« МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ Уфимский юридический институт ...»
Залог успешного осуществления оперативно-розыскных мероприятий состоит прежде всего в том, что стратегию и тактику выявления и раскрытия противоправных деяний необходимо строить на основе хороших знаний специфики состава преступления. Другими словами, сотрудники правоохранительных органов должны обладать хорошими знаниями в области компьютерных технологий, кибернетики, психологии, психолингвистики. Понятно, что в настоящее время такой подход реализовать довольно трудно ввиду слабой подготовки сотрудников МВД в области современных информационных технологий.
В данном разделе рассматриваются некоторые концептуальные положения по осуществлению оперативно-розыскной деятельности при предупреждении и раскрытии преступлений в сфере компьютерной информации.
Учитывая неотложность решения задачи по раскрытию и пресечению преступлений в рассматриваемой предметной области оперативно-розыскная деятельность должна базироваться на следующих принципах[85] :
- стратегия и тактика ОРД в области компьютерной информации должны строиться на основе самого широкого использования современных достижений в области информационных технологий;
- на этапе разработки стратегии и тактики ОРД в области компьютерной информации гласно и негласно должны привлекаться высококвалифицированные специалисты по информационным технологиям;
- необходимо существенно пересмотреть качественный состав субъектов при установлении конфиденциального сотрудничества (при осуществлении агентурной работы);
- арсенал оперативной техники необходимо комплектовать современными техническими приборами и устройствами (в т.ч. компьютерными программами), разработанными и успешно применяемыми в информационно-технологической сфере народнохозяйственного комплекса;
- личный состав специализированных оперативных подразделений должен проходить соответствующую подготовку (переподготовку) по применению современных технологий и программных средств.
Без использования самых современных технических и программных средств эффективность оперативно-розыскной деятельности в сфере компьютерной информации резко снизится.
В деятельности подразделений органов внутренних дел может использоваться как универсальное, так и специальное программное обеспечение. Универсальные программы (информационно-поисковой системы, редакторы, электронные таблицы и т.п.) общего назначения не только повышают производительность труда и эффективность работы по выявлению, раскрытию и расследованию преступлений, но и поднимают ее на качественно новый уровень. Специализированные программы могут быть ориентированы на непосредственное их применение при осуществлении оперативно-розыскных мероприятий в направлении борьбы с информационной (в т.ч. компьютерной) преступностью. Остановимся на краткой характеристике таких программных средств.
В настоящее время существуют программные средства, позволяющие[86] :
- контролировать процесс попыток взлома компьютерной системы или сети;
- определять индивидуальный почерк работы программиста и идентификационных характеристики разработанных им программ;
- определять перечень электронных адресов (IP) и сайтов Интернет с которыми работал пользователь, список организаций и их географическое местоположение, сведения о лицах, за которыми адреса зарегистрированы;
- негласно регистрировать перечень программ, с которыми работает пользователь;
- определять путь, а в некоторых случаях и конкретный адрес исходящей угрозы для компьютерных систем;
- осуществлять негласный контроль над программистом, определяя характер разрабатываемых продуктов (программы-шпионы и т.п.);
- обнаруживать латентную и закодированную информации в автоматизированных рабочих местах, серверах и сетях передачи данных;
- проводить идентификацию компьютерных систем по следам применения на различных материальных носителях информации;
- осуществлять исследование следов деятельности пользователей в целях его идентификации;
- осуществлять диагностику устройств и систем телекоммуникаций на возможность осуществления несанкционированного доступа к ним;
- исследовать материальные носители с целью поиска заданной информации;
- осуществлять исследование компьютерных технологий для установления возможности решения конкретных преступных задач (крекинг, хакинг, фрикинг и т.п.);
- исследовать программы для ЭВМ и базы данных для определения их возможного предназначения для преступных действий (наличие программных закладок, подпрограмм класса «троянский конь» и т.п.).
Это далеко не полный перечень возможностей существующего программного обеспечения, которое с успехом может использоваться при осуществлении ОРД.
Поисковые программные средства могут найти широкое применение в оперативно-разыскной деятельности (непроцессуальная форма), в том числе и до возбуждения уголовного дела. Факт обнаружения объектов (программ закладок, программного обеспечения для изготовления вирусов или для осуществления взлома компьютерных сетей и т.п.) может послужить основанием для возбуждения дела и производства расследования. В процессуальной форме поисковые программные средства могут найти применение при проведении следственных действий, таких как следственный осмотр (все его виды), выемка предметов, документов и электронной почтовой корреспонденции, следственный эксперимент, выполняемый с целью опытной проверки показаний.
В оперативно-розыскной деятельности в области расследования компьютерных преступлений целесообразно применять криминологическое прогнозирование индивидуального и преступного группового поведения. Определенную информацию можно извлечь, анализируя сетевой трафик локальных и региональных компьютерных сетей. Полезную информацию могут дать и анализ платежей клиентов за телефонные услуги. Прогнозирование может успешно осуществляться в основе первичных материалов оперативного учета, так как его банки информации создаются на основе прогноза вероятности преступного поведения определенных криминогенных контингентов. Именно прошлое (судимость, правонарушения, антиобщественные поступки, большие успехи в области программирования), настоящее (поддержание криминальных связей, паразитизм, склонность к антиобщественным занятиям, склонность создавать программы-«вандалы») их поведение дают основания для прогностических выводов о вероятном противоправном поведении в будущем. Принимаются во внимание социальные оценки, даваемые лицу, представляющему оперативный интерес, роль для него мнения представителей криминогенной и преступной среды. Все это в совокупности является элементами методики криминологического прогнозирования, которое вплетается в оперативно-розыскные мероприятия при реализации форм ОРД (поиске, профилактике, разработке). Естественно, вопросы моделирования и прогнозирования необходимо решать, используя современные информационные технологии и программные средства.
В ряде составов информационных преступлений мотивация поведения преступника имеет особое значение. Преступные мотивы есть по сути своей модификации обычных человеческих мотивов, но направленные на цели, запрещенные законом или связанные с использованием противоправных средств, являются основополагающими в раскрытии и пресечении противоправных действий нарушителей, с помощью методов оперативно-розыскной деятельности. Такое понимание мотивации преступного поведения исключает представление об обреченности человека на преступное поведение, о неисправимости преступников. Поэтому для осуществления ОРД в области компьютерной информации определенный интерес представляют социологические и психологические исследования молодежи, обучающейся компьютерным наукам. Для профилактической деятельности по предотвращению компьютерных преступлений важно проводить изучения мотивов поступков человека. Особый интерес представляет определение уровня ценностно-ориентационного единства (ЦОЕ) в молодежной аудитории. По уровню ЦОЕ можно определить факторы, влияющие на поведение человека в группах и, в какой-то степени, спрогнозировать его стремление к противоправным действиям. Данная методика определения ЦОЕ, которую можно использовать при прогнозировании компьютерной преступности в молодежной аудитории, разработана Маклаковым Г.Ю.[87]
При выявлении и раскрытии преступлений, совершенных с использованием компьютеров, вычислительных систем или иной электронной техники, оперативный сотрудник сталкивается с нетрадиционными следами преступной деятельности или вещественными доказательствами. Поэтому для грамотного использования фактических данных, полученных в ходе осуществления оперативно-розыскных мероприятий по таким преступлениям, базовой юридической подготовки может оказаться недостаточно.
Для успешного осуществления ОРД сотрудникам правоохранительным органам необходимо хорошее знание психологии нарушителя, возможных тактик проведения им атак на компьютерные системы, уровень его знаний и возможность их пополнения.
Для ОРД в области информационных технологий целесообразно привлекать специалистов в области комплексной защиты объектов информатизации, например, сотрудников центров защиты информации в регионах, а также преподавателей и специалистов, обеспечивающий учебный процесс в высших учебных заведениях по направлениям защиты компьютерной информации. При подготовке резерва кадров для оперативных подразделений имеет смысл привлекать молодых специалистов, окончивших высшие учебные заведения по специальностям «Компьютерные системы и сети», «Комплексная защита объектов информатизации» с последующим получением ими второго высшего (юридического) образования либо прохождением курсов первоначальной подготовки в системе МВД России. Интересную информацию для правоохранительных органов могут дать различные социологические и психологические исследования (типа: «Цель хакера», «Какие сайты «Интернет» в сфере информационных технологий, компьютерной информации часто посещаемы?» и т.п.) в молодежной аудитории. Дело в том, что в настоящее время все больше исследователей склоняются к тому, что хакер – это одно из направлений молодежной культуры, как раньше рокеры, металлисты, нудисты. Вопрос спорный, тем не менее, ряд социологических исследований позволил выявить некоторые взгляды молодежи о хакерах. Оказалось, что кто-то занимается хакерством из спортивного интереса, кто-то ради самоутверждения, кто-то ради извлечения материальной выгоды. Такие исследования позволят углубить знания по тактике проведения и философии (психологии) противоправных действий в сфере компьютерной информации и информационных технологий.
Хотелось бы еще остановиться на одном любопытном факте, который необходимо, на наш взгляд, учитывать при расследовании преступлений в сфере информационных технологий. Хорошо известно, что многие, так сказать «традиционные» преступления совершаются в состоянии алкогольного или наркотического опьянения. Существует достаточно количество методических руководств, алгоритмов по проведению операций, по предотвращению преступлений. Однако, мало кому известно, что существует понятие «информационной наркомании» («internet-addiction», «pathological internet use»). В сети Интернет практически открыто предлагаются специально созданная музыка («psychedelic music») и компьютерные программы («psychedelic software»), способные вызвать у человека состояние наркотического опьянения. Складывается парадоксальный факт: если человек распространяет наркотик традиционным путем, то против него может быть возбуждено уголовное дело по соответствующей статье уголовного кодекса, а аналогичное деяние, совершаемое в сети Интернет по распространению «информационных» наркотиков остается безнаказанным. Точнее, тоже может быть возбуждено уголовное дело по соответствующим статьям уголовного кодекса, но вся беда в том, что большинство сотрудников правоохранительных органов даже не знают о возможностях деструктивной информации. А ряд сект (взять хотя бы для примера «Белое Братство») умело пользуются возможностями современных информационных технологий для воздействия на сознание и подсознание человека[88]. Действительно, современные информационные технологии могут оказать деструктивное воздействие на сознание и подсознание человека. Проблема Интернет-наркомании стала реальностью. Интернет-наркомания, подобно хроническому алкоголизму или азартной игре, имеет разрушительные последствия на человека, его семью, работу, учебу, а в некоторых случаях, провоцирует на преступления. По мнению профессора Питсбургского университета Кимберли Янг, проблема Интернет-наркомании в США достигла эпидемических размеров, причем число наркоманов («сетеголиков») продолжает расти. В международную классификацию психических расстройств (Diagnostic and Statistical Manual of Mental Disorders – Fourth Edition «DSM-IV», American Psychiatric Association, 1995) внесено заболевание «кибернетические расстройства».
Собственно говоря, в сети Интернет имеется практически открытая информация по изготовлению синтетических наркотиков, но это отдельная тема для изложения. Можно только сослаться на исследования Роганова С.А., специализирующегося на расследовании уголовных дел, связанных с незаконным оборотом наркотиков, который прямо указывает, что методы синтеза наркотиков часто берутся из сети Интернет[89].
Все вышеизложенное еще раз подчеркивает необходимость контакта между правоохранительными органами и специалистами в области биологической кибернетики и информационных технологий.
Сегодня Интернет представляет злоумышленнику большую возможность для проведения разведывательных мероприятий (операций). Анализ сайтов Интернет показывает, что такая работа активно ведется рядом зарубежных государств. Следует обратить внимание на то, что уже давно существует такое понятие, как «компьютерная разведка». В начале 90-х годов аналитики спецслужб США обратили внимание на то, что большая часть необходимой информации без особого труда может быть получена через Интернет. Это позволило пересмотреть структуру финансирования спецслужб в сторону значительного увеличения средств, выделяемых на «компьютерную разведку». Теперь подразделения по исследованию и использованию сети Интернет появились в ЦРУ, ФБР, СИС, МОССАД и других спецслужбах развитых государств. Сфера их деятельности – легальная разведка в глобальной сети, организация каналов связи с агентурой, сбор материалов по оперативно значимым ситуациям, проведение акций «информационной войны», изучение личностных характеристик политиков, ученых, военных, а также важнейших секретоносителей в качестве возможных кандидатов на вербовку или агентов влияния. Подобную разведывательную функцию работники оперативных подразделений ОВД вправе осуществлять в соответствии с Федеральным законом РФ «Об оперативно-розыскной деятельности».
Получение любой информации о преступной деятельности требует определенных тактических усилий и организационных форм: действий негласных сотрудников, оперативно-поисковых групп, оперативных контактов с гражданами. И все же многие сведения о традиционных преступлениях (кражи, вывоз похищенных материальных ценностей, владение оружием), по сравнению со сведениями о преступлениях в сфере высоких технологий, как бы лежат на поверхности: их можно визуально фиксировать, видеть предметы. Преступления в области информационных технологий довольно часто можно получить лишь изучением отношений, то есть глубинных явлений, часто никак не фиксируемых визуально и по материальным следам. В качестве примера можно привести факт. Сведения о преступлениях в сфере электронной торговли не принято афишировать коммерческими структурами. Часто они предпочитают понести убыток, чем потерять свою репутацию.
Учитывая, что основным местом преступления является Интернет (или с использованием Интернета), то процесс сбора оперативной информации легко автоматизировать путем использования специальных программ, называемых интеллектуальными агентами (в среде программистов еще называемы «пауками»). Они способны проводить анализ сайтов, проводить целевой поиск информации в сети Интернет и тем самым находить потенциальных преступников.
Так, недавно ФБР приняло на вооружение новую технологию мониторинга Интернета вместо устаревшей системы Carnivore. Возможности «новорожденного» значительно шире – они позволяют отслеживать сетевую активность подозреваемых в совершении преступлений, одновременно вести базу данных о вполне законопослушных гражданах, а также фиксировать интернет-трафик, включая IP-адреса, просмотры отдельных страниц и электронную почту.
По результатам оперативно-аналитического поиска в оперативных подразделениях целесообразно формировать компьютерные базы данных, используемые:
- для последующей оперативной проверки преступных групп и организаций; для проведения оперативно-профилактических мер;
- для внедрения оперативных работников и негласных сотрудников в среду компьютерной преступности с целью углубления оперативных позиций, необходимых для успешного продолжения стратегической разведки.
Оперативно-аналитический поиск дает возможность использования компьютерного моделирования для раскрытия преступлений в сфере высоких технологий. Одним из перспективных направлений компьютерной инженерии является использование имитационных моделей. Такая модель предусматривает организацию информационных потоков внутри моделируемых систем, воспроизведение на компьютере операций подмены, перераспределения, взаимодействия между отдельными структурными элементами системы и поэтому является достаточно эффективным средством изучения и прогнозирования компьютерной преступности.
Повышение эффективности работы правоохранительных органов по раскрытию и расследованию преступлений в сфере высоких технологий в настоящее время невозможно без интеграции в криминалистику новых информационных технологий.
Контрольные вопросы
1. Какие меры контроля над компьютерной преступностью используются в России?
2. Какие меры уголовно-правового контроля над компьютерной преступностью предусмотрены в законодательстве России?
3. Каковы базовые направления повышения эффективности контроля над компьютерной преступностью в Росси?
4. Каковы особенности оперативно-розыскной деятельности при расследовании преступлений в сфере высоких технологий?
ГЛАВА 6. РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ
КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
6.1 Основные следственные версии, выдвигаемые при расследовании
преступлений в сфере компьютерной информации
При выдвижении версий совершения преступлений в сфере компьютерной информации необходимо учитывать, что они совершаются обычно группой из двух и более человек, хотя не исключена возможность работы преступника – одиночки. В таком случае он сам или, если действует группа, один из ее членов является либо сотрудником данного учреждения, либо имеет свободный доступ к компьютерам (представитель службы технической или программной поддержки, программист, работающий по контракту и т.д.), умеет работать с вычислительной техникой, хорошо представляет, какая информация и где расположена в компьютере. Интерес обычно представляет информация, содержащая государственную или коммерческую тайну (например, информация базы данных передвижении оружия, наркотиков и т.д.).
В основном, как правило, информация преступниками копируется на магнитный носитель, хотя не исключена возможность передачи ее по сетям телекоммуникации, распечатки на бумаге, кино-, фото-, видеосъемки изображения экрана и действий оператора или перехват с помощью специальных технических средств. Копирование может осуществляться как на портативный компьютер (Notebook) с подключением его к локальной вычислительной сети, так и непосредственно к последовательному или параллельному порту конкретной ЭВМ с помощью специального кабеля.
Преступление обычно происходит в рабочее время и внешне не отличается от обычной работы в учреждении. Похищенная информация используется в дальнейшем самими преступниками для подготовки хищений или может быть продана заинтересованным лицам.
Учитывая конкретные обстоятельства, следователем могут быть выдвинуты и проверены следующие общие версии:
1. Преступление совершено сотрудником данного учреждения, либо лицом, имеющим свободный доступ к компьютерной технике.
2. Преступление совершено сторонним лицом, входящим в круг родственников, друзей, знакомых сотрудников учреждений.
3. Преступление совершено группой лиц по предварительному сговору или организованной группой с участием сотрудника данного учреждения, либо лица, имеющего свободный доступ к компьютерной технике и в совершенстве владеющего навыками работы с ней.
4. Преступление совершено лицом или группой лиц, не связанных с деятельностью учреждения и не представляющих ценность компьютерной информации.
Приведенный перечень следственных версий является общим, и в зависимости от конкретной ситуации, может быть расширен.
6.2 Методика расследования преступлений в сфере компьютерной
информации
Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений.
Принципиальная схема организации взлома защитных механизмов информационных систем достаточно однотипна. Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Они снимают квартиру на подставное лицо, подкупают сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников МВД России. Чаще всего взлом компьютерной сети осуществляется рано утром, когда дежурный службы безопасности теряет свою бдительность, а вызов помощи затруднен. Может быть предложена некоторая общая схема расследования преступления, связанного с неправомерным (несанкционированным) доступом к компьютерной информации.
В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
- Установление факта неправомерного доступа к информации в компьютерной системе или сети.
- Установление места несанкционированного проникновения в компьютерную систему или сеть.
- Установление времени совершения преступления.
- Установление надежности средств защиты компьютерной информации.
- Установление способа несанкционированного доступа.
- Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
- Установление вредных последствий преступления.
- Выявление обстоятельств, способствовавших преступлению.
На признаки несанкционированного доступа или подготовки к нему могут указывать следующие очевидные обстоятельства:
- появление в компьютере фальшивых данных;
- не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств;
- частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети;
- осуществление сверхурочных работ без видимых на то причин;
- немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков;
- неожиданное приобретение сотрудником домашнего дорогостоящего компьютера;
- чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр;
- участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров и т.д.
Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа, не входящих в данную информационную систему или сеть, на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов. Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.
Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).
Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.
При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий:
- Установление факта и способа создания вредоносной программы для ЭВМ.
- Установление факта использования и распространения вредоносной программы.
- Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.
- Установление вреда, причиненного данным преступлением.
- Установление обстоятельств, способствовавших совершению расследуемого преступления.
При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:
- место и время (период времени) нарушения правил эксплуатации ЭВМ;
- характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;
- способ и механизм нарушения правил;
- характер и размер ущерба, причиненного преступлением;
- факт нарушения правил определенным лицом;
- виновность лица, допустившего преступное нарушение правил эксплуатации ЭBM;
- обстоятельства, способствовавшие совершению расследуемого преступления.
Кроме того, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий. Приведем некоторые из них.
Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации. Для этого необходимо:
- не разрешать кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;
- не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;
- в случае, если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;
- самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен.
После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств компьютерной техники.
При этом следует принять во внимание следующие неблагоприятные факторы:
- возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;
- возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;
- возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа;
- постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.
В целях недопущения вредных последствий перечисленных факторов следователь может придерживаться следующих рекомендаций:
- Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера – путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель – приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).
- При наличии средств защиты ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т. д.).
- Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).
- Не пытаться на месте просматривать информацию, содержащуюся в компьютерах.
- В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.
- Следует изъять все носители ЭВМ, обнаруженные на объекте.
- При обыске не подносить ближе, чем на 1 м к компьютерной технике металлоискатели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и некоторую специальную аппаратуру.
- Поскольку многие, особенно неквалифицированные, пользователи записывают процедуры входа-выхода при работе с компьютерной системой, а также пароли доступа, на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.
- Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств компьютерной техники, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.
- При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектования и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй – на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и «наводок», направленных излучений.
- В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт), о чем обязательно делается отметка в протоколе проведения следственного действия.
- В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы. Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего устройства – ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств, с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами: Государственный стандарт (ГОСТ) № 6104–84 от 01.07.87 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения» и Постановление Госстандарта № 2781 от 24.09.86 «Методические указания по внедрению и применению ГОСТ 6104–84». Только с использованием указанных нормативных документов машинная информация будет относиться к разряду «документированной информации», как требует того закон.
К сожалению, практика работы органов прокуратуры и следствия показывает, что рассмотренные рекомендации в большинстве случаев следователями в практической деятельности по расследованию компьютерных преступлений не применяются. В результате неправильного изъятия средств компьютерной техники добытая информация зачастую не может являться доказательством в судебном процессе.
В зарубежных государствах накоплен обширный опыт борьбы с компьютерной преступностью. Однако в России большинство уголовных дел по компьютерным преступлениям остаются нераскрытыми. И дело не в том, что плохо работают сыщики или российские компании экономят на защите своих компьютерных сетей. К сожалению, при высоком техническом оснащении и тщательной подготовке компьютерного преступления поймать преступника очень сложно.
6.3 Типичные следственные ситуации и действия следователя на
первоначальном этапе расследования преступлений в сфере
компьютерной информации
Раскрывать преступления в сфере компьютерной информации сложно, так как нередко преступники прибегают к различным уловкам, маскируют свои преступные деяния многочисленными объективными и субъективными причинами, которые действительно могут иметь место (например, сбой в работе ЭВМ и программного обеспечения, средств электросвязи, энергообеспечивающего оборудования; замыкания в электропроводке и т.п.).
Перечень неотложных следственных действий и оперативных мероприятий, очередность их проведения будут определяться конкретной следственной ситуацией, в которой начинается расследование[90].
Следственная ситуация характеризуется прежде всего объемом и достоверностью исходной криминалистически значимой информации, имеющейся в распоряжении следователя и оперативного работника.
Поводами и основаниями для возбуждения уголовных дел чаще всего служат:
- заявления граждан (конкретных потерпевших);
- сообщения руководителей предприятий, учреждений, организаций и должностных лиц (базирующиеся, как правило, на материалах контрольно-ревизионных проверок и сообщениях служб безопасности);
- сведения, полученные в результате проведения оперативно-розыскных мероприятий;
- непосредственное обнаружение следователем, прокурором или судом признаков преступления;
- статьи, заметки и письма, опубликованные в средствах массовой информации, а также в сети Интернет.
Как правило, возбуждению уголовного дела предшествует предварительная проверка материалов, поступивших в правоохранительные органы. В связи с этим, следователь может заблаговременно ознакомиться с собранными по делу материалами, совместно с оперативным сотрудником выбрать в тактическом отношении наиболее оптимальный момент для возбуждения дела, а также определить характер и последовательность первоначальных следственных действий, организационных и иных мероприятий. Успех расследования преступления в сфере компьютерной информации во многом обеспечивают: быстрота и решительность действий следователя и оперативного сотрудника в самые первые часы производства по делу; организованное взаимодействие с различными подразделениями правоохранительных органов; наличие специалиста в области компьютерной обработки информации (возможно, пользователя ЭВМ).
В ходе предварительной проверки материалов при решении вопроса о возбуждении уголовного дела следователь должен, прежде всего, получить четкое и полное представление о предмете посягательства, месте его нахождения и условиях охраны; о характере деятельности и структуре объекта, где возможно было совершено преступление; об особенностях технологии производства; изучить конкретные условия деятельности данного объекта, существующий там порядок учета и отчетности, систему товаро- и документооборота, коммуникативные и иные тактико-технические характеристики используемой компьютерной техники, организацию охраны. Необходимо также хорошо знать служебные обязанности лиц, имеющих прямые или косвенные отношения к орудиям обработки и компьютерной информации, которые стали предметом преступного посягательства.
К типичным признакам подготовки, совершения и сокрытия преступления в сфере компьютерной информации относятся: появление в ЭВМ, системе ЭВМ или их сети фальшивых данных; несанкционированные изменения структуры файловой системы, программного обеспечения и конфигурации ЭВМ, системы ЭВМ или их сети; необычные (нестандартные) проявления в работе СВТ и их программного обеспечения; частые сбои в работе аппаратуры; жалобы клиентов на предоставление некачественного доступа к ЭВМ, системе ЭВМ, их сети или компьютерной информации; сверхурочная работа некоторых сотрудников на ЭВМ, в системе ЭВМ или их сети, нарушение установленного графика их эксплуатации; нерегламентированный доступ к ЭВМ, системе ЭВМ, их сети и к компьютерной информации отдельных субъектов; нарушение правил работы с компьютерной информацией и несанкционированные манипуляции с ней; чрезмерный интерес отдельных субъектов (клиентов, сотрудников) к содержанию чужих распечаток (листингов) и компьютерной информации определенной категории; случаи перезаписи отдельных данных и компьютерной информации без серьезных требуемых на то причин; применение на рабочем месте и вынос с работы личных машинных носителей информации под различными предлогами (записи игр и т.п.); исследование мусорных корзин (контейнеров) с технологическими отходами компьютерной обработки информации; случаи утечки конфиденциальной информации, либо обнаружение негласных устройств ее получения; нарушение установленных правил оформления документов при работе с ЭВМ, системой ЭВМ, их сетью или компьютерной информацией; создание копий определенной категории данных и компьютерной информации, не предусмотренных технологическим процессом; несоответствие данных, содержащихся в первичных (исходных) документах, данным машинограмм и иным более поздним по времени создания документам; подозрительно частое обращение одного и того же пользователя к данным и компьютерной информации определенной категории.
Чтобы детально разобраться в особенностях деятельности потерпевшего (физического или юридического лица), следователю и оперативному сотруднику необходимо ознакомиться с соответствующей справочной литературой, изучить ведомственные нормативные акты. Исключительно важное значение имеют консультации со специалистами. Для этих целей могут быть привлечены любые лица, обладающие необходимыми знаниями и опытом для дачи консультаций по делу. Как правило, это квалифицированные сотрудники различных организаций, осуществляющих свою деятельность в сфере информации, информатизации и защиты информации. Наиболее предпочтительны сотрудники: Федеральной службы по техническому и экспортному контролю (ФСТЭК); центров защиты информации; оперативно-технических подразделений правоохранительных органов; подразделений «К» при УСТМ МВД России; специалисты межрегиональных Центров защиты информации, функционирующих на базе гражданских высших учебных технических заведений; научные работники исследовательских институтов и лабораторий, а также учебных заведений.
Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования:
1. Сведения о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствуют.
2. Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.
3. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.
В первых двух следственных ситуациях обычно планируют и осуществляют следующие неотложные следственные действия, оперативно-розыскные, организационные и иные мероприятия:
1) получение объяснения (допрос) заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей (очевидцев);
2) вызов и инструктаж необходимых специалистов для участия в осмотре места происшествия;
3) осмотр места происшествия (с осмотром, предварительным исследованием и изъятием машинных носителей и компьютерной информации, средств вычислительной техники (СВТ), документов и т. п.);
4) проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, определения рабочего места преступника, обнаружения следов и других вещественных доказательств;
5) изучение справочной литературы, ведомственных нормативных актов, положений, инструкций, правил эксплуатации конкретного СВТ и порядка работы с компьютерной информацией, а также консультации с соответствующими специалистами;
6) наведение справок в контролирующих, инспектирующих и лицензирующих организациях и их структурных подразделениях ФСТЭК России, налоговой инспекции, Комитете по контролю за использованием радиочастот, Энергонадзоре, Госпожнадзоре, КРУ, торговой инспекции и т.п.);
7) истребование материалов контрольных проверок, инвентаризаций и ревизий (соблюдения правил обработки информации, системы защиты конфиденциальной информации, оборота электронных документов и др.) за интересующий следствие период, в случае необходимости – организовать их производство (в т.ч. повторно);
8) выемку и последующий осмотр недостающих документов (в том числе находящихся в электронной форме на машинных носителях информации), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия, а также орудий (СВТ, программ для ЭВМ, компьютерной информации, предметов, материалов и др.), с помощью которых они, возможно, были изготовлены;
9) допросы подозреваемых и/или свидетелей, ответственных за данный участок работы, конкретную производственную операцию и защиту конфиденциальной информации;
10) обыски на рабочих местах и по месту проживания подозреваемых;
11) назначение экспертиз – программно-технической, радиотехнической, технической, бухгалтерской, полимерных материалов и изделий из них и иных.
Дальнейшие действия планируются с учетом дополнительной информации, полученной при производстве вышеуказанных действий.
При наличии третьей следственной ситуации необходимо:
1) изучить поступившие материалы с позиций их полноты, соблюдения норм уголовно-процессуального законодательства и порядка их передачи в органы предварительного следствия. При необходимости следует принять меры к получению недостающей процессуальной информации;
2) решить вопрос о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях;
3) личный обыск задержанного;
4) осмотр места происшествия с участием соответствующих заранее приглашенных специалистов;
4) допрос задержанного;
5) обыски на рабочем месте и по месту проживания задержанного;
6) установление связей задержанного и лиц, причастных к совершению преступления;
7) допрос свидетелей (очевидцев);
8) допрос подозреваемого;
9) выемка и осмотр следующих вещественных доказательств и документов:
- подлинных документов, удостоверяющих личность преступника и наличие у него соответствующих специальных познаний, характеризующих те производственные операции, в процессе которых допущены нарушения и преступные действия (в том числе документов, находящихся в электронной форме на машинных носителях информации);
- орудий подготовки, совершения и сокрытия преступления;
- предмета преступления;
10) допрос лиц, названных в документах, переданных в следственные органы, как допустивших нарушения, ответственных за конкретный участок работы по фактам установленных нарушений;
11) истребование, а при необходимости производство выемки нормативных актов и документов, характеризующих порядок и организацию работы в данном подразделении с конфиденциальной информацией, с бланками строгой отчетности, компьютерной информацией, ЭВМ, системой ЭВМ, их сетью и т. п.;
12) допрос свидетелей, причастных к соответствующим производственным операциям или подозреваемых в связях с преступником;
13) анализ полученной информации и решение вопроса о необходимости назначения судебных экспертиз, проведения ревизии, инвентаризации или контрольной проверки (в том числе повторной).
В очередность перечисленных следственных действий, оперативных и организационных мероприятий могут быть внесены коррективы в зависимости от изменения ситуации.
Контрольные вопросы
1. Перечислите и охарактеризуйте основные следственные версии, выдвигаемые при расследовании преступлений в сфере компьютерной информации.
2. В какой последовательности целесообразно решать основные следственные задачи в ходе расследования преступления, связанного с неправомерным (несанкционированным) доступом к компьютерной информации?
3. Какие обстоятельства могут указывать на признаки несанкционированного доступа или подготовки к нему?
4. Какую последовательность действий целесообразно применять при расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ?
5. Что необходимо установить и доказать при расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети?
6. Какие особенности должны учитываться при производстве следственных действий по расследованию преступлений в сфере компьютерной информации?
7. Какие неблагоприятные факторы следует принять во внимание при производстве следственных действий?
8. Каких рекомендаций должен придерживаться следователь в целях недопущения вредных последствий неблагоприятных факторов?
9. Каковы типичные следственные ситуации и действия следователя на первоначальном этапе расследования преступлений в сфере компьютерной информации?
ГЛАВА 7. ОСОБЕННОСТИ ТАКТИКИ РАССЛЕДОВАНИЯ
ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
7.1 Осмотр места происшествия
Все следственные действия по делам о преступлениях в сфере компьютерной информации проводятся в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом следующих основных особенностей:
- следственное действие должно быть заблаговременно подготовлено и детально спланировано; в каждом следственном действии должны принимать участие специалисты, четко представляющие свои задачи, права и обязанности;
- понятые должны обладать минимально необходимыми специальными познаниями в области обработки компьютерной информации (на уровне бытовых пользователей персонального компьютера), следователь и специалисты – познаниями в части полной сохранности (неизменяемости) компьютерной информации, содержащейся на осматриваемом (изымаемом) средстве электронно-вычислительной техники; для осмотра, обыска и выемки компьютерной информации и ее носителей заранее должны быть подготовлены необходимые СВТ и материалы.
При осмотре места происшествия в состав следственно-оперативной группы в зависимости от конкретной следственной ситуации, помимо следователя, должны входить:
- специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории;
- специалист по СВТ;
- сотрудник ФСТЭК, Центра защиты информации [при наличии на месте происшествия конфиденциальной компьютерной информации, машинных носителей с ней, специальных средств защиты от НСД и(или) технических средств негласного получения (уничтожения, блокирования) компьютерной информации];
- специалист по сетевым технологиям (в случае наличия периферийного оборудования удаленного доступа или локальной компьютерной сети);
- специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи);
- оперативные сотрудники (отдела «К» или ОБЭП);
- участковый оперуполномоченный, обслуживающий данную территорию;
- инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом);
- специалист для проведения цветной фото- или видеосъемки следственного действия.
При необходимости в состав СОГ могут быть включены незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (инженеры-электрики, бухгалтеры со знанием СВТ, специалисты спутниковых систем связи, операторы компьютерных систем и сетей электросвязи, др.).
7.2 Особенности тактики производства обыска при расследовании
преступлений в сфере предоставления услуг сети Интернет
Известно, что обыск как самостоятельное процессуальное действие имеет свое определенное место и играет специфическую роль в сфере правоприменительной деятельности полномочных органов в рамках уголовного судопроизводства. Решаемые с его помощью задачи во многом обусловлены той или иной следственной ситуацией, складывающейся в ходе предварительного расследования. Своевременное и грамотное проведение обыска способствует достижению целей отправления правосудия. Результаты данного следственного действия могут быть положены, как в основу обвинительного приговора, так и послужить основанием для исключения факта необоснованного привлечения лица к уголовной ответственности.
По делам о преступлениях в сфере предоставления услуг «Интернет» рассматриваемое следственное действие, как правило, носит неотложный характер. Основанием для его производства является наличие достаточных данных полагать, что в каком-либо месте или у какого-либо лица могут находиться орудия преступления, предметы, документы и ценности, которые могут иметь значение для уголовного дела (ст. 182 УПК РФ).
Цели обыска: обнаружение, фиксация и изъятие перечисленных выше объектов, а также выявление и задержание разыскиваемых и подозреваемых лиц.
В криминалистике в зависимости от объекта выделяют различные виды обыска. По делам о преступлениях в сфере предоставления услуг сети Интернет типичными являются обыск в помещении (жилище) и личный обыск подозреваемого (обвиняемого), который там находится. Эти следственные действия имеют определенную специфику, которая обусловлена как предметом, так и орудием преступного посягательства – компьютерной информацией. Характерные особенности последней накладывают отпечаток на все стадии проведения указанного следственного действия. Рассмотрим их подробнее.
Представляется, что подготовительный этап обыска играет главенствующую роль во всем процессе реализации замысла следственного действия. Тщательная и глубокая проработка всех нюансов сложившейся накануне обыска следственной ситуации во многом определяет его результативность. Практика показывает, что многое зависит от тесного взаимодействия следователя со специализированным органом дознания – Отделом «К» при Управлении специальных технических мероприятий (УСТМ) МВД (УВД) республики, края (области). С его помощью обеспечивается должная оперативная осведомленность следователя об обстоятельствах, связанных с проведением обыска, которая помогает избежать ряда тактических ошибок, а также грамотно решить вопрос о привлечении к его проведению высококвалифицированных специалистов в области компьютерной техники и понятых, имеющих определенные знания в этой сфере.
В работе Илюшина Д.А.[91] перечислены мероприятия, которые необходимо осуществить следователем на подготовительном этапе обыска:
1. Определить месторасположение и планировку помещения, которое должно быть подвергнуто обыску. Выяснить характер охраны объекта. Определить пути возможного отхода подозреваемого (обвиняемого).
2. С помощью специалиста в области телекоммуникаций определить расположение в данном помещении узлов связи, локализацию разводки коммуникационных сетей. Рассмотреть возможность наличия на объекте средств радиосвязи, используемых подозреваемым (обвиняемым). Установить их идентификационные характеристики: абонентский номер, позывной, рабочую частоту, логин и пароль доступа для работы в сети Интернет.
3. Выяснить, какие средства электронно-вычислительной техники (далее по тексту «СВТ») находятся в помещении, в котором предполагается провести обыск (по возможности установить их технические характеристики). Данные сведения могут быть получены у провайдера сети Интернет или оператора электросвязи. При этом во многих случаях требуется консультация с соответствующим специалистом. В дальнейшем полученная информация будет использована для определения границ места, подлежащего обыску, и внесет определенность относительно искомых предметов (документов).
4. Установить, какие средства защиты информации и СВТ от несанкционированного доступа находятся по месту, где предполагается провести обыск; выяснить источники их питания и рассмотреть возможность их обесточивания до момента начала обыска. Это позволит исключить факты преднамеренного уничтожения искомых документов или предметов.
5. Установить тип источников электропитания СВТ и расположение пунктов их обесточивания для предотвращения возможных попыток уничтожения искомой компьютерной информации, содержащейся в оперативной памяти компьютерных устройств.
6. Пригласить специалистов, обладающих достаточными знаниями, умениями и навыками для оказания действенной помощи следователю при подготовке и в ходе производства обыска. Для этих целей наиболее подходят универсальные специалисты в области цифровых средств электросвязи и компьютерной техники.
7. Подготовить соответствующие СВТ, специальную аппаратуру и материалы для поиска, осмотра, фиксации и изъятия искомой компьютерной информации, документов и предметов.
8. Определить дату, время и место проведения обыска, его продолжительность, а также меры, направленные на обеспечение его скоротечности и конфиденциальности. Наиболее благоприятной ситуацией является момент отсутствия подозреваемого (обвиняемого) на месте обыска. Это обстоятельство позволяет исключить активное противодействие с его стороны и предоставляет возможность следователю быстро обнаружить и грамотно изъять искомые объекты. При этом следует отметить, что присутствие на месте обыска сослуживцев или близких родственников подозреваемого (обвиняемого), как правило, формирует у них определенное негативное отношение к совершенному преступному деянию. Данное обстоятельство может быть использовано для определения тактики проведения последующих следственных действий, например, допросов свидетелей.
9. Провести инструктаж лиц, привлекаемых к участию в обыске, с постановкой конкретных персональных задач.
10. Изучить личность подозреваемого (обвиняемого). Особое внимание следует обратить на уровень его профессиональных умений и навыков в области компьютерных технологий.
11. Пригласить понятых, обладающих определенными знаниями в сфере компьютерной информации и телекоммуникаций.
По прибытии на место проведения обыска специфика действий следователя будет состоять в следующем:
1. Определить места возможного отхода подозреваемого (обвиняемого) или выноса предметов и документов, имеющих значение для уголовного дела (запасный выход, окна и другие). Принять меры к установлению наблюдения за ними.
2. Быстро и внезапно войти в обыскиваемое помещение (жилище). Если их несколько – одновременно войти во все. На наш взгляд, нельзя согласиться с доводами отдельных авторов, полагающих, что «в некоторых случаях, когда это возможно или целесообразно, непосредственно перед входом в обыскиваемое помещение следует обесточить его».[92] Представляется, что при внезапном отключении электропитания в помещении (жилище) и наличии предположений у преступника о намерении сотрудников правоохранительных органов провести обыск, последним могут быть предприняты меры по уничтожению следов преступного посягательства. Таким образом, теряется не только фактор внезапности, но и ценные вещественные доказательства.
3. В случае оказания активного сопротивления со стороны лиц, находящихся на объекте обыска, принять меры по нейтрализации противодействия и скорейшему проникновению в обыскиваемое помещение (жилище).
4. Организовать охрану места обыска и наблюдение за ним. Охране подлежат: периметр обыскиваемых площадей; СВТ; хранилища машинных носителей информации (МНИ); все пункты (пульты) связи, охраны и электропитания, находящиеся на объекте обыска (в здании, помещении, на производственной площади); специальные средства защиты от несанкционированного доступа; хранилища ключей (кодов, паролей) аварийного и регламентного доступа к СВТ, помещениям и другим объектам (пультам, пунктам, стендам, сейфам и т. п.), попавшим в зону обыска.
По поводу дальнейших действий следователя на месте обыска в современной криминалистической литературе дискутируются различные точки зрения.[93] Мы, в свою очередь, полагаем, что после реализации вышеуказанных мероприятий следователь должен перейти к обзорной стадии обыска и выполнить следующие действия:
1. Определить местонахождение подозреваемого (обвиняемого) на объекте обыска (если обыск осуществляется в его присутствии). При обнаружении – принять меры к отстранению его от пультов управления техническими устройствами, дистанцировать от них и организовать охрану.
2. Определить и отключить специальные средства защиты информации и СВТ от несанкционированного доступа, особенно те, которые автоматически уничтожают компьютерную информацию и МНИ при нарушении процедуры доступа к ним, порядка их использования и (или) установленных правил работы с ними; принять меры к установлению пароля (кода) санкционированного доступа и ключа шифрования-дешифрования информации.
3. Установить наличие телекоммуникационной связи между СВТ, СВТ и каналами электросвязи. При наличии компьютерной сети любого уровня технической организации в первую очередь должна быть осмотрена и подвергнута обыску управляющая ЭВМ – сервер, который хранит в своей оперативной и постоянной памяти наибольшую часть компьютерной информации, управляет другими СВТ, имеет с ними прямую и обратную связь. В этом случае следует учитывать то обстоятельство, что у сообщников подозреваемого (обвиняемого) или у него самого (если обыск производится в его отсутствие) имеется реальная возможность уничтожения искомой компьютерной информации дистанционно с помощью СВТ, находящихся вне периметра обыскиваемой зоны (в другом помещении, здании, населенном пункте и т. д.). Применительно к этому положению вызывает недоумение утверждение некоторых авторов о том, что «… подключением компьютера к телефонной или телетайпной линиям невозможно уничтожить или изменить информацию на нем. Эта информация может быть лишь пополнена или куда-либо передана»[94].
Для предупреждения вышеуказанных негативных последствий необходимо в зависимости от ситуации и рекомендаций специалиста временно или на длительный срок, частично или полностью отключить СВТ или локальную вычислительную сеть от технических устройств, находящихся за периметром обыскиваемой зоны. Отключение может быть произведено как на программном, так и аппаратном уровне. Если СВТ работает в режиме «электронной почты», то предпочтительнее оставить его до конца обыска в работающем состоянии в режиме «приема почты», исключив возможность какой-либо обработки и обратной передачи информации. Эту работу может сделать только квалифицированный специалист. Все выполняемые им действия должны быть зафиксированы с помощью видеозаписи и отражены в протоколе рассматриваемого следственного действия.
4. Определить СВТ, находящиеся во включенном состоянии, характер выполняемых ими операций и название программ. Особое внимание необходимо уделить печатающим и видеоотображающим устройствам (принтерам и мониторам). Распечатки информации (листинги) при необходимости должны быть изъяты и приобщены к протоколу следственного действия; изображение на экране монитора – видеограмма[95] изучено и детально описано в протоколе (можно также зафиксировать его на видеопленку либо сделать распечатку на бумаге с использованием специальных сканирующих программ).
Если специалист установит, что на момент обыска на каком-либо СВТ происходит уничтожение информации либо ее машинного носителя, необходимо срочно всеми возможными способами приостановить этот процесс и начать обследование с данного места или СВТ.
5. При обследовании персонального компьютера необходимо:
а) установить последнюю исполненную программу и (или) операцию, а при возможности – все, начиная с момента включения компьютера;
б) произвести экспресс-анализ компьютерной информации, содержащейся на жестком диске и в оперативной памяти с целью получения данных, имеющих значение для следствия (их скорейшее получение позволит скорректировать тактику обыска и порядок производства последующих следственных действий).
6. В случае совершения преступления выделенной категории с помощью портативного или малогабаритного (мобильного) СВТ, например, коммуникатора или сотового радиотелефона, организовать производство личного обыска подозреваемого (обвиняемого) или лиц, находящихся в обыскиваемом помещении. Это возможно лишь в тех случаях, когда у следователя имеются достаточные основания полагать, что лицо скрывает при себе предметы либо документы, которые могут иметь значение для уголовного дела (ч. 2 ст. 184 УПК РФ). Личный обыск такого лица производится по правилам, изложенным в ч. 3 ст. 184 УПК РФ.
Детальный этап обыска является очень трудоемким и требует слаженной работы всех участников следственного действия. Необходимо четко организовать поисковые мероприятия, направленные на выявление тайников, в которых могут находиться предметы и документы. Ими могут быть и сами компьютерные устройства – аппаратные и программные модули, входящие в состав ЭВМ, системы ЭВМ или их сети.
Следует также уделить внимание действиям, направленным на обнаружения записей, которые содержат сведения о чужих логинах и паролях доступа в компьютерную сеть «Интернет». Например, в 2002 году при производстве обыска у подозреваемого Б. сотрудниками Отдела «К» при УСТМ ГУВД Самарской области были изъяты листы бумаги, содержащие 19 конфиденциальных реквизитов пользователей сети Интернет (логинов и паролей), напротив каждого из которых стояли даты и время. В ходе дальнейшего расследования уголовного дела, возбужденного по ст. 165 ч. 1 и ст. 272 ч. 1 УК РФ, было установлено, что записи выполнены собственноручно Б. и полностью соответствуют реквизитам протокола провайдера, отражающим все сеансы работы пользователей в сети Интернет. Эти вещественные доказательства в совокупности с другими доказательствами, даже с учетом активного противодействия следствию со стороны Б., позволили привлечь его к уголовной ответственности за совершение 38 преступлений.
На заключительном этапе обыска составляются: протокол следственного действия и описи к нему; вычерчиваются планы обыскиваемых помещений, схемы расположения СВТ относительно друг друга, инженерно-технических коммуникаций, а также схема соединения СВТ между собой и с другими техническими устройствами; проводится дополнительная фотосъемка или видеозапись.
7.3 Осмотр средств вычислительной техники
Осмотр СВТ обычно приводит к необходимости их изъятия для последующего экспертного исследования и(или) приобщения к делу в качестве вещественного доказательства.
В протоколе осмотра СВТ фиксируют:
- его тип (назначение), марку (название), конфигурацию, цвет и заводской номер (серийный, инвентарный или учетный номер изделия);
- тип (назначение), цвет и другие индивидуальные признаки соединительных и электропитающих проводов; состояние на момент осмотра (выключено или включено);
- техническое состояние – внешний вид, целостность корпуса, комплектность (наличие и работоспособность необходимых блоков, узлов, деталей и правильность их соединения между собой), наличие расходных материалов, тип используемого машинного носителя информации;
- тип источника электропитания, его тактико-технические характеристики и техническое состояние (рабочее напряжение, частота тока, рабочая нагрузка, наличие предохранителя, стабилизатора, сетевого фильтра, количество подключенного к нему электрооборудования, количество питающих электроразъемов-розеток и т.д.);
- наличие заземления («зануления») СВТ и его техническое состояние; наличие и техническая возможность подключения к СВТ периферийного оборудования и(или) самого СВТ к такому оборудованию либо к каналу электросвязи; имеющиеся повреждения, не предусмотренные стандартом конструктивные изменения в архитектуре строения СВТ, его отдельных деталей (частей, блоков), особенно те, которые могли возникнуть в результате преступления, а равно могли спровоцировать возникновение происшествия;
- следы преступной деятельности (следы орудий взлома корпуса СВТ, проникновения внутрь корпуса, пальцев рук, несанкционированного подключения к СВТ сторонних технических устройств и др.);
- расположение СВТ в пространстве, относительно периферийного оборудования и других электротехнических устройств;
- точный порядок соединения СВТ с другими техническими устройствами;
- категорию обрабатываемой информации (общего пользования или конфиденциальная);
- наличие или отсутствие индивидуальных средств защиты осматриваемого СВТ и обрабатываемой на нем информации от несанкционированного доступа и манипулирования.
Если на момент осмотра СВТ находится в рабочем состоянии, необходимо детально описать:
- расположение его рабочих механизмов и изображение на его видеоконтрольном устройстве (экране, мониторе, дисплее);
- основные действия, производимые специалистом при осмотре СВТ (порядок корректного приостановления работы и закрытия исполняемой операции или программы, выключения СВТ, отключения от источника электропитания, рассоединения (или соединения) СВТ, отсоединения проводов, результаты измерения технических параметров контрольно-измерительной или тестовой аппаратурой и т.п.).
7.4 Осмотр документов и их носителей
Осмотр машинного носителя и компьютерной информации проводят по принципу «от общего к частному». Вначале описывают внешние индивидуальные признаки носителя: его цвет, размер, тип, вид, название, марка, заводской и индивидуальный номер, наличие наклейки и надписей на ней, наличие или отсутствие физических повреждений корпуса и следов на нем, положение элемента защиты от записи/стирания компьютерной информации. Затем переходят к осмотру компьютерной информации, содержащейся на машинном носителе информации (МНИ).
Перед началом ее осмотра необходимо указать в протоколе следственного действия:
- индивидуальные признаки используемого для осмотра средства электронно-вычислительной техники и основные реквизиты его программного обеспечения (тип, вид, марку, название, заводской или регистрационный номер, номер версии, юридический адрес и(или) автора программного продукта);
- юридические реквизиты программы, с помощью которой СВТ и его программное обеспечение в присутствии понятых было тестировано специалистом на предмет отсутствия вредоносных программно-аппаратных средств.
После этого на указанный предмет проверяется и осматриваемая компьютерная информация.
Анализируя содержащуюся на осматриваемом носителе компьютерную информацию, надо установить сведения, имеющие отношение к расследуемому событию. Для оптимизации процесса осмотра большого объема информации можно применять функции автоматизированного поиска по конкретному слову (реквизиту), входящие в состав стандартного программного обеспечения ЭВМ. Ход осмотра должен дополнительно фиксироваться на цветной фото- или видеопленке. При обнаружении следов преступления необходимо сделать распечатку всей или части компьютерной информации и приложить ее к протоколу следственного действия с указанием в протоколе индивидуальных признаков использованного для этого печатающего устройства (тип, вид, марку, название, номер).
В протоколе осмотра, также необходимо отразить:
- наличие, индивидуальные признаки защиты носителя от несанкционированного использования (голография, штрих-код, эмбоссинг, флуоресцирование, перфорация, ламинирование личной подписи и(или) фотографии владельца, их размеры, цвет, вид и т.п.);
- признаки материальной подделки МНИ и его защиты; внутреннюю спецификацию носителя – серийный номер и(или) метку тома либо код, размер разметки (для дисков – по объему записи информации, для лент – по продолжительности записи);
- размер области носителя свободной от записи и занятой под информацию;
- количество и номера сбойных зон, секторов, участков, кластеров, цилиндров;
- количество записанных программ, файлов, каталогов (структура их расположения на МНИ, название, имя и(или) расширение, размер (объем), в том числе тот, который занимают их названия, дата и время создания (или последнего изменения), а также специальная метка или флаг (системный, архивный, скрытый, только для чтения или записи и т.д.);
- наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).
Готовясь к проведению обыска, следователь должен решить, что и где он будет искать. Для этого необходимо тщательно изучить обстоятельства дела и собрать ориентирующую информацию о предмете обыска, месте его проведения и личности обыскиваемого. По делам о преступлениях в сфере компьютерной информации предметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные специальные технические устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты.
В ходе обыска следует обращать внимание на литературу, методические материалы и рекламные проспекты по компьютерной технике, обработке, защите, передаче и негласному получению компьютерной информации, а также на аудио-, видеокассеты, распечатки машинной информации и документы о соответствующем образовании. Особое внимание нужно уделять предметам, содержащим коды, пароли доступа, идентификационные номера, названия, электронные адреса пользователей конкретных компьютерных систем и сетей, алгоритмы входа и работы в системах и сетях. Необходимо также перлюстрировать записные (телефонные) книжки, справочники и каталоги, в том числе электронные, находящиеся в памяти телефонных аппаратов, пейджеров и других компьютерных устройств.
Ценные доказательства могут быть обнаружены и при личных обысках подозреваемых (обвиняемых).
Предметом выемки в подавляющем большинстве случаев совершения преступления в сфере компьютерной информации являются персональные компьютеры, машинные носители информации (включая распечатки на бумаге, аудио- и видеокассеты, пластиковые карты) и всевозможные документы (в том числе и электронные), отражающие и регламентирующие различные операции, технологические процессы, связанные с обработкой, накоплением, созданием, передачей и защитой компьютерной информации, использованием ЭВМ, системы ЭВМ и их сети. Последние находятся по месту работы (учебы) подозреваемого (обвиняемого), в рабочих кабинетах должностных лиц и других служебных (учебных) помещениях.
Помимо вышеуказанного, могут быть изъяты специальные технические средства для негласного получения, модификации и уничтожения информации, свободные образцы почерка, бланки и фрагменты документов, заготовки машинных носителей информации, исходные тексты программ для ЭВМ, черновики и иные образцы для сравнительного исследования. Перед изъятием магнитных носителей информации они должны быть в обязательном порядке упакованы в алюминиевый материал (алюминиевую фольгу или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного воздействия.
Контрольные вопросы
1. Какие основные особенности должны учитываться при проведении следственных действий по делам о преступлениях в сфере компьютерной информации?
2. Каков должен быть состав следственно-оперативной группы при осмотре места происшествия?
3. Каковы особенности тактики производства обыска при расследовании преступлений в сфере предоставления услуг сети Интернет?
4. Что фиксируют в протоколе осмотра средств вычислительной техники?
5. Что необходимо зафиксировать в протоколе при осмотре документов и их носителей?
ГЛАВА 8. НАЗНАЧЕНИЕ КОМПЬЮТЕРНО-ТЕХНИЧЕСКИХ
ЭКСПЕРТИЗ ПРИ РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ В СФЕРЕ
ВЫСОКИХ ТЕХНОЛОГИЙ
8.1 Механизм следообразования в компьютерных средствах и системах
Под механизмом следообразования следует понимать специфическую конкретную форму протекания процесса, конечная фаза которого представляет собой образование следа-отображения. Элементами этого механизма являются объекты следообразования – следообразующий, следовоспринимающий и вещество следа, следовой контакт как результат взаимодействия между ними вследствие приложения энергии к объектам следообразования.
Для преступлений, сопряженных с использованием компьютерных средств, одной из первых, представляющих практический интерес, была предложена следующая следовая картина:
1) следы на компьютерных средствах (в т.ч. носителях компьютерной информации), посредством которых действовал преступник на своем рабочем месте (в файловой системе, ОЗУ, аппаратно-программная конфигурация) и вне носителей информации (рукописные записи и распечатки с принтера – коды доступа, тексты программ, телефонные счета и пр.);
2) следы на «транзитных» (коммуникационных) носителях информации, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися неправомерному доступу (следы в линиях электросвязи: документированная информация о трафике через оператора телематических услуг, результаты наблюдения в ходе проведения ОРМ и следствия);
3) следы в компьютерной системе (в т.ч. на носителях информации компьютерной системы), в которую осуществлен неправомерный доступ, либо иные противоправные действия (изменения в файловой системе, ОЗУ, аппаратно-программной конфигурации и пр.);
4) следы на компьютерных средствах, которые сопряжены с иными (не только в сфере компьютерной информации) преступлениями – криминалистически значимая информация в компьютерах, органайзерах, мобильных телефонах, смарт-картах и пр.
8.2 Типовые следообразующие признаки преступной деятельности в
сфере телекоммуникации
Анализ преступлений, совершенных в сфере телекоммуникации, показывает, что при организации доступа к сети сотовой связи характерны следы, следообразующие и следовоспринимающие объекты, типовые для хищений, подделки документов, неправомерного доступа к охраняемой законом компьютерной информации и другие. Характерные следы преступного пользования ресурсами связи зависят от технологических особенностей их построения, например, в результате криминального пользования ресурсами сотовой связи типовые следы остаются на следующих типовых объектах[96] :
1. Объекты, находящиеся в ведении преступника:
- похищенная у легального пользователя подвижная абонентская станция;
- клонированная подвижная абонентская станция;
- подвижная абонентская станция, доработанная на техническом и программном уровне для осуществления сканирования идентификационных данных (номеров) легальных пользователей (ESN, MIN и др.);
- сканирующие технические устройства, мониторы сотовой связи (кустарного или промышленного изготовления) и т.д.;
- технический комплекс, представляющий собой комбинацию сканнера, компьютера и сотового телефона (так называемый сотовый кэш-бокс)
- средства компьютерной техники: гибкий (floppy) диск (дискета); дисковод; накопитель на жестких магнитных дисках («винчестер»); компактные диски (CD ROM); программаторы;
- бумажные носители (рукописные записи, распечатки).
На указанных объектах возникают следующие типовые следы:
1) материальные следы:
- следы пальцев, микрочастицы и т.п. (на клавиатуре, дискетах, внутри абонентской подвижной станции и т.д.);
- установленные кустарным способом дополнительные микросхемы в абонентскую подвижную станцию;
- конструктивно-технические изменения электронных схем абонентской подвижной станции;
- инструкции, связанные с использованием технического оборудования, выступающего в качестве орудий преступления (сканирующие приемники, мониторы сотовой связи кустарного или промышленного изготовления и т.д.);
- инструкции по вводу и выводу из электронной записной книжки абонентской подвижной станции идентификационных данных (номеров) легальных пользователей и т.д.
2) виртуальные следы[97] :