Информация и информационные правоотношения все чаще становятся новым предметом преступного посягательства. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).
Общий объект данных преступлений общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.
Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация это зафиксированные на материальном носителе сведения с реквизитами, которые позволяют их идентифицировать. Компьютерная информация считается документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя.
К машинным носителям компьютерной информации относятся блоки памяти ЭВМ, ее периферийные системы, компьютерные средства связи, сетевые устройства и сети электросвязи.
Ответственность по ст. 272 УК РФ наступает в случае, если неправомерный доступ к компьютерной информации привел к таким опасным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.
Уничтожением считается такое изменение информации, которое лишает ее первоначального качества, вследствие чего она перестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией ее видоизменение с появлением новых, нежелательных свойств. Копирование это воспроизведение точного или относительно точного аналога оригинала; а нарушение работы ЭВМ, их системы или сети замедление, зацикливание, прекращение действия программы, нарушение порядка выполнения команд, отказ в выдаче информации, отключение элементов компьютерной системы, другие нештатные ситуации. При этом системой считается взаимосвязанная совокупность компьютеров с их единым организационно-техническим обеспечением, а сетью объединение систем ЭВМ, действующих на определенной территории.
При расследовании неправомерного доступа к компьютерной информации обстоятельства содеянного устанавливаются в такой очередности:
1) факт неправомерного доступа к информации в компьютерной системе или сети;
2) место несанкционированного проникновения в эту систему или сеть;
3) время совершения преступления;
4) способ несанкционированного доступа;
5) степень надежности средств защиты компьютерной информации;
6) лица, совершившие неправомерный доступ, их виновность и мотивы преступления;
7) вредные последствия содеянного.
Для рассматриваемых преступлений характерны такие ситуации начала расследования:
1. Собственник компьютерной системы обнаружил нарушение ее целостности и (или) конфиденциальности, установил виновное лицо и заявил о случившемся в правоохранительные органы.
2. Собственник самостоятельно выявил названные нарушения, однако не смог установить злоумышленника и заявил о случившемся.
3. Сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъекте стали известны или непосредственно обнаружены компетентным органом, владелец компьютерной системы этот факт скрывает.
4. Правоохранительным органом обнаружены признаки противоправного вторжения в компьютерную систему, виновное лицо и владелец информации неизвестны.
Факт неправомерного доступа к информации обнаруживают, как правило, пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСНП России. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по расследуемым делам.
Признаками несанкционированного доступа или подготовки к нему могут служить:
а) появление в компьютере искаженных данных;
б) длительное необновление кодов, паролей и других защитных средств компьютерной системы;
в) увеличение числа сбоев в работе ЭВМ;
г) участившиеся жалобы пользователей компьютерной системы или сети.
Таким фактам могут предшествовать или сопутствовать:
1) осуществление без необходимости сверхурочных работ;
2) немотивированные отказы отдельных сотрудников, обслуживающих компьютерную систему или сеть, от очередного отпуска;
3) приобретение работником для личного пользования дорогостоящего компьютера;
4) чистые дискеты или диски, принесенные на работу кем-то из сотрудников компьютерной системы под предлогом копирования программ для компьютерных игр;
5) участившиеся случаи перезаписи отдельных данных без серьезных на то причин;
6) необоснованный интерес некоторых работников к содержанию чужих принтерных распечаток;
7) повторный ввод в компьютер одной и той же информации и др.
Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду:
а) нарушения принятых правил оформления документов и изготовления машинограмм;
б) лишние документы, подготовленные для обработки на ЭВМ;
в) несоответствие информации, содержащейся в первичных документах, данным машинограмм;
г) преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации. Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например халатности персонала, случайных ошибок и сбоев компьютерной техники.
Место несанкционированного проникновения в компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств, но для этого также приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.
Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях.
Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.
Время несанкционированного доступа можно определить с помощью программ общесистемного назначения. В работающем компьютере они обычно фиксируют текущее время. Если данная программа функционирует, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируется в оперативной памяти. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или дискет, производимого с участием специалиста, чтобы информация, находящаяся в оперативной памяти ЭВМ или на дискете, не была случайно стерта. В качестве специалистов могут выступать, например, сотрудники информационных центров МВД, ГУВД, УВД субъектов Российской Федерации.
Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме.
Способы преступных манипуляций в сфере компьютерной информации могут быть разделены на две большие группы. Первая группа осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть:
а) хищение машинных носителей информации в виде блоков и элементов ЭВМ;
б) использование визуальных, оптических и акустических средств наблюдения за ЭВМ;
в) считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих систем;
г) фотографирование информации в процессе ее обработки;
д) изготовление бумажных дубликатов входных и выходных документов, копирование распечаток;
е) использование оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, фиксация их разговоров;
ж) осмотр и изучение не полностью утилизированных отходов деятельности компьютерных систем;
з) вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации, получение от них под разными предлогами нужных сведений и др.
Для таких действий, как правило, характерна достаточно локальная следовая картина. Она определяется тем, что место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают. Приемы их исследования достаточно традиционны.
Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств. Тогда несанкционированный доступ реализуется с помощью различных способов: подбором пароля, использованием чужого имени, отысканием и применением пробелов в программе, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. При этом следует учитывать выявленную следовую картину. У них необходимо выяснить как преступник мог проникнуть в защищенную систему, например узнать идентификационный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защиты системы или сети ЭВМ (см. схему).
┌───────────────────────────┐
┌────────────────────────────────────┤ Следы преступных действий │
│ └─┬───────────────────────┬─┘
│ ┌──────────────────────────────────────┐ ┌───────────────────────────────┐
│┌──┤ В ЭВМ и на машинных носителях │ │ В линиях электросвязи ├──────┐
││ └──────────────────────────────────────┘ └───────────────────────────────┘ │
││ ┌────────────────────────────┐ ┌────────────────────────────────────┐ │
│├─ │ Изменения в ОЗУ │ │ Документированная информация о │ │
││ └────────────────────────────┘ │ прохождении сигнала через оператора│◄───┤
││ ┌────────────────────────────┐ └───┬────────────────────┬───────────┘ │
││ │ Специализированная │ ▼ ▼ │
│├─ │ конфигурация оборудования │ ┌─────────────────────┐ ┌─────────────────────────┐ │
││ │ │ ┌───┤ Документы │ ┌──┤ Компьютерная информация │ │
││ └────────────────────────────┘ │ └─────────────────────┘ │ └─────────────────────────┘ │
││ ┌────────────────────────────┐ │ ┌─────────────────────┐ │ ┌─────────────────────────┐ │
││ │ Специальная конфигурация │ │ │ Документы, │ ├─ │Базы данных, фиксирующие │ │
│├─ │ программ работы в сетях │ ├── │ регистрирующие │ │ │ соединения │ │
││ └────────────────────────────┘ │ │соединения абонентов │ │ └─────────────────────────┘ │
││ ┌────────────────────────────┐ │ └─────────────────────┘ │ ┌─────────────────────────┐ │
│└─ │ Следы в файловой системе │ │ ┌─────────────────────┐ │ │ Коммутаторы, │ │
│ └─┬───────────┬────────────┬─┘ │ │ Протоколы │ └─ │ осуществляющие и │ │
│ │ ▼ │ ├── │взаиморасчетов между │ │регистрирующие соединения│ │
│ │ ┌──────────────────┐ │ │ │ операторами │ └─────────────────────────┘ │
│ │ │Копии чужих файлов│ │ │ └─────────────────────┘ │
│ │ └──────────────────┘ │ │ ┌─────────────────────┐ │
│ ▼ ▼ │ │ Платежные документы │ │
│ ┌────────────┐┌────────────────┐ └── │ об оплате трафика │ │
│ │ Программное││Специализирован-│ │ между операторами │ │
│ │ обеспечение││ное "хакерское" │ └─────────────────────┘ │
│ │для создания││ программное │ ┌─────────────────────────┘
│ │ программ ││ обеспечение │ │
│ └────────────┘└────────────────┘ ▼
│ ┌────────────┐ ┌─────────────────────────────────────────────────────────┐
│ │ Прочие │ │Результаты наблюдения при проведении оперативно-розыскных│
└────────────────────── │ │ │ мер и предварительного следствия │
└──┬─────────┘ └─────────────────────────┬───────────────────────────────┘
┌───────────────────────┐ │ ┌─────────────────────────────────┐ │
│ Рукописные записи │◄─┼─ │Описания программного обеспечения│ │ ┌────────────────────────────┐
│и принтерные распечатки│ │ └─────────────────────────────────┘ ├─ │Пеленгация источника сигнала│
└┬──────────────────────┘ │ ┌─────────────────────────────────┐ │ └────────────────────────────┘
│ ┌───────────────────┐ │ │ Инструкции по пользованию ЭВМ и │ │ ┌────────────────────────────┐
├─ │ Коды доступа │ ├─ │ ее устройствами │ │ │ Прослушивание телефонных и │
│ └───────────────────┘ │ └─────────────────────────────────┘ ├─ │ иных переговоров │
│ ┌───────────────────┐ │ ┌─────────────────────────────────┐ │ └────────────────────────────┘
├─ │ Текста программ │ │ │ Устройства доступа в телефонные │ │ ┌────────────────────────────┐
│ └───────────────────┘ ├─ │ сети и сети ЭВМ │ │ │ Прохождение криминального │
│ ┌───────────────────┐ │ └─────────────────────────────────┘ └─ │ сигнала через оператора │
│ │ Записные книжки с │ │ ┌─────────────────────────────────┐ └────────────────────────────┘
└─ │ именами других │ ├─ │ Нестандартные периферийные │
│ хакеров │ │ └─────────────────────────────────┘
└───────────────────┘ │ ┌─────────────────────────────────┐
└─ │ Счета телефонных компаний │
└─────────────────────────────────┘
Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) компьютерной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.
Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?" Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.
В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в электронном оборудовании.
Выясняя надежность средств защиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкционированного доступа, в том числе к определенным файлам. Это возможно в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты информации, поскольку для обеспечения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкционированного доступа.
Так, законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а кроме того обязательное лицензирование всех видов деятельности в области проектирования и производства названных средств. Поэтому в процессе расследования необходимо выяснить: 1) есть ли лицензия на производство средств защиты информации, задействованных в данной компьютерной системе, от несанкционированного доступа и 2) соответствуют ли их параметры выданному сертификату. Ответ на последний вопрос может дать информационно-техническая экспертиза, с помощью которой выясняется: соответствуют ли средства защиты информации от несанкционированного доступа, использованные в данной компьютерной системе, выданному сертификату? Правда, ответственность за выявленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.
При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации, другие сотрудники.
Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен.
Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются криминалистические экспертизы дактилоскопическая, почерковедческая и др.
Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует прежде всего ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.
У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике, незаинтересованного в исходе дела.
Доказать виновность и выяснить мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, можно лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется:
1) с какой целью совершен несанкционированный доступ к компьютерной информации;
2) знал ли правонарушитель о системе ее защиты;
3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.
Вредные последствия неправомерного доступа к компьютерной системе или сети могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютерными программами, а также информацией путем изъятия машинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в компьютерную систему вредоносного вируса, ввод заведомо ложных данных и др.
Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обнаруживают сами работники банков, устанавливаются они и в ходе оперативно-розыскных мероприятий. Сумма хищения определяется посредством судебно-бухгалтерской экспертизы.
Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получение информации из различных компьютерных систем, ее копирование и размножение с целью продажи либо использования в других преступных целях (например, для сбора компрометирующих данных на кандидатов на выборные должности различных представительных и исполнительных органов государственной власти).
Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация конфиденциальна или имеет категорию государственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.
Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, "закачки" в информационную систему заведомо ложных сведений выявляются прежде всего самими пользователями компьютерной системы или сети. Следует учитывать, что не все эти негативные последствия наступают в результате умышленных действий. Их причиной могут стать случайные сбои в работе компьютерного оборудования, происходящие довольно часто.
При определении размера вреда, причиненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных. Помогут здесь и допросы технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения.
На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.
К этим обстоятельствам относятся:
1) неэффективность методов защиты компьютерной информации от несанкционированного доступа;
2) совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения;
3) неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций, действий программ и обслуживающего персонала;
4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации.
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Правовое регулирование отношений в области компьютерной информации. Общая характеристика преступлений в сфере компьютерной информации. Расследование преступления. Фабула и предварительный план расследования.
курсовая работа , добавлен 24.10.2004
Виды преступлений в сфере компьютерной информации, их криминалистические особенности, суть конфиденциальности. Типичные орудия подготовки, совершения и сокрытия преступлений, организация расследования, назначение компьютерно-технической экспертизы.
реферат , добавлен 22.05.2010
Преступления в сфере компьютерной информации. Основные понятия и классификация компьютерных преступлений, методы их предупреждение. Методика раскрытия и расследования компьютерных преступлений. Статьи российского законодательства, примеры уголовных дел.
презентация , добавлен 26.05.2012
История компьютерной преступности. Общая характеристика преступлений в сфере компьютерной информации. Пробелы уголовно-правового регулирования неправомерного доступа к компьютерной информации. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
курсовая работа , добавлен 04.07.2010
Понятие компьютерной информации, развитие информационных отношений, последствия информатизации общества. Сущность и общая характеристика преступлений в сфере компьютерной информации. Способы защиты компьютерной информации от преступных посягательств.
реферат , добавлен 15.11.2011
Понятие и тенденции преступлений в сфере компьютерной информации. Объективная и субъективная сторона неправомерного доступа к компьютерной информации. Анализ состояния уголовно-правовой борьбы с данным видом преступлений, пути ее совершенствования.
дипломная работа , добавлен 09.01.2013
Криминалистическая характеристика преступлений в сфере предпринимательства. Анализ преступлений в сфере предпринимательской деятельности. Методика и тактика расследования преступлений в сфере предпринимательской деятельности (следственные ситуации).
курсовая работа , добавлен 25.06.2014
Благодарим Вас за посещение http://Ndki. *****
Вехов расследования преступлений в сфере компьютерной информации // Современные проблемы криминалистики: Межвуз. сб. науч. тр. – Волгоград: ВЮИ МВД России, 1999. – С. 176 – 180.
(ВЮИ МВД Р оссии)
ПРОБЛЕМЫ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ
В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
Стремительное наращивание процессов компьютеризации российского общества привело к возникновению новых видов преступных посягательств, ранее неизвестных отечественной юридической науке и практике, связанных с использованием средств электронно-вычислительной техники и информационно-обрабатывающих технологий . Это обстоятельство потребовало от российского законодателя принятия срочных адекватных правовых мер противодействия преступлениям нового вида. В связи с чем, они были выделены в специальную главу Уголовного кодекса Российской Федерации, получившую название «Преступления в сфере компьютерной информации».
В настоящее время органами внутренних дел Российской Федерации
расследуется значительное число вышеуказанных преступлений. Обобщение следственной практики показало, что в ходе расследования уголовных дел возникает ряд проблем, требующих правильного уголовно-процессуального разрешения. Следователи, производящие расследование преступлений в сфере компьютерной информации, сталкиваются со многими, подчас неразрешимыми трудностями, среди которых выделяются следующие: сложность в определении квалификации преступных деяний; сложность в подготовке и проведении различных следственных действий; сложность в подготовке и назначении программно-технической экспертизы средств электронно-вычислительной техники и охраняемой законом компьютерной информации, в формулировке вопросов, выносимых на рассмотрение эксперта; отсутствие по некоторым вопросам соответствующих специалистов, необходимых для привлечения в ходе следствия; отсутствие элементарных познаний в области автоматизированной обработки и передачи данных и информации.
В результате совокупного взаимодействия указанных выше факторов на практике сложилась ситуация, которая существенно затрудняет возможность своевременного обнаружения преступления и полного сбора доказательств на первоначальном этапе работы по делу. Отчасти, это подтверждается и данными социологического опроса, проведенного автором настоящей статьи в 1997–1998 учебном году на факультете повышения квалификации следственных работников Волгоградского МВД России. Так, например, 86% опрошенных руководителей следственных подразделений городских и районных управлений (отделов) органов внутренних дел и 90% следователей - методистов считают, что во вверенных им подразделениях нет следователей, способных успешно расследовать преступления в сфере компьютерной информации.
Анализ следственной практики показывает, что основной проблемой при выявлении и расследовании преступлений в сфере компьютерной информации является отсутствие у сотрудников минимально необходимых специальных познаний в этой области. Большая сложность возникает в вопросах терминологии, определения понятия составных частей ЭВМ, системы ЭВМ и компьютерных сетей, правильного понимания общего режима их функционирования в различных технологических процессах. Все это приводит к тому, что многие нормативные документы, регламентирующие правовой режим функционирования средств электронно-вычислительной техники и обработки охраняемой законом компьютерной информации остаются неизвестными и соответственно не учитываются в процессе проведения оперативно-розыскных мероприятий и следственных действий, что в конечном итоге значительно затрудняет выявление преступлений, сказывается на полном и объективном расследовании уголовных дел данной категории.
Особенно много ошибок возникает при производстве следственных действий, которые, как правило, проводятся без участия соответствующего
специалиста и без учета специфики расследуемого преступления. Так, при осмотре места происшествия изымаются не все средства электронно-вычислительной техники и машинные носители информации, несущие в себе следы преступной деятельности (в том числе и в виде компьютерной информации), имеющие важное значение для следствия, а те из них, которые изымаются, не могут впоследствии играть роль доказательств (в соответствии со ст. 69 и 83 УПК РСФСР), так как их изъятие в подавляющем большинстве случаев производится с нарушением установленного порядка и правил, учитывающих специфику предмета, в результате чего теряется их процессуальное значение.
Помимо вышеназванного, существует целый ряд других особенностей, которые должны учитываться при производстве отдельных следственных действий. В числе последних представляется возможным выделить: осмотр места происшествия; осмотр машинного носителя информации; осмотр документа, созданного средствами электронно-вычислительной техники; осмотр средства электронно-вычислительной техники как носителя охраняемой законом компьютерной информации; обыск и выемка; назначение программно-технической экспертизы.
Зарубежный опыт и отечественная практика свидетельствуют о том, что следователь должен обладать определенными познаниями и навыками в этой области и, как минимум, сам являться пользователем ЭВМ, поскольку без этого невозможно полное и объективное расследование уголовных дел данной категории. Ярким примером, может служить уголовное дело, расследованное СУ УВД Волгоградской области . Уголовное дело было возбуждено по признакам преступления, предусмотренного ч. 1 ст. 273 УК России в отношении гр-на Л., который 30 августа 1997 года в квартире одного из домов, находящегося в Центральном районе города Волгограда с принесенного с собой машинного носителя информации – дискеты диаметром 3,5 дюйма загрузил в систему персонального компьютера гр-на С. четыре вредоносные программы для ЭВМ. Гр-н Л. был задержан на месте совершения преступления; машинный носитель информации и персональный компьютер - изъяты. Следователю, обладающему специальными познаниями в области средств электронно-вычислительной техники и являющегося профессиональным пользователем ЭВМ, не составило особого труда грамотно и методически правильно спланировать, организовать и с успехом провести все необходимые следственные действия на первоначальном этапе расследования преступления. Вина подозреваемого была полностью доказана; сроки следствия соблюдены. Состоявшийся в конце октября 1997 года суд признал Л. виновным и определил следующую меру наказания: 2 года лишения свободы условно и штраф в размере 11 млн. 500 тыс. неденоминированных рублей.
Расследование подобных преступлений вызывает серьезные
затруднения в документировании преступной деятельности, выявлении преступников и требует привлечения специалистов в области электронно-вычислительной техники, защиты конфиденциальной информации, средств и систем электросвязи.
Оставляет желать лучшего и положение с подготовкой соответствующих специалистов. Отечественное положение дел в этом направлении резко контрастирует с зарубежным, где данной проблеме в последние годы уделяется все более повышенное и пристальное внимание со стороны государственных органов. Например, в ФРГ в учебных заведениях системы МВД в курс «Экономические преступления» введен специальный раздел, касающийся вопросов выявления и расследования преступлений, связанных с автоматической обработкой информации в компьютерных системах. В Академии ФБР в США с 1976 г. для слушателей читается специальный трехнедельный учебный курс по теме «Техника расследования преступлений, связанных с использованием компьютеров». Помимо вышеуказанного, в каждом низовом структурном подразделении ФБР имеется штатный специалист по расследованию таких преступлений, а с 1982 г. функционирует специальное подразделение численностью 500 человек. В Канаде работает группа специалистов уголовной полиции, занимающихся выявлением и расследованием преступлений рассматриваемой категории в масштабе всей страны; в Швеции – штатная численность такого подразделения составляет 150 человек.
Давно назрела необходимость создания подобных подразделений и в системе органов внутренних дел Российской Федерации с учетом богатого зарубежного опыта. Отсутствие последних, по оценкам некоторых отечественных специалистов, уже привело к тому, что преступления рассматриваемой категории фактически выпали из сферы контроля правоохранительных органов, что неминуемо грозит к 2000 г. перерасти в серьезную государственную проблему, как это уже было ранее в зарубежных странах.
В тоже время, и это подчеркивается многими отечественными и зарубежными специалистами, необходимо проводить систематическую специальную подготовку сотрудников правоохранительных органов в целях повышения их квалификации в области автоматической обработки информации. Комитетом по законодательству Совета Европы после комплексного исследования данной проблемы было указано, что наиболее распространенным негативным фактом в практике сотрудников полиции европейских государств является недооценка компьютерной информации как возможного вещественного доказательства в целом, когда при расследовании преступлений других категорий, следователи
«просто проходят мимо компьютеров и той информации, которая в них содержится».
В настоящее время, общее положение дел таково, что расследование преступлений вышеуказанной категории ведется лишь сотрудниками отделов по борьбе с экономической преступностью, не имеющих соответствующей специализации и необходимых познаний в сфере компьютерной информации. Лишь совсем недавно в Главном управлении по борьбе с преступлениями в сфере экономики МВД России было создано специализированное подразделение по выявлению и расследованию преступлений в сфере экономики, связанных с использованием компьютерной информации. Данное подразделение находится в стадии становления. Штатная численность сотрудников и материально-техническое обеспечение оставляет желать лучшего.
Проведенный научный анализ оперативно-следственной практики по делам рассматриваемой категории позволяет выделить следующие первоочередные меры, направленные на оптимизацию процесса расследования преступлений в сфере компьютерной информации, а именно:
– разработка комплексной криминалистической методики расследования данного вида преступных посягательств;
– создание специальных подразделений, либо выделение отдельных сотрудников на территориальном уровне, специализирующихся на выявлении, расследовании и предупреждении преступлений в сфере компьютерной информации;
– создание базового координационного экспертно-криминалисти-ческого центра по рассматриваемому кругу проблем, например, на базе экспертно-криминалистического центра МВД России в г. Москве;
– введение в планы проведения занятий учебных заведений МВД России специального курса
Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений.
При расследовании преступлений с использованием компьютерных технологий, которые совершаются не только в физическом, но и в электронном мире, основой установления истины по уголовному делу является процесс доказывания, который состоит в собирании, проверке и оценке доказательств.
Вещественными доказательствами являются любые предметы, в том числе документы, которые могут служить средствами для обнаружения преступления и установления обстоятельств уголовного дела (ч. 1 ст. 81 УПК РФ). Документы могут содержать сведения, зафиксированные как в письменном, так и в ином виде. К ним следует отнести носителей информации, полученных компетентными лицами в ходе производства следственных и иных процессуальных действиях. Компьютерную информацию в процессе доказывания следует рассматривать как документ, поскольку она обладает признаками документов:
1. Компьютерная информация исходит от органов государственной власти, органов местного самоуправления, общественных объединений и организаций, учреждений, предприятий, должностных лиц и граждан, которые обязаны в установленном порядке предоставлять запрашиваемые документы или их копии.
2. Компьютерную информацию, запечатлённую на магнитном носителе, следует считать доказательством, в том случае если сведения о фактах, изложенных в ней, служат средствами для обнаружения преступления и имеют значение для установления обстоятельств уголовного дела.
3. Компьютерная информация приобретает значение доказательств, когда она отвечает требованиям допустимости.
Доказательства, полученные с нарушением требований УПК РФ, являются недопустимыми, они не имеют юридической силы и не могут быть положены в основу обвинения.
Компьютерная информация может использоваться в качестве доказательства по уголовному делу вследствие запросов суда, прокурора, следователя, дознавателя или изъятия её во время следственных действий.
Учитывая, что практического опыта следователя, как правило, не достаточно для расследования преступлений в виртуальном мире, то при проведении следственных действий необходимо обратиться к помощи специалиста, который бы обладал специальными знаниями в области кибернетики и информатики с целью получения фактических данных, содержащихся в памяти компьютера и компьютерной документации.
Помощью специалиста следует воспользоваться до возбуждения уголовного дела при осмотре места происшествия, связанного с совершением преступлений в компьютерных сетях, что вызвано необходимостью обнаружения и закрепления следов преступления. После возбуждения уголовного дела, знания специалиста помогут проследить цепь сеансов связи от того компьютера, где найдены следы преступления, до компьютера на котором работал подозреваемый. Для сбора доказательств виновности лица в совершении преступления с использованием глобальных компьютерных сетей, следователю следует провести выемку или обыск, прибегая к помощи специалиста с целью получения документированной информации в виде LOG-файлов в соответствии с требованием ч.4 ст. 32 Федерального закона №15 «О связи» от 16 февраля 1995 года. Но, здесь существует проблема, которая требует законодательного разрешения, поскольку изъятие информации – «виртуальных следов» при обыске или выемке не могут обеспечить их сохранность в том виде, в каком они обнаружены. Возможно, произвести лишь копирование этой информации, в результате чего неминуемо произойдут изменения в файле связанные с датой и временем данной операции, замещаясь временем самого копирования, что влечёт утрату информации о фактической дате и времени копируемого файла. Неурегулированность данного обстоятельства в нормах УПК РФ и других законодательных актах является существенным препятствием признания копируемой информации доказательством по уголовному делу. Не часто, но иногда появляется возможность вместо копирования информации произвести выемку системного блока либо других аппаратных средств компьютерной техники с целью проведения экспертных исследований и получения заключения эксперта, что признаётся доказательством. Но, такая возможность может появиться лишь, в случае если эти действия не послужат причиной материального ущерба в отношении пользователей локальной сети, а также, если преступление совершается на территории России, что относится в полной мере и в отношении серверов и провайдеров. Изъятие технических средств невозможно, когда преступление совершается в глобальных компьютерных сетях, а «виртуальные следы» имеются лишь в сегментах этих сетей за пределами нашего государства.
Принципиальная схема организации взлома защитных механизмов информационных системы достаточно однотипна. Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Они снимают квартиру на подставное лицо, подкупают сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников МВД. Чаще всего взлом компьютерной сети осуществляется рано утром, когда дежурный службы безопасности теряет свою бдительность, а вызов помощи затруднен. Может быть предложена некоторая общая схема расследования преступления, связанного с неправомерным доступом к компьютерной информации.
В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
· установление факта неправомерного доступа к информации в компьютерной системе или сети;
· установление места несанкционированного проникновения в компьютерную систему или сеть;
· установление времени совершения преступления;
· установление надежности средств защиты компьютерной информации;
· установление способа несанкционированного доступа;
· установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления;
· установление вредных последствий преступления;
· выявление обстоятельств, способствовавших преступлению.
На признаки несанкционированного доступа или подготовки к нему могут указывать следующие очевидные обстоятельства: появление в компьютере фальшивых данных; не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств; частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети; осуществление сверхурочных работ без видимых на то причин; немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков; неожиданное приобретение сотрудником домашнего дорогостоящего компьютера; чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр; участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров и т.д.
Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа, не входящих в данную информационную систему или сеть, на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов. Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.
Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).
Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен. При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий:
· установление факта и способа создания вредоносной программы для ЭВМ;
· установление факта использования и распространения вредоносной программы;
· установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ;
· установление вреда, причиненного данным преступлением;
· установление обстоятельств, способствовавших совершению расследуемого преступления.
При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:
· место и время (период времени) нарушения правил эксплуатации ЭВМ;
· характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;
· способ и механизм нарушения правил;
· характер и размер ущерба, причиненного преступлением;
· факт нарушения правил определенны лицом;
· виновность лица, допустившего преступное нарушение правил эксплуатации ЭBM;
· обстоятельства, способствовавшие совершению расследуемого преступления.
К сожалению следственные действия проводимые в соответствии с уголовно-процессуальным законодательством не всегда эффективны при сборе необходимой информации при расследовании компьютерных преступлений, поскольку сама информация может быть уничтожена в кратчайшие сроки заинтересованными лицами.
Для недопущения сокрытия следов преступления, имеется реальная возможность для отслеживания, фильтрации необходимой информации и установления виновного, с применением «ловушек» в системе оперативно-розыскных мероприятий на сетях электросвязи, что позволяет с помощью технических средств осуществлять её перехват.
Правовым основанием проведения оперативно-розыскных мероприятий с целью прослушивания телефонных переговоров и изъятия информации с линий связи являются Федеральные законы: «Об оперативно-розыскной деятельности», «Об упорядочении организации и проведения оперативно-розыскных мероприятий с использованием технических средств», «Об органах Федеральной службы безопасности», «О связи», которые могут использоваться МВД, ФСБ и другими компетентными органами Российской Федерации.
В соответствии со ст. 7 Федерального закона «Об оперативно-розыскной деятельности» проведение оперативно-розыскных мероприятий возможно при следующих основаниях:
1. наличии возбуждённого уголовного дела;
2. ставшие известными органам, осуществляющим оперативно-розыскную деятельность, сведения о: 1) признаках подготавливаемого, совершаемого или совершённого противоправного деяния, а также о лицах, его подготавливающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела; 2) событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации; 3) лицах, скрывающихся от органов дознания, следствия и суда или уклоняющихся от уголовного наказания; 4) лицах, без вести пропавших, и об обнаружении неопознанных трупов;
3. поручения следователя, органа дознания, указания прокурора или определения суда по уголовным делам, находящимся в их производстве;
5. постановление о применении мер безопасности в отношении защищаемых лиц;
6. запросы международных правоохранительных организаций и правоохранительных органов иностранных государств в соответствии с международными договорами Российской Федерации.
Законодателем в данной статье не указано основание для проведения оперативно-розыскных мероприятий с целью получения первичной информации о лицах и фактах, представляющих оперативный интерес. Особенно это необходимо в связи с расследованием компьютерных преступлений, для выявления лиц подготавливающих или совершивших преступления с использованием компьютерных сетей.
Следует также обратить внимание на неурегулированность п.6 ч.2 ст.7 данного закона в отношении запросов международных правоохранительных организаций и правоохранительных органов иностранных государств, поскольку в международных договорах нет нормативных указаний об осуществлении каким-либо государством за границей оперативно-розыскных мероприятий и порядке её закрепления.
Законом установлены особые условия для проведения оперативно-розыскных мероприятий, ограничивающих конституционные права человека и гражданина (ст. 8 Федерального закона «Об оперативно-розыскной деятельности») на тайну переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, передаваемых по сетям электрической и почтовой связи, а также права на неприкосновенность жилища, допускается на основании судебного решения и при наличии информации.
Уголовно-процессуальный кодекс РФ значительно расширил компетенцию суда. Аресты и обыски применяются уже не с санкции прокурора, а по решению суда, что требует увеличения дополнительных штатов, а также денежных средств для обеспечения деятельности и без того перегруженных судей. И, если в пояснительной записке по поводу расширения компетенции суда предусмотрено увеличение штата сотрудников, то в отношении отыскания дополнительных бюджетных средств для работы судей речи не ведётся. Закон не подкреплённый деньгами не может быть прогрессивным в отношении населения государства, поскольку становится мертвым.
Высокие требования, предъявляемые к процедуре расследования преступлений в сфере высоких технологий, требуют законодательного урегулирования этой проблемы путём внесения изменений и дополнений в уголовно-процессуальной законодательство Российской Федерации.
В. Голубев
Выступление 26 февраля 2003 г.
на Southeast Cybercrime Summit
в Атланте, США
Расследование компьютерных преступлений существенно отличаются от расследований других "традиционных" преступлений. По данным уголовным делам чаще всего допускаются ошибки, что зачастую объясняется отсутствием надлежащего уровня теоретической и практической подготовки оперативных работников и следователей. Изучение уголовных дел этой категории дает основание полагать, что одной из существенных причин низкого качества следствия является отсутствие систематизированных и отработанных методик расследования компьютерных преступлений, а также ошибки, которые совершаются при проведении следственных действий в отношении компьютерной информации либо самих компьютеров.
Результаты анализа практической деятельности правоохранительных органов по расследованию компьютерных преступлений свидетельствуют о том, что исследование компьютерной техники целесообразно проводить в условиях криминалистической лаборатории, где эту работу выполняют специалисты с необходимой профессиональной подготовкой.
Доказательства, связанные с компьютерными преступлениями и изъятые с места происшествия, могут быть легко изменены, как в результате ошибок при их изъятии, так и в процессе самого исследования. Представление подобных доказательств в судебном процессе требует специальных знаний и соответствующей подготовки. Здесь нельзя недооценивать роль экспертизы, которая может дать квалифицированный ответ на поставленные вопросы.
Однако экспертиза требует какого-то времени не только на ее проведение, но и на поиск соответствующих специалистов, а при изъятии компьютерной техники существенным фактором, позволяющим сохранить необходимую доказательную информацию, является неожиданность и оперативность. Именно поэтому изъятие компьютеров и информации приходится проводить теми силами, которые в настоящее время проводят следственные действия. В данном случае именно следователь не застрахован от ошибок, обусловленных недостаточностью знаний, что потом достаточно умело, используется защитой в суде.
Поставленная проблема имеет два аспекта: общие ошибки, которые допускаются работниками правоохранительных органов при расследовании компьютерных преступлений, и технические аспекты, связанные с защитой информации, которая устанавливается на компьютерах их непосредственными пользователями.
Как известно, обнаружение, осмотр и изъятие компьютеров и компьютерной информации в процессе следственных действий могут совершаться не только при следственном осмотре (ст. 190 КПК), но и при проведении других следственных действий: обыски (ст. 178 КПК); выемки (ст. 179 КПК); воспроизведения обстоятельств и обстановки происшествия (ст.194 КПК).
Следует выделить некоторые правила работы с компьютерами, изъятыми при расследовании преступлений в сфере компьютерной информации, а также предложить общие рекомендации, которые могут быть полезными при обработке компьютерных доказательств.
Рассмотрим некоторые типичные ошибки, наиболее часто совершаемые при проведении следственных действий в отношении компьютерной информации либо самих компьютеров.
Ошибка 1. Ошибочная работа с компьютером.
Первое и основное правило, которое должно неуклонно выполняться, состоит в следующем: никогда и ни при каких условиях не работать на изъятом компьютере. Это правило допускает, что изъятый компьютер - прежде всего объект исследования специалиста. Поэтому до передачи экспертам его желательно даже не включать, поскольку категорически запрещено исполнять любые операции на изъятом компьютере, не обеспечив необходимых мер защиты (например, защиты от модификации или создания резервной копии). Если на компьютере установлена система защиты (например - пароль), то его включение может вызвать уничтожение информации, которая находится на жестком диске. Не допускается загрузка такого компьютера с использованием его собственной операционной системы.
Подобная мера объясняется достаточно просто: преступнику не составляет особого труда установить на своем компьютере программу для уничтожения информации на жестком или гибком магнитном дисках, записав такие "ловушки" через модификацию операционной системы. Например, простая команда DIR, которая используется для отображения каталога диска, может быть легко изменена, чтобы отформатировать жесткий диск.
После того, как данные и сама разрушительная программа уничтожены, никто не сможет сказать наверняка, был ли "подозреваемый" компьютер оборудован такими программами специально, или это результат небрежности при исследовании компьютерных доказательств?
Ошибка 2. Допуск к компьютеру владельца (пользователя) компьютера.
Серьезной ошибкой является допуск к исследуемому компьютеру владельца для оказания помощи в его эксплуатации. Известны многие случаи из практики, когда подозреваемые на допросах, связанных с компьютерными доказательствами, допускались к работе на изъятом компьютере. Позже они рассказывали своим знакомым, как шифровали файлы "прямо под носом у полицейских", а те об этом даже не догадывались. Учитывая такие последствия, компьютерные специалисты стали делать резервные копии компьютерной информации прежде, чем допускать к работе над ней.
Еще одна проблема связанна с возможностью опровержения в суде идентичности предъявленного на процессе программного обеспечения тому, которое находилось на данном компьютере на момент изъятия. Чтобы избежать подобных ситуаций, компьютер, следует опечатать в присутствии понятых, не включая. Если работник правоохранительных органов принимает решение об осмотре компьютера на месте, первое, что необходимо сделать, это снять копию с жесткого магнитного диска и любой дискеты, которая будет изыматься как вещественное доказательство. Это означает, что до проведения каких-либо операций с компьютером, необходимо зафиксировать его состояние на момент проведения следственных действий.
Ошибка 3. Отсутствие проверки компьютера на наличие вирусов и программных закладок.
С целью проверки компьютера на наличие вирусов и программных закладок, необходимо загрузить компьютер не с его операционной системы, а со своей загодя подготовленной дискеты, либо со стендового жесткого диска. Проверке подвергаются все носители информации - дискеты, жесткий диск и другие носители. Эту работу следует проделать привлеченному к участию в следственных действиях специалисту с помощью специального программного обеспечения.
Нельзя допустить, чтобы у суда появилась возможность обвинения следствия в умышленном заражении компьютера вирусами, в некомпетентности при проведении следственных действий, либо просто в небрежности, поскольку доказать, что вирус находился в компьютере до момента исследования, вряд ли возможно, а подобное обвинение поставит под сомнение всю работу эксперта и достоверность его выводов.
Такие наиболее типичные ошибки, которые часто встречаются при исследовании компьютера в делах, связанных с расследованием компьютерных преступлений. Однако рассмотренный перечень не охватывает всех ошибок, возникающих в процессе изъятия и исследования компьютерной информации. Этому можно легко дать объяснение: отсутствие достаточного опыта в подобных делах в нашей стране. В то же время в странах Западной Европы и США уже накоплен богатый опыт расследования сложных компьютерных преступлений. Необходимо более тщательно его изучить, что позволит избежать многих из них.
Во избежание ошибок при проведении следственных действий на начальном этапе расследования, которые могут привести к потере или искажению компьютерной информации, следует придерживаться некоторых предохранительных мер.
В процессе обыска и выемки, связанных с изъятием компьютера, магнитных носителей и информации, возникает ряд общих проблем, связанных со спецификой изымаемых технических средств. В первую очередь необходимо предусмотреть меры безопасности, которые совершаются преступниками с целью уничтожения компьютерной информации. Они, например, могут использовать специальное оборудование, в критических случаях образующее сильное магнитное поле, которое стирает магнитные записи.
На протяжении обыска все электронные доказательства, находящиеся в компьютере либо в компьютерной системе должны быть собраны таким образом, дабы они потом могли быть признанными судом. Мировая практика показывает, что в большинстве случае под давлением представителей защиты в суде электронные доказательства не принимаются во внимание. Чтобы гарантировать их признание в качестве доказательств, необходимо строго придерживаться уголовно-процессуального законодательства, а также стандартизированных приемов и методик их изъятия.
Обычно компьютерные доказательства сохраняются путем создания точной копии с оригинала (первичного доказательства), прежде чем делается какой-либо их анализ. Но делать копии компьютерных файлов, используя только стандартные программы резервного копирования, недостаточно. Вещественные доказательства могут существовать в виде уничтоженных либо спрятанных файлов, а данные, связанные с этими файлами, можно сохранить только с помощью специального программного обеспечения. В самом простом виде это могут быть программы типа - SafeBack, а для гибких дискет бывает достаточно программы DOS Discopy.
Магнитные носители, на которые предусматривается копировать информацию, должны быть заранее подготовленные (необходимо убедиться, что на них отсутствует какая-нибудь информация). Носители следует сохранять в специальных упаковках либо заворачивать в чистую бумагу. Необходимо помнить, что информация может быть повреждена влажностью, температурным влиянием или электростатическими (магнитными) полями.
Многие текстовые редакторы и программы управления базами данных создают временные файлы как побочный продукт нормальной работы программного обеспечения. Большинство пользователей компьютера не осознают важности создания этих файлов, потому что обычно они уничтожаются программой в конце сеанса работы. Однако данные, находящиеся внутри этих уничтоженных файлов, могут оказаться наиболее полезными. Особенно, если исходный файл был кодированный или документ подготовки текстов был напечатан, но никогда не сохранялся на диске, такие файлы могут быть восстановлены.
Популярность Microsoft Windows принесла некоторые дополнительные средства, касающиеся исследования компьютерной информации. Swap File функционируют как дисковая память, огромная база данных и множество разных временных фрагментов информации. В этом Swap File может быть обнаружен даже весь текст документа.
Часто дубли текстовых файлов можно обнаружить на жестком либо гибком магнитных дисках. Это могут быть незначительные изменения между версиями одного документа, которые могут иметь доказательную ценность. Расхождения можно легко идентифицировать с помощью наиболее современных текстовых редакторов.
Приступая к осмотру компьютера, следователь и специалист, непосредственно производящий все действия на ЭВМ, должны придерживаться следующего:
Если возможен непосредственный доступ к компьютеру и исключены все нежелательные ситуации, приступают к осмотру. Причем следователь и специалист должны четко объяснять все свои действия понятым.
При осмотре должны быть установлены:
Фотографирование и маркирование элементов компьютерной системы - важный первый шаг при подготовке системы к транспортировке. Документирование состояния системы на данном этапе необходимо для правильной сборки и подключения всех элементов системы в условиях лаборатории. При фотографировании следует исполнить снимки системы крупным планом ее передней и задней частей. Фотографирование и маркирование элементов изымаемой компьютерной системы дает возможность в точности воссоздать состояние компьютерной техники в лабораторных условиях исследования. Некоторое оборудование типа внешних модемов может иметь множество мелких переключателей, фиксирующих его состояние, которые при транспортировке могут быть изменены, что создаст дополнительные проблемы для эксперта.
В заключение необходимо подчеркнуть, что при проведении любых следственных действий, связанных с расследованием преступлений в сфере использования компьютерных технологий (особенно выемка информации и компьютерного оборудования) целесообразно с самого начала привлечение специалиста в области информационных технологий. До начала следственных действий следует также иметь определенную информацию, касающуюся: марки, модели, компьютера, операционной системы, периферийных устройств, средств связи и любые другие ведомости о системе, которая является объектом расследования. Целенаправленная деятельность следователя, оперативных работников, особенно на первичном этапе расследования, обеспечивает успех дальнейшего расследования компьютерных преступлений.
