Криминалистическая характеристика преступлений в сфере компьютерной информации

В настоящее время в отечественной криминалистической науке не существует сколько-нибудь обобщенных данных для формирования понятий основных элементов криминалистической характеристики компьютерных преступлений. Как показывают проведенные нами исследования, 55% опрошенных респондентов не имеют об этих категориях ни малейшего понятия, а 39% – лишь частично знакомы с криминалистической характеристикой лиц, склонных к совершению компьютерных преступлений по ненаучным источникам, из которых 66% – средства массовой информации, 28% – кино- и видеофильмы (как правило зарубежного производства). И это при том, что в качестве респондентов выступали в основном начальники городских и районных отделов и управлений органов внутренних дел и их заместители (начальники следственных отделов), которые в первую очередь должны обладать именно научной информацией о том, с чем им приходится сталкиваться в своей непосредственной практической работе. Поэтому весьма актуальной как с научной, так и с практической точек зрения, является разработка проблемы криминалистической характеристики преступлений в сфере компьютерной информации видов преступных деликтов.

Под криминалистической характеристикой преступлений в сфере компьютерной информации подразумевают систему обобщенных данных о типичных следах, способе совершения и механизме преступления, личности преступника и других существенных чертах, свойствах и особенностях преступления и сопутствующих ему обстоятельствах, способствующую оптимизации расследований и практическому применению средств, приемов и методов криминалистики в раскрытии и расследовании данного преступления. Ее составляют следующие основные данные: о способах совершения преступления и механизме противоправного деяния; способах сокрытия преступлений в сфере компьютерной информации; орудиях (средствах) совершения противоправного деяния; обстановке и месте совершения преступления; следах преступления; предмете преступного посягательства; лицах, совершающих данные преступления.

Под способом совершения преступления обычно понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения преступления, которое оставляет различного рода характерные следы, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и, соответственно, определить оптимальные методы решения задач раскрытия преступления.

На сегодняшний день в криминалистике нет единой классификации способов совершения преступлений в сфере компьютерной информации. Одна из классификаций предложена А.Н.Родионовым и А.В.Кузнецовым. Согласно ей, способы совершения компьютерных преступлений можно подразделить: 1) на «изъятие средств компьютерной техники; 2) неправомерный доступ к компьютерной информации: преступления, совершенные в отношении компьютерной информации, находящейся в глобальных компьютерных сетях; преступления, совершенный н отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (пейджер, сотовый телефон, кассовый аппарат и т.п.); 3) изготовление или распространение вредоносных программ (вирусы, программы – взломщики и т.п.); 4) перехват информации: электромагнитный; непосредственный; 5) нарушение авторских прав (компьютерное пиратство); 6) комплексные методы.

К первой группе относятся традиционные способы совершения обычных видов преступлений, в которых действия преступника направлены на изъятие чужого имущества. Характерной отличительной чертой данной группы способов совершения компьютерных преступлений является тот факт, что в них средства компьютерной техники всегда выступают только в качестве предмета преступного посягательства.

Например, прокуратурой г.Кургана в 1997г. расследовалось уголовное дело по факту убийства частного предпринимателя. В ходе обыска на квартире убитого следователем был изъят персональный компьютер. По имеющейся оперативной информации в памяти компьютера убитый мог хранить фамилии, адреса своих кредиторов и должников. В дальнейшем этот компьютер по решению следователя был передан в одну из компьютерных фирм для производства исследования содержимого его дисков памяти. В ту же ночь из помещения упомянутой компьютерной фирмы путем отгиба решеток была произведена кража данного компьютера. В результате того, что изъятие и передача ЭВМ были произведены следователем с рядом процессуальных нарушений, данное преступление осталось нераскрытым.

Вторая группа способов совершения рассматриваемого преступления включает способы опосредованного (удаленного) доступа к компьютерной информации. При этом неправомерный доступ к определенному компьютеру и находящейся на нем информации осуществляется с другого компьютера, находящегося на определенном расстоянии, через компьютерные сети.

К третьей группе способов совершения компьютерных преступлений относятся действия преступников, связанные с использованием методов манипуляции данными и управляющими командами средств компьютерной техники.

Наиболее часто встречаются следующие способы совершения компьютерных преступлений, относящихся к этой группе:

• «Троянский конь» (trojan horse). Данный способ заключается в тайном введении в чужое программное обеспечение специально созданных программ, которые, попадая в информационно-вычислительные системы, начинают выполнять новые, не планировавшиеся законным владельцем действия, с одновременным сохранением прежних функций.

• компьютерный вирус (virus).

К четвертой группе относят способы совершения компьютерных преступлений, основанные на действиях преступника, направленных на получение данных и машинной информации посредством использования методов аудиовизуального и электромагнитного перехвата, широко практикуемых в оперативно-розыскной деятельности правоохранительных органов.

L Непосредственный (активный) перехват – осуществляется с помощью непосредственного подключения к телекоммуникационному оборудованию компьютера, компьютерной системы или сети, например линии принтера или телефонному проводу канала связи, используемого для передачи данных и управляющих сигналов компьютерной техники, либо непосредственно через соответствующий порт персонального компьютера.

2. Электромагнитный (пассивный) перехват. Не все перехватывающие устройства требуют непосредственного подключения к системе. Данные и информация могут быть перехвачены не только в канале связи, но и в помещениях, в которых находятся средства коммуникации, а также на значительном удалении от них. Так, без прямого контакта можно зафиксировать и закрепить на физический носитель электромагнитное излучение, возникающее при функционировании многих средств компьютерной техники, включая и средства коммуникации.

3. Аудиоперехват или снятие информации по виброакустическому каналу – данный способ совершения преступления является наиболее опасным и достаточно распространенным. Защита от утечки информации по этому каналу очень сложна. Этот способ съема информации имеет две разновидности: заходовую (заносную) и беззаходовую.

Первая заключается в установке инфинитивного телефона (подслушивающего устройства – «таблетки», «клопа», жжучка» и т.п.) в аппаратуру средств обработки информации, в различные технические устройства, на проводные коммуникационные линии (радио, телефон, телевизионный кабель, охранно-пожарной сигнализации, электросеть и т.п.).

Вторая разновидность – наиболее опасна. Заключается в следующем: акустические и вибрационные датчики съема информации устанавливают на инженерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать речевые сигналы. Выделяют следующие типовые конструкции инженерно-технических сооружений, по которым передаются речевые сигналы: несущие стены зданий, перегородки, перекрытия, окна, оконные рамы, двери и дверные коробки, вентиляционные воздуховоды, короба коммуникационных систем, трубопроводы.

4. Видеоперехват – данный способ совершения преступления заключается в действиях преступника, направленных на получение требуемых данных и информации путем использования различной видеооптической техники (в том числе и специальной).

5. «Уборка мусора» – этот способ совершения преступления заключается в неправомочном использовании преступником технологических отходов информационного процесса, оставленных пользователем после работы с компьютерной техникой.

К пятой группе способов относят нарушение авторских прав. Не секрет, что подавляющая часть программного обеспечения, используемого в России, представляет собой пиратские копии взломанных хакерами программ. Самой популярной операционной системой в России является Microsoft Windows. По статистике, на долю этой платформы приходится свыше 77% отечественного рынка операционных систем. Своим бесспорным успехом на российском рынке Windows обязана деятельности компьютерных пиратов. По данным международной организации BSA, занимающейся вопросами охраны интеллектуальной собственности, свыше 90% используемых в России программ установлены на компьютеры без лицензий, тогда как в США таких не более 24%.

Шестая группа – комплексные методы – включает в себя различные комбинации рассмотренных выше способов совершения компьютерных преступлений.

Под сокрытием преступления понимается деятельность (элемент преступной деятельности), направленная на воспрепятствование расследованию путем утаивания, уничтожения, маскировки или фальсификации следов преступления и преступника и их носителей.

По содержательной стороне Р.С.Белкин приводит классификацию способов сокрытия преступления, выделяя утаивание информации и/или ее носителей, уничтожение информации и/или ее носителей, маскировку информации и/или ее носителей, фальсификацию информации и/или ее носителей путем заведомо ложных показаний, сообщений, доносов, создания ложных следов и иных вещественных доказательств, полной или частичной подделки документов, подмены, дублирования объекта, частичного уничтожения объекта с целью изменения его внешнего вида, фальсификации назначения, создания преступником ложного представления о своем пребывании в интересующий следствие момент в другом месте.

Способы сокрытия рассматриваемой группы преступлений в значительной степени детерминированы способами их совершения. При непосредственном доступе к компьютерной информации сокрытие следов преступления сводится к воссозданию обстановки, предшествующей совершению преступления, т.е. уничтожению оставленных следов (следов пальцев рук, следов обуви, микрочастиц и пр.). При опосредованном (удаленном) доступе сокрытие заключается в самом способе совершения преступления, который затрудняет обнаружение неправомерного доступа. Это достигается применением чужих паролей, идентификационных средств доступа и т.д.

Орудиями совершения преступлений в сфере компьютерной информации являются средства компьютерной техники, в том числе и специальное программное обеспечение. Следует различать средства непосредственного и опосредованного (удаленного) доступа.

К орудиям непосредственного доступа можно отнести прежде всего машинные носители информации, а также все средства преодоления защиты информации.

К орудиям опосредованного (удаленного) доступа относится прежде всего сетевое оборудование (при неправомерном доступе из локальных сетей), а также средства доступа в удаленные сети (средства телефонной связи, модем). При этом «взломщикам» необходимы соответствующие пароли и идентификационные номера законных пользователей.

Обстановка, т.е. все окружающие субъекта условия, в которых осуществляется преступная деятельность, имеет существенное значение для анализа преступного деяния. Обстановку совершения преступлений в сфере компьютерной информации составляют вещественные, технические, пространственные, временные, социальнопсихологические обстоятельства совершения рассматриваемого преступления. Особенностью данного рода преступлений является то, что на их совершение практически не оказывают влияние природно-климатические факторы.

Данные о следах совершения преступления в сфере компьютерной информации являются одним из важнейших элементов в криминалистической характеристике преступления.

Следы совершения преступления в сфере компьютерной информации в силу специфики рассматриваемого вида преступлений редко остаются в виде изменений внешней среды. Они в основном не рассматриваются современной трасологией, поскольку в большинстве случаев носят информационный характер, т.е. представляют собой те или иные изменения в компьютерной информации, имеющие форму ее уничтожения, модификации, копирования, блокирования.

Данные о предмете преступного посягательства имеют немаловажное значение, так как в процессе расследования большой интерес вызывают информационные файлы, содержащие информацию, вводимую пользователем.

Неправомерный доступ к компьютерной информации совершают следующие категории граждан:

1. Лица, состоящие в трудовых отношениях с предприятием, организацией, учреждением, фирмой или компанией, где совершено преступление.

2. Граждане, не состоящие в правоотношениях с предприятием, организацией, учреждением, фирмой или компанией, где совершено преступление.

В.Д.Курушин и А.В.Шопин приводят следующую классификацию «компьютерных» преступников: а) нарушителей правил пользования ЭВМ; б) «белых воротничков» – это «респектабельные преступники»; бухгалтеры, казначеи, управляющие финансами различных фирм. адвокаты, вице-президенты компаний и т.п. Для них характерны такие действия, как использование компьютера в целях моделирования планируемых преступлений, компьютерный шантаж конкурентов, мистификация и фальсификация информации и т.д. Целью таких преступных действий является получение материальной выгоды или сокрытие других преступных действий; в) «компьютерных шпионов, представляющих собой хорошо подготовленных в техническом и организационном отношении специалистов. Их целью является получение стратегически важных данных о противнике в экономической, технической и других областях; г) «хакеров» или «одержимых программистов».

Особую категорию лиц, осуществляющих неправомерный доступ к компьютерной информации, составляют хакеры (от англ. to hack – рубить, кромсать) – специалисты в сфере вычислительной техники, осуществляющие негативные действия в области систем компьютерной связи, информационных технологий. Их деятельность направлена на получение доступа к компьютерной информации, для чего они используют различные способы «взлома», обхода защиты и проникновения в сеть, в результате они похищают и заменяют данные, модифицируют файлы, блокируют работу сети и выводят из строя программное обеспечение. В этих целях они используют различные технические средства, в частности специальное диагностическое оборудование, поставляемое вместе с оборудованием сети и предназначенное для поиска «слабых мест» в системе ее защиты, средства автоматического проникновения одновременно в несколько включенных в сеть компьютеров.

Объектом посягательства хакеров в большинстве случаев являются:

1) коммерческие или тестовые (отладочные) версии различных программ, выпускаемых фирмами-разработчиками (компьютерные игры, прикладные программы, интегрированные программные пакеты, операционные системы и др.); 2) компьютерные системы, используемые для различных исследований; 3) Web – страницы пользователей сети Интернет (их изменение или замена на другие, изменение адресов электронной почты).

На первой международной конференции Интерпола по компьютерной преступности, где обсуждалась противоправная деятельность хакеров, они были условно разделены на три группы. К первой относят молодежь в возрасте 11-15 лет. В основном они совершают кражи через кредитные карточки и телефонные номера, «взламывая» коды и пароли больше из-за любознательности и самоутверждения. Обычно своими действиями они создают серьезные помехи в работе сетей и компьютеров. Ко второй группе отнесены лица в возрасте 17-25 лет. В основном это студенты, которые в целях повышения своего «познавательного» уровня устанавливают тесные отношения с хакерами других стран, посредством электронных сетей BBS обмениваясь информацией и похищая ее из различных банков данных. К третьей группе - лица в возрасте 30-45 лет, которые умышленно совершают компьютерные преступления с целью получения материальной выгоды, а также ради уничтожения или повреждения компьютерных сетей, – так называемый «тип вандала».

Большинство хакеров – молодые люди в возрасте от 16 до 25 лет, преимущественно мужчины, хотя количество женщин-хакеров растет. В этом возрасте способность к восприятию информации наиболее высока, что особенно важно для компьютерных преступлений. Кроме того, в этом возрасте молодые люди активно ищут пути самовыражения, при этом одни начинают писать стихи, другие уходят из дома, третьи погружаются в мир компьютерных сетей.

3. Особенности первоначального этапа расследования компьютерных преступлений

Неправомерный доступ к автоматизированным информационным системам или сетям (ст.272 УК РФ) является наиболее опасным и самым распространенным видом компьютерных преступлений. Не случайно в некоторых странах только сам факт такого доступа к сетевому компьютеру признается преступным, независимо от наступления вредных последствий.

Расследование данного преступления связано с установлением большого круга обстоятельств, о чем свидетельствует его криминалистическая характеристика, имеющая специфические особенности.

В соответствии со ст.272 УК РФ ответственность за деяние наступает при условии, если неправомерный доступ к компьютерной информации повлек за собой хотя бы одно из следующих негативных последствий: уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в компьютерной системе или сети. Такой факт, как правило, первыми обнаруживают пользователи автоматизированной информационной системы, ставшие жертвой данного правонарушения.

Факты неправомерного доступа к компьютерной информации иногда устанавливаются в результате оперативно-розыскной деятельности органов внутренних дел, ФСБ, налоговой полиции.

2. Установление места несанкционированного проникновения в компьютерную систему или сеть. Решение данной задачи вызывает определенные трудности, так как таких мест может быть несколько. Чаще обнаруживается место непосредственного использования результатов неправомерного доступа к компьютерной информации, особенно связанного с хищением денежных средств. Так, по делу о покушении на хищение из Центрального банка РФ более 68 млн. рублей таких мест оказалось сразу девять – одно из них помещение этого банка, расположенного по улице Житной, дом 12, и восемь – помещения коммерческих банков, в адрес которых были незаконно переведены из Центрального банка по компьютерной сети крупные суммы денег путем ввода в электронную обработку двенадцати фальшивых платежных документов. Как выяснилось позже, вводились они не установленными лицами с рабочего места под номером 83 оператором ввода под номером 07 с терминала №07.

На всех этих местах должны были остаться следы одного преступления. Однако на первоначальном этапе расследования установить физический адрес ввода фальшивых документов так и не удалось. По мнению специалистов, в той ситуации такой ввод мог быть осуществлен с любого рабочего места, имеющего телекоммуникационную связь с компьютерами. Тем более что эксплуатируемый программный комплекс практически был открыт для несанкционированного ввода, обновления (корректировки, изменения) и обработки любой информации.

3. Установление времени совершения преступления. С помощью программ общесистемного назначения в работающем компьютере обычно устанавливается текущее время, что позволяет по соответствующей команде вывести на экран дисплея информацию о дне недели, выполнения той или иной операции, часе и минуте. Если эти данные введены, то при входе в систему или сеть (в том числе и несанкционированном) время работы на компьютере любого пользователя и время конкретной операции автоматически фиксируются в его оперативной памяти и отражаются, как правило, в выходных данных (на дисплее, листинге или на дискете).

С учетом этого время несанкционированного доступа можно установить путем следственного осмотра компьютера либо распечаток или дискет.

4. Установление надежности средств зашиты компьютерной информации. Прежде всего необходимо установить, предусмотрены ли в данной компьютерной системе меры защиты от несанкционированного доступа к определенным файлам. Это можно выяснить путем допросов ее разработчиков и пользователей, а также изучением проектной документации, соответствующих инструкций по эксплуатации данной системы. При ознакомлении с инструкциями особое внимание должно уделяться разделам о мерах защиты информации, порядке допуска пользователей к определенным данным, разграничении их полномочий, организации контроля за доступом, конкретных методах защиты информации (аппаратных, программных, криптографических, организационных и других).

5. Установление способа несанкционированного доступа. Для совершения рассматриваемого преступления применяются различные способы, в том числе: использование чужого имени, подбор пароля, нахождение и использование пробелов в программе, другие способы преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа к ней можно установить в процессе допроса свидетелей из числа лиц, обслуживающих эту систему, или ее разработчиков. У них необходимо выяснить, каким образом преступник мог преодолеть средства защиты данной системы, в частности, узнать идентификационный номер законного пользователя, код, пароль для доступа к ней, получить сведения о других средствах защиты.

Способ несанкционированного доступа может быть установлен и путем производства информационно-технической судебной экспертизы, перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления. Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Установлению причастности конкретного лица к несанкционированному доступу к компьютерной информации могут способствовать различные материально-фиксированные отображения, обнаруживаемые иногда при следственном осмотре компьютера и его компонентов. Это, например, следы пальцев рук, отдельные записи на внешней упаковке дискет, дисков. Для их исследования назначаются криминалистические экспертизы: дактилоскопическая, почерковедческая, технико-криминалистическая.

7. Установление вредных последствий преступления. Прежде всего необходимо установить, в чем выражены вредные последствия такого доступа (хищение денежных средств или материальных ценностей, завладение компьютерными программами, информацией путем изъятия ее машинных носителей либо копирования, а также незаконное изменение, уничтожение, блокирование или вывод из строя компьютерного оборудования, введение в компьютерную систему заведомо ложной информации или компьютерного вируса и пр.).

8. Выявление обстоятельств, способствовавших преступлению. На заключительном этапе расследования формируется целостное представление об обстоятельствах, способствовавших несанкционированному доступу к компьютерной информации. В данном аспекте важно последовательное изучение различных документов, главным образом относящихся к защите информации. Особое значение при этом могут иметь материалы ведомственного (служебного) расследования.

Вопросы о способствовавших рассматриваемому преступлению обстоятельствах целесообразно ставить при информационно-технологической и информационно-технической судебных экспертизах. Соответствующие обстоятельства могут устанавливаться также благодаря допросам технического персонала, очным ставкам, следственным экспериментам, осмотрам документов.

На допросах лица, обвиняемого в неправомерном доступе к компьютерной информации, уточняются и дополняются ранее полученные данные.

При расследовании преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ (ст.273 УК РФ) следователю приходится иметь дело с различными терминами в области компьютерных технологий.

Программа для ЭВМ – объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата.

К вредоносным программам для ЭВМ принято относить прежде всего так называемые компьютерные вирусы, то есть программы, способные внедряться в другие программы, самовоспроизводиться (размножаться) и при определенных условиях повреждать компьютерные системы или хранящиеся в них данные и программы. Название «вирусы» они получили потому, что многие их свойства подобны свойствам природных вирусов. Компьютерный вирус может размножаться во всех системах определенного типа, а не только в той, где был создан.

УК РФ определен как формальный и предусматривает совершение одного из следующих действий: а) создание программы для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; б) использование либо распространение таких программ или машинных носителей с такими программами. Изменение программы – это преобразование описанного в ней на языке ЭВМ машинного алгоритма, а распространение – расширение сферы ее применения за пределы рабочего места создателя.

Представляется наиболее целесообразной следующая последовательность решения основных задач при расследовании таких преступлений:

1) Установление факта и способа создания вредоносной программы для ЭВМ. Вредоносная программа, как правило, обнаруживается в момент, когда уже явно проявляются последствия ее применения. Выявляется она также в процессе антивирусной проверки, производимой пользователем компьютерной системы перед началом работы на компьютере, особенно часто практикуемой при использовании чужих дискет и дисков.

2) Установление факта использования и распространения вредоносной программы. Большинство пользователей компьютерных систем может обнаружить вредоносные программы с помощью антивирусных программ.

3) Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ. При решении данной следственной задачи необходимо учитывать, что вредоносную программу может создать человек, обладающий навыками в обращении с компьютером и написании программ.

Использовать и распространять вредоносные программы может любой человек, умеющий работать на персональном компьютере. Однако наибольшую опасность представляют высококвалифицированные специалисты в области компьютерных технологий, опытные компьютерные взломщики, получившие в литературе название хакеров.

После установления подозреваемого его задержание должно быть произведено незамедлительно, чтобы не допустить уничтожения компрометирующих его материалов. В случае если вредоносная программа является компьютерным вирусом, от быстроты задержания зависят масштабы его возможного распространения и причинения ущерба.

4) Установление вреда, причиненного данным преступлением. Вредоносная программа в виде вируса может за считанные секунды размножиться в большом количестве экземпляров и за короткий период времени заразить многие компьютерные системы.

Размер ущерба, причиненного преступлением данного вида, устанавливается экспертным путем. Он может быть определен в рамках судебно-бухгалтерской и судебно-экономической экспертиз в комплексе с информационно-технологической и информационно-технической экспертизами.

5) Установление обстоятельств, способствовавших совершению расследуемого преступления. Полную безопасность компьютерных систем обеспечить нельзя, но снизить опасность вредоносных программ для ЭВМ до определенного уровня возможно, в частности, путем устранения обстоятельств, способствующих созданию, использованию и распространению вредоносных компьютерных программ.

Серьезный ущерб компьютерной системе или сети может нанести нарушение правил их эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ), что обычно приводит к сбоям в обработке информации и в конечном счете дестабилизации деятельности соответствующего предприятия или учреждения.

При расследовании по делам данной категории необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:

- место и время (период времени) нарушения правил эксплуатации ЭВМ;

- характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;

- способ и механизм нарушения правил;

- характер и размер ущерба, причиненного преступлением;

- факт нарушения правил определенным лицом;

- виновность лица, допустившего преступное нарушение правил эксплуатации ЭВМ;

- обстоятельства, способствовавшие совершению расследуемого преступления.

Для установления конкретного правила эксплуатации ЭВМ, нарушение которого привело к вредным последствиям, следователю целесообразно допросить всех лиц, работавших на ЭВМ и обслуживавших компьютерное оборудование в соответствующий период времени. В необходимых случаях к участию в допросе привлекается специалист.

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного (административного) расследования, если таковое имело место.

При расследовании нарушения правил эксплуатации компьютерной сети очень важно установить, где расположена обычная станция, эксплуатация которой осуществлялась с грубым нарушением правил информационной безопасности. В первую очередь необходимо определить места, где по схеме развертывания сети расположены рабочие станции, имеющие собственные дисководы, так как на них значительно больше возможностей для преступных нарушений правил эксплуатации компьютерной сети. Это, например, возможность для нарушителя копирования данных с файлового сервера на свою дискету или использования дискеты с различными программами, в том числе с компьютерными вирусами. Такие действия, ставящие под угрозу целостность информации, содержащейся в центральных файловых серверах. исключены на бездисковых рабочих станциях.

Способ и механизм нарушения правил устанавливается путем допросов свидетелей, подозреваемых и обвиняемых, проведения следственного эксперимента, производства информационно-технической экспертизы.

При допросах выясняется последовательность той или иной операции на ЭВМ, которая привела к нарушению правил.

При проведении следственного эксперимента выясняется возможность наступления вредных последствий при нарушении определенных правил. Он проводится с использованием копий исследуемой информации и по возможности на той же ЭВМ, при работе на которой нарушены правила.

Также необходимо отметить, что следователь, ведущий дела по компьютерным преступлениям, должен быть и прекрасным программистом или по крайней мере разбираться в нюансах использования и возможностях вычислительной техники. Но таких специалистов не так уж много и среди программистов, а уж среди следователей и подавно. Однако не следует думать, что раскрытие компьютерных преступлений немыслимо сложно и что это удел избранных.

При расследовании компьютерных преступлений часто возникают сложности при проведении обычных следственных действий, таких, например, как обыск и сбор доказательств. Здесь появляется целый ряд проблем, которые до сих пор не регламентированы. Действительно, обыск компьютера несколько отличается от обыска квартиры. Дело в том, что «залезть» в компьютер и найти там какие-либо программы, коды и т. п. можно только с помощью других программ, которые вносят изменения в содержимое компьютера. Таким образом, недобросовестный следователь всегда имеет возможность «обнаружить» в компьютере – то, что ему нужно, и приглашенные на обыск понятые ему вряд ли помешают. В то же время недостаточно грамотный следователь при попытке копирования сам может уничтожить улики преступления.

Таким образом, работа следователя по раскрытию компьютерных преступлений обладает целым рядом особенностей и требует специальной подготовки. Задача учета этих особенностей могла бы решаться, например, путем введения соответствующих специализаций в юридических вузах, училищах, а также юридическим профилированием студентов.

4. Розыскная деятельность следователя про делам о преступлениях в сфере компьютерной информации

Особенности расследования отдельных видов преступлений проявляются и в розыскной деятельности следователя. Эта специфика обусловливается многими факторами, одним из которых выступают объекты, подлежащие розыску.

Возникновение разыскиваемого объекта в окружающей среде есть результат действия закономерностей возникновения доказательственной информации. Появление в ходе расследования преступления объекта розыска – это результат тщательной работы следователя по собиранию, исследованию и оценке криминалистически значимой информации.

К числу основных объектов, подлежащих розыску, по делам о преступлениях в сфере компьютерной информации следует относить: лиц, совершивших преступления; орудия, используемые для совершения преступлений; саму компьютерную информацию; специальную литературу, посвященную вопросам совершения неправомерного доступа к компьютерной информации и т.п.

В числе розыскных признаков лиц, совершивших преступления в сфере компьютерной информации, следует выделять:

1. Общие признаки (пол, возраст, национальность, приметы, место жительства, характер, интересы, профессия, уровень образования, преступный опыт, привычки, особенности взаимоотношений с людьми, состояние здоровья (в том числе и психическое состояние), возможность повторного совершения преступления и пр.).

2. Специальные признаки. К ним относятся:

- обладание навыками в программировании и работе компьютерного оборудования, иных технических средств, которые были использованы при совершении преступления;

- обладание определенным компьютерным оборудованием, программным обеспечением;

- данные, которые оставили о себе сами преступники (например, лица, которые стремятся к «известности» среди компьютерной общественности, могут указывать свое имя, прозвище, иногда электронный адрес, пол);

- данные о месте, откуда совершался неправомерный доступ к компьютерной информации;

- данные о характере похищенной информации, возможности ее использования.

Современная концепция розыскной деятельности следователя исходит из ее понимания как комплекса процессуальных и не процессуальных действий лица, производящего расследование, направленных на установление известных (следователю) объектов, имеющих значение для расследования по делу. Розыскная работа выступает важным элементом поисковой деятельности следователя, с которой она соотносится как частное с общим.

Розыскная деятельность следователя по своей сущности является процессуальной. Она предусмотрена уголовно-процессуальным законодательством и, в зависимости от реализуемых средств, осуществляется:

а) по уголовному делу, по которому ведется предварительное следствие, но не вынесено постановление о привлечении лица в качестве обвиняемого. В этот период следователь реализует все средства, предусмотренные уголовно-процессуальным законодательством, кроме поручения розыска органу дознания. Последнее не исключает производства розыскных действий по поручению следователя (ст.223 Уголовно-процессуального кодекс Российской Федерации от 18 декабря 2001 года №174-ФЗ (далее – УПК РФ)).

б) по уголовному делу, по которому ведется предварительное следствие, вынесено постановление о привлечении лица в качестве обвиняемого и избрана мера пресечения. На этом этапе следователь реализует все средства, предусмотренные уголовно-процессуальным законодательством, в том числе правомочен, при неизвестности места нахождения обвиняемого, поручить его розыск органу дознания (в соответствии со ст.210 УПК РФ);

в) по уголовному делу, по которому вынесено постановление о привлечении лица в качестве обвиняемого, избрана мера пресечения, но предварительное следствие приостановлено (ст.210 УПК РФ). При этом следователь поручает розыск органу дознания (о таком поручении указывается в постановлении о приостановлении предварительного следствия или выносится специальное постановление), а сам осуществляет процессуальные и организационные мероприятия по розыску скрывшегося обвиняемого без производства следственных действий.

В ходе розыскной деятельности по делам о преступлениях в сфере компьютерной информации принципиальное значение имеют тактические решения; о начале розыска; об объектах розыска; о характере розыскных приемов и их комбинаций, применяемых при установлении местонахождения искомых объектов (средств и методов тактического воздействия на ситуа­цию); о субъектах и сроках их производства.

Принятое решение может быть облечено в процессуальную форму или отражено в плане расследования.

Основными средствами розыскной деятельности следователя остаются процессуальные действий. В числе процессуальных выделим следственные действия, а также иные процессуальные действия, направленные не на сбор доказательств по делу а на объявление розыска, дачу поручений о розыске органам дознания, привлечению к розыску общественности. В числе розыскных следственных действий традиционно выделяются осмотр места происшествия, обыск, выемка, задержание и проверка и уточнение показаний на месте. Остальные следственные действия рассматриваются как информационно-обеспечивающие розыскную деятельность.

Необходимо иметь ввиду, что при совершении одного преступления, например, неправомерного доступа к компьютерной информации, может быть несколько мест происшествия:

а) рабочее место, рабочая станция – место обработки информации, ставшей предметом преступного посягательства;

б) место постоянного хранения или резервирования информации – сервер или стример;

в) место использования технических средств для неправомерного доступа к компьютерной информации, находящейся в другом месте; при этом место использования может совпадать с рабочим местом, но находиться вне организации, например, при стороннем взломе путем внешнего удаленного сетевого доступа;

г) место подготовки преступления (разработки вирусов, программ взлома, подбора паролей, перехвата) или место непосредственного использования информации (копирование, распространение, искажение), полученной в результате неправомерного доступа к данным, содержащимся на машинных носителях или в ЭВМ.

По прибытии к месту проведения обыска необходимо войти так быстро и неожиданно в обыскиваемое помещение, чтобы успеть предотвратить уничтожение информации на ЭВМ. В некоторых случаях, когда это возможно и целесообразно, непосредственно перед входом в обыскиваемое помещение следует обесточить его. Следует иметь в виду, что такое действие в одних случаях может привести к отключению всей аппаратуры, находящейся в помещении, в других – к ее повреждению. Поэтому делать это необходимо осторожно и только в крайних случаях, к примеру, если обыскивается отдельно стоящее здание, в котором находится много компьютерной техники со значительным количеством интересующей следствие информации, а из-за большой площади обыскиваемых помещений нет возможности начать одновременный обыск во всех. К тому же эти помещения могут располагаться на нескольких этажах и охраняться.

Обесточивание не всегда может привести к нужному результату, поскольку иногда компьютеры снабжены устройствами бесперебойного питания, и в случае отключения электричества в основной цепи эти устройства поддерживают компьютер в работоспособном состоянии некоторое время (около часа). Подобными устройствами укомплектованы, как правило, центральные компьютеры локальной вычислительной сети и компьютеры с наиболее ценной информацией.

Обнаружение лица (лиц), совершившего преступление в сфере компьютерной информации, – важнейшая задача следователя с начала расследования по делу. В одних случаях эти лица становятся известными сразу: при задержании, наличии очевидцев преступления, знающих преступника, иногда при явке с повинной. В других – лицо, совершившее преступление, неизвестно или информация о нем незначительна. В таких случаях требуется напряженная кропотливая работа по его установлению и розыску, связанная с использованием всех имеющихся в арсенале расследования средств и методов. В этой связи можно говорить о разнообразии тактических приемов установления и розыска лица, совершившего компьютерное преступление.

Информация ориентирующего и розыскного характера о лице, совершившем компьютерное преступление, может быть получена при изучении предметов и материальных следов, обнаруженных при осмотре места происшествия, обыске или выемке в местах возможного пребывания преступника, а также в ходе экспертиз, проводимых по делу. Так, могут быть обнаружены следы рук, обуви, иные вещественные доказательства, включая орудия преступления, окурки, волосы, предметы одежды, личные документы и пр. Не следует забывать о возможностях использования в процессе розыска запаховых следов преступника, а также различных микрообъектов (волокна текстиля, частицы почвы и др.).

Кроме того, современные возможности и в то же время недостатки глобальных компьютерных сетей позволяют преступнику маскировать исходную точку доступа. Если имеют место подобные действия можно с уверенностью говорить о высочайшем профессионализме компьютерного преступника.

Информацию о личности преступника и его местонахождении можно получить, произведя комплексный анализ сведений о способе совершения преступления, противодействии расследованию, месте и времени посягательства, мотивах и целях деяния. Так, например, выявление двух признаков: знание паролей различных операций, выполняемых тем или иным компьютером в организации, и наличие доступа к нему или сети ЭВМ значительно сужают круг подозреваемых.

Целесообразно также изучать способы совершения различных компью­терных преступлений в регионе. Способы совершения преступления повто­ряются у одних и тех же лиц, неоднократно совершавших аналогичные прес­тупления. Обобщенная информация, полученная на основе анализа аналог­ичных способов совершения преступлений, может дополнить составляемую следователем розыскную модель личности преступника.

Розыскная модель личности преступника представляет собой систему признаков, на основе которых можно установить преступника и его местона­хождение.

Приведем следующий пример построения и использования следователем такой модели. При расследовании неоднократного неправомерного доступа к компьютерной информации, находящейся на ЭВМ менеджера, расположенной в торговом зале коммерческой организации, было установлено, что данные преступления были совершены путем непосредственного проникновения в компьютерную систему (во время отсутствия в помещении персонала фирмы) кем-то из посторонних лиц с целью копирования файла (intemetlogin.xis), содержащего информацию о регистрационном имени пользователя сети Интернет, необходимую для бесплатного доступа в эту сеть. Это позволило сделать вывод о том, что преступления совершались одним и тем же лицом, обладающим познаниями в области компьютерных технологий и часто посещавшим торговый зал фирмы. В ходе проверки сотрудников коммерческой организации был установлен молодой человек, совершивший эти преступления.

Анализ способа совершения преступления (нескольких преступлений), иной информации о преступнике в некоторых случаях позволяет предположить, где может появиться или находится преступник. В этой ситуации необходимо провести специальный комплекс мероприятий, направленных на создание условий, побуждающих разыскиваемого действовать в затруднительной для себя обстановке, мешающих ему свободно передвигаться. В частности, целесообразно производить систематические обыски в местах вероятного нахождения разыскиваемого, мероприятия по информированию общественности о его личности, организовывать засады в местах возможного появления преступника, давать поручения органам дознания о проведении оперативно-розыскных мероприятий в среде лиц, увлекающихся компьютерными технологиями и программированием, занимающихся изготовлением и торговлей компьютерным оборудованием и программным обеспечением.

Местонахождение разыскиваемого лица может быть установлено в момент совершения им нового компьютерного преступления. Для достижения этой цели необходимо провести комплекс следственных, оперативно-розыскных и технических мероприятий по установлению возможного объекта нового преступного посягательства со стороны разыскиваемого лица: установить за этим объектом технический контроль, позволяющий определить местонахождение преступника (в случае совершения преступления путем удаленного доступа к компьютерной информации), либо организовать визуальное наблюдение (если предполагается непосредственный доступ к компьютерной информации либо использование похищенной информации в преступных целях).

На возможный объект преступного посягательства указывают:

• характер похищенной компьютерной информации (например, сведения о пароле и регистрационном имени, необходимые для доступа в сеть Интернет, какую-либо компьютерную систему, о кодах кредитных карточек потерпевшего и пр.);

• направленность подготовительных действий преступника (сбор информации о конкретном лице, организации; приобретение необходимого для реализации определенного преступного замысла компьютерного оборудования, программного обеспечения; подбор сообщников и пр.);

• неоднократные попытки преступника получить несанкционированный доступ к определенной информации;

• традиционно интересующая разыскиваемого преступника информация. В этой связи интересен опыт зарубежных правоохранительных органов, применяемых для установления местонахождения разыскиваемого преступника, способ, называемый «приманка», который заключается в заманивании его к определенному объекту и удерживании на связи в течении времени, достаточного для установления его местонахождения, В качестве приманки используются файлы с информацией, которая может заинтересовать преступника. При этом рекомендуется воспользоваться специальными файлами, появление которых у того или иного лица в позволит установить, что именно он осуществлял незаконный доступ к компьютерной информации. Для установления и задержания лиц, занимающихся распространением технических носителей, содержащих вредоносные программы, на практике часто проводится специальный комплекс оперативно-розыскных мероприятий, среди которых в качестве ключевого действия выступает проверочная закупка. После установления местонахождения преступника проводятся его задержание.

В некоторых случаях сведения о местонахождении разыскиваемого лица можно получить в ходе мероприятий по контролю за каналами связи, по которым преступник общается со своими близкими, друзьями. Для достиже­ния этой цели целесообразны: контроль и запись телефонных и иных переговоров, выемка почто во-телеграфной корреспонденции, установление оперативно-технического контроля за электронными средствами связи, которыми может воспользоваться разыскиваемый.

Ряд преступлений в сфере компьютерной информации, связанные с хищением денежных средств, разработкой и распространением вредоносных программ, коммерческим шпионажем, совершается преступными группами. В связи с этим перед следователем стоит задача установления и розыска всех соучастников преступления. Сведения об их личности и местонахождении могут быть получены от уже установленных лиц.

Так, в ходе расследования компьютерных преступлений целесообразно изучить и проверить круг знакомств обвиняемого. К основным источникам информации, на основании которых можно определить весь круг знакомств и связей обвиняемого, относятся: супруги, родственники, иные близкие люди; соседи, сослуживцы по работе; документы личного и делового характера (например, записные книжки, письма, расписки, доверенности); фотографии, кино- и видео материалы; иные предметы и документы, которые могут указать на связи и контакты лица, обвиняемого в совершении преступления (открытки; телефонные счета за междугородние переговоры и др.).

Источники информации о знакомых обвиняемого, которые предположительно явились соучастниками преступления, могут быть обнаружены при личном обыске, а также обыске по месту жительства или работы обвиняемого. Это записные книжки (в том числе электронные), письма, телеграммы, счета, фотографии, материалы видеозаписи и т.д. Учитывая особенности рассматриваемого вида преступлений, интересующая следствие информация может храниться также в памяти персонального компьютера, на машинных носителях информации.

Установленные преступники, их родственники и знакомых допрашиваются в целях: определения происхождения тех или иных документов; личности людей, изображенных на фотографиях и видеозаписи, их места жительства, работы, номеров телефонов, иных координат; получения пояснений относительно сделанных в определенный период времени телефонных звонков, полученных телеграмм, записей и пр.

Показания допрошенных необходимо сопоставить. Если выяснится, что преступник скрыл свои отношения с кем-либо или попытался направить следствие по ложному пути, такие лица подлежат особенно тщательной проверке.

Дата добавления: 2014-01-06; Просмотров: 4425; Нарушение авторских прав?; Мы поможем в написании вашей работы!