Методика расследования компьютерных преступлений

Резолютивная часть должна содержать поставленные следователем вопросы, подлежащие разрешению. Доказательственное значение экспертиз, по нашему мнению, во многом зависит от формулировок вопросов, поставленных следователем перед экспертом. Во всех случаях они должны быть сформулированы кратко и информативно.

В связи с техническим прогрессом и цифровой революцией, суть которой заключается в нивелировании границ между бытовыми приборами, персональными компьютерами и устройствами связи, благодаря их соединению в единую цифровую систему, все больше современных электронных приборов изготавливаются на базе микропроцессоров - это контрольно-кассовые машины, мобильные телефоны, электронные записные книжки, аудио-видеоресиверы, микроволновые печи, стиральные машины, холодильники и т.д. Учитывая сказанное, мы глубоко убеждены в том, что отнесение различных технических приборов к средствам компьютерной техники является исключительно компетенцией эксперта.

Как показало изучение материалов следственной практики, при расследовании несанкционированного доступа к компьютерной информации компьютерно-технические экспертизы назначались в 58,8% уголовных дел. При этом объектами исследования становились: средства компьютерной техники, при помощи которых осуществлен неправомерный доступ - в 75% случаев; средства компьютерной техники, к которым совершен неправомерный доступ - в 30% случаев; сетевое аппаратное, программное или информационное обеспечение, а также носители компьютерной информации - в 15% случаев.

Проведение компьютерно-технических экспертиз позволяло: а) установить возможность осуществления доступа с помощью представленного на исследование объекта к локальной или глобальной сети (Интернет, сети мобильной связи и т.п.) - в 70% экспертиз; б) выявить информационные следы преступления - в 55% случаев; в) определить вид последствий неправомерного доступа к компьютерной информации либо установить причастность лица к совершению преступления, либо определить механизм совершения неправомерного доступа - в результате проведения 40% экспертиз.

Компьютерно-техническая экспертиза как самостоятельный вид экспертизы сформировалась около 10 лет назад и в настоящее время находится в постоянном развитии: расширяется круг объектов экспертизы, совершенствуются методы их исследований, формируются методики проведения экспертиз. Причиной для этого послужила массовая компьютеризация в России.  При этом состояние развития и совершенствования для данного вида экспертиз является внутренне обусловленным и диктуется научно-техническим прогрессом в сфере новых средств вычислительной техники и телекоммуникационных систем.

В ходе расследования неправомерного доступа к компьютерной информации, наряду с компьютерно-техническими экспертизами, в 17,6% случаев возникала необходимость проведения ряда других судебных экспертиз. Так, при неправомерном доступе к контрольно-кассовым машинам целесообразно проведение судебно-бухгалтерской экспертизы, целью которой выступает  определение примерного размера сокрытой от налогообложения прибыли, объема материального ущерба, причиненного преступлением, и т.п. При обнаружении на месте происшествия различных записных книжек, черновых записей, схем, рукописных инструкций и т.п., содержание которых имеет существенное доказательственное значение, с целью установления автора данных записей целесообразно назначение почерковедческой экспертизы9. Если в ходе проведения оперативно-розыскных мероприятий удается получить фонограммы телефонных переговоров подозреваемого (обвиняемого), для процессуального подтверждения участия в переговорах конкретного лица необходимо назначить проведение фоноскопической экспертизы.

Подчеркнем, что результаты проведения экспертиз, не относящихся к компьютерно-техническим, часто позволяют не только определить причастность (непричастность) конкретного лица к совершению преступления, но и установить важные обстоятельства механизма совершения неправомерного доступа к компьютерной информации.

Одной из главных проблем появившегося в последние годы так называемого компьютерного права является проблема определения компьютерных преступлений. Существующее и наиболее распространенное определение компьютерного преступления - преступление, совершенное с использованием компьютерной техники или направленное против безопасности компьютерной информации, не отвечает потребностям науки и практики сегодняшнего дня и нуждается в значительном уточнении.

ГЛАВА 2. ПРАКТИЧЕСКИЕ АСПЕКТЫ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В ОБЛАСТИ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ

2.1. Основные следственные версии, выдвигаемые при расследовании преступлений в сфере компьютерной информации

После получения первичной информации следователь переходит к логическому построению версий. При выдвижении версий совершения преступлений в области компьютерной информации необходимо учитывать, что они, как правило, совершаются обычно группой из двух и более человек, хотя не исключена возможность работы преступника в одиночку. В таком случае он сам или, если действует группа, один из ее членов является либо сотрудником данного учреждения, либо имеет свободный доступ к компьютерам (представитель службы технической или программной поддержки, программист, работающий по контракту и т.д.), умеет работать с вычислительной техникой, хорошо представляет, какая информация и где расположена в компьютере, что значительно облегчает наступление преступного результата. Интерес обычно представляет информация, содержащая коммерческую или государственную тайну (например, информация базы данных перемещения наркотических средств, вооружения и т.д.).

В основном, информация лицами совершающими преступление копируется на магнитный носитель, хотя не исключена возможность передачи ее по сетям телекоммуникации, распечатки на бумаге, кино-, фото-, видеосъемки изображения экрана и действий оператора или перехват с помощью специальных технических средств. Копирование может осуществляться как на портативный компьютер (Notebook) с подключением его к локальной вычислительной сети, так и непосредственно к последовательному или параллельному порту конкретной ЭВМ с помощью специального кабеля.

Преступление чаще всего совершается в рабочее время и внешне не отличается от обычной работы в учреждении. Похищенная информация может быть использована в дальнейшем самими преступниками для подготовки преступлений или может быть продана, передана другим лицам.

Учитывая определенные обстоятельства, следователь выдвигает и проверяет следующие общие версии:

1. Преступление совершено  сотрудником данного учреждения, либо лицом, имеющим свободный  доступ к компьютерной технике.

2. Преступление совершено посторонним лицом, входящим в круг родственников, друзей, знакомых сотрудников учреждений.

3. Преступление совершено  группой лиц по предварительному  сговору или организованной группой  с участием сотрудника данного  учреждения, либо лица, имеющего  свободный доступ к компьютерной  технике и в совершенстве владеющего навыками работы с ней.

4. Преступление совершено  лицом или группой лиц, не связанных  с деятельностью учреждения и  не представляющих ценность компьютерной  информации.

Приведенный перечень следственных версий является общим, и в зависимости от сложившейся конкретной ситуации, может быть расширен.

Таким образом, лица совершающие преступления в сфере компьютерных технологий, точно знают какая информация, где содержится, в связи с осуществлением ими своей профессиональной деятельности или достаточной осведомленностью о необходимой информации.

2.2. Методика расследования преступлений в сфере компьютерной информации

В процессе расследования уголовного дела по данной категории главные следственные задачи следует решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.
2. Установление места несанкционированного проникновения в компьютерную систему или сеть.
3. Установление времени совершения преступления.
4. Установление надежности средств защиты компьютерной информации.
5. Установление способа несанкционированного доступа.
6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.
7. Установление вредных последствий преступления.
8. Выявление обстоятельств, способствовавших совершению преступлению.

На признаки неправомерного доступа или подготовки к нему могут указывать следующие обстоятельства: появление в компьютере фальшивых или измененных данных; не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств; частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети; осуществление сверхурочных работ без видимых на то причин; немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков; неожиданное приобретение сотрудником домашнего дорогостоящего компьютера; чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр; участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров и т.д.

Установить место и время применения технических средств удаленного неправомерного доступа, не входящих в данную информационную сеть или систему, на практике бывает достаточно трудно. Для определения этих данных необходимо привлекать специалистов, где нам пригодятся их познания в данной области. Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Эксперту необходимо задать вопрос: «Каким способом мог быть совершен неправомерный доступ в данную компьютерную систему?». Необходимо представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

Несанкционированный доступ к закрытой компьютерной сети или системе является технологически весьма сложным действием. Совершить такие действия могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с лиц имеющих доступ к пострадавшим компьютерным сетям или системам (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем тяжелее в техническом отношении способ проникновения в компьютерную сеть или систему, тем легче выявить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно использовать следующую последовательность действий:

1. Установление факта и способа создания вредоносной программы для ЭВМ.
2. Установление факта использования и распространения вредоносной программы.
3. Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.
4. Установление вреда, причиненного данным преступлением.
5. Установление обстоятельств, способствовавших совершению расследуемого преступления.

При расследовании нарушения правил эксплуатации ЭВМ, сети ЭВМ или их системы, прежде всего необходимо доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, нужно установить и доказать: место и время (период времени) нарушения правил эксплуатации ЭВМ; характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети; способ и механизм нарушения правил; характер и размер ущерба, причиненного преступлением; факт нарушения правил определенным лицом; виновность лица, допустившего преступное нарушение правил эксплуатации ЭBM; обстоятельства, способствовавшие совершению расследуемого преступления.

Следователю необходимо знать, что существует большое количество особенностей, которые нужно учитывать при производстве отдельных следственных действий, на основании данных особенностей следователь должен тщательно подготовится к их проведению. Рассмотрим некоторые из них.

Если у следователя есть информация, что на месте обыска находятся средства компьютерной техники, расшифровка данных с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Следует обеспечить участие в ходе обыска специалиста по компьютерной технике. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации. Для этого необходимо: не разрешать никому из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ; не разрешать кому бы то ни было из персонала выключать электроснабжение объекта; в случае, если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте; самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен.