средств компьютерной системы;

3) увеличение числа сбоев в работе ЭВМ;

4) участившиеся жалобы пользователей компьютерной системы или сети.

Таким фактам могут предшествовать или сопутствовать:

1) осуществление без необходимости сверхурочных работ;

2) немотивированные отказы отдельных сотрудников, обслуживающих компьютерную систему или сеть, от очередного отпуска;

3) приобретение работником для личного пользования дорогостоящего компьютера;

4) флэш-карты или диски, принесенные на работу кем-то из сотрудников компьютерной системы под предлогом копирования программ для компьютерных игр;

5) участившиеся случаи перезаписи отдельных данных без серьезных на то причин;

6) необоснованный интерес некоторых работников к содержанию чужих принтерных распечаток;

7) повторный ввод в компьютер одной и той же информации и др.

Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду: нарушения принятых правил оформления документов и изготовления машинограмм; лишние документы, подготовленные для обработки на ЭВМ; несоответствие информации, содержащейся в первичных документах, данным машинограмм; преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации. Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например халатности персонала, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного проникновения в компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации в целях хищения денежных средств, но для этого также приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях. Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа можно определить с помощью программ общесистемного назначения. В работающем компьютере они обычно фиксируют текущее время. Если данная программа функционирует, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируется в оперативной памяти. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или дискет, производимого с участием специалиста, чтобы информация, находящаяся в оперативной памяти ЭВМ или на диске, не была случайно стерта. В качестве специалистов могут выступать, например, сотрудники информационно-аналитических центров МВД России, ГУВД, УВД субъектов РФ.

Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме.

Способы преступных манипуляций в сфере компьютерной информации могут быть разделены на две большие группы.

Преступные действия первой группы осуществляются без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть:

1) хищение машинных носителей информации в виде блоков и элементов ЭВМ;

2) использование визуальных, оптических и акустических средств наблюдения за ЭВМ;

3) считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих систем;

4) фотографирование информации в процессе ее обработки;

5) изготовление бумажных дубликатов входных и выходных документов, копирование распечаток;

6) использование оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, фиксация их разговоров;

7) осмотр и изучение не полностью утилизированных отходов деятельности компьютерных систем;

8) вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации, получение от них под разными предлогами (обычно за деньги) нужных сведений и др.

Для таких действий, как правило, характерна достаточно локальная следовая картина. Она определяется тем, что место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают. Приемы их исследования достаточно традиционны.

Преступные действия второй группы осуществляются с использованием компьютерных и коммуникационных устройств. Тогда несанкционированный доступ реализуется с помощью различных способов: подбором пароля, использованием чужого имени, отысканием и применением пробелов в программе, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. При этом следует учитывать выявленную следовую картину. У них необходимо выяснить, как преступник проник в защищенную систему, например как узнал идентификационный номер законного пользователя, код, пароль для доступа; получил сведения о других средствах защиты системы или сети ЭВМ (см. схему).

┌──────────────────────────────────┐

┌──────────────────┤ Следы преступных действий │

│ └┬────────────────────────────────┬┘

│ \│/ \│/

│ ┌─────────────────────┐ ┌─────────────────────────┐

│ ┌──┤ В ЭВМ и на машинных │ │ В линиях электросвязи ├─────┐

│ │ │ носителях │ └─────────────────────────┘ │

│ │ └─────────────────────┘ ┌────────────────────────────┐ │

│ │ ┌──────────────────┐ │Документированная информация│ │

│ ├─>│ Изменения в ОЗУ │ │ о прохождении сигнала через│<───┤

│ │ └──────────────────┘ │ оператора │ │

│ │ ┌──────────────────┐ └───┬───────────────────┬────┘ │

│ │ │Специализированная│ \│/ \│/ │

│ ├─>│ конфигурация │ ┌───────────────┐ ┌────────────┐ │

│ │ │ оборудования │ ┌─┤ Документы │ ┌──┤Компьютерная│ │

│ │ └──────────────────┘ │ └───────────────┘ │ │ информация │ │

│ │ ┌─────────────────────┐ │ ┌──────────────┐ │ └────────────┘ │

│ │ │ Специальная │ │ │ Документы, │ │ │

│ ├─>│конфигурация программ│ ├─>│регистрирующие│ │ ┌────────────┐ │

│ │ │ работы в сетях │ │ │ соединения │ │ │Базы данных,│ │

│ │ └─────────────────────┘ │ │ абонентов │ ├─>│фиксирующие │ │

│ │ ┌──────────────────┐ │ └──────────────┘ │ │ соединения │ │

│ └─>│ Следы в файловой │ │ ┌──────────────┐ │ └────────────┘ │

│ │ системе │ │ │ Протоколы │ │ ┌──────────────┐│

│ └┬───────┬────────┬┘ ├─>│взаиморасчетов│ │ │ Коммутаторы, ││

│ │ \│/ │ │ │ между │ │ │осуществляющие││

│ │ ┌───────────┐ │ │ │ операторами │ └─>│ и ││

│ │ │Копии чужих│ │ │ └──────────────┘ │регистрирующие││

│ │ │ файлов │ │ │ ┌──────────────┐ │ соединения ││

│ │ └───────────┘ │ │ │ Платежные │ └──────────────┘│

│ \│/ \│/ │ │ документы об │ │

│┌────────────┐┌──────────────────┐└─>│оплате трафика│ │

││Программное ││Специализированное│ │ между │ │

││обеспечение ││ "хакерское" │ │ операторами │ ┌──────────────┘

││для создания││ программное │ └──────────────┘ \│/

││ программ ││ обеспечение │ ┌───────────────────────────────────┐

│└────────────┘└──────────────────┘ │ Результаты наблюдения при │

│ ┌───────────────┐ │проведении оперативно-розыскных мер│

└────────────>│ Прочие │ │ и предварительного следствия │

└───────┬───────┘ └───────────┬───────────────────────┘

┌──────────────────┐ │ ┌─────────────────┐ │

│ Рукописные записи│ │ │ Описания │ │ ┌─────────────┐

│ и принтерные │<─┼─>│ программного │ │ │ Пеленгация │

│ распечатки │ │ │ обеспечения │ ├──>│ источника │

└┬─────────────────┘ │ └─────────────────┘ │ │ сигналов │

│ │ ┌─────────────────┐ │ └─────────────┘

│ ┌──────────────┐ │ │ Инструкции по │ │

├>│ Коды доступа │ ├─>│ пользованию │ │ ┌─────────────┐

│ └──────────────┘ │ │ ЭВМ и ее │ │ │Прослушивание│

│ ┌──────────────┐ │ │ устройствами │ │ │ телефонных │

├>│ Тексты │ │ └─────────────────┘ ├──>│ и иных │

│ │ программ │ │ ┌─────────────────┐ │ │ переговоров │

│ └──────────────┘ │ │ Устройства │ │ └─────────────┘

│ ┌──────────────┐ ├─>│ доступа в │ │

│ │ Записные │ │ │ телефонные сети │ │ ┌─────────────┐

│ │ книжки с │ │ │ и сети ЭВМ │ │ │ Прохождение │

└>│именами других│ │ └─────────────────┘ │ │криминального│

│ хакеров │ │ ┌─────────────────┐ └──>│сигнала через│

└──────────────┘ │ │ Нестандартные │ │ оператора │

├─>│ периферийные │ └─────────────┘

│ │ устройства │

│ └─────────────────┘

│ ┌─────────────────┐

└─>│ Счета телефонных│

│ компаний │

└─────────────────┘

Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) компьютерной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся на машинных носителях информации и в линиях связи (дорожка электронных следов).

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?" Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.

В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в работе электронного оборудования.

Выясняя надежность средств защиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкционированного доступа, в том числе к определенным файлам. Это возможно в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты информации, поскольку для обеспечения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкционированного доступа.

Так, законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а кроме того, обязательное лицензирование всех видов деятельности в области проектирования и производства названных средств. Поэтому в процессе расследования необходимо выяснить, есть ли лицензия на производство средств защиты информации, задействованных в данной компьютерной системе, от несанкционированного доступа и соответствуют ли их параметры выданному сертификату. Ответ на последний вопрос может дать информационно-техническая экспертиза, с помощью которой выясняется, соответствуют ли средства защиты информации от несанкционированного доступа, использованные в данной компьютерной системе, выданному сертификату. Правда, ответственность за выявленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.

При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации, другие сотрудники.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен.

Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются криминалистические экспертизы: дактилоскопическая, почерковедческая и др.

Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует прежде всего ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций; принтеров; средств телекоммуникационной связи с компьютерными сетями; записных книжек, в том числе электронных, с уличающими записями; дисков и флэш-карт с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике.

Дата добавления: 2015-06-04; Просмотров: 495; Нарушение авторских прав?; Мы поможем в написании вашей работы!