Использование высоких технологий криминальной средой. Борьба с преступлениями в сфере компьютерной информации

Использование высоких технологий криминальной средой. Борьба с преступлениями в сфере компьютерной информации

Получение любой информации о преступной деятельности требует определенных тактических усилий и организационных форм: действий негласных сотрудников, оперативно-поисковых групп, оперативных контактов с гражданами. И все же многие сведения о традиционных преступлениях (кражи, вывоз похищенных материальных ценностей, владение оружием), по сравнению со сведениями о преступлениях в сфере высоких технологий, как бы лежат на поверхности: их можно визуально фиксировать, видеть предметы. Преступления в области информационных технологий довольно часто можно получить лишь изучением отношений, то есть глубинных явлений, часто никак не фиксируемых визуально и по материальным следам. В качестве примера можно привести факт. Сведения о преступлениях в сфере электронной торговли не принято афишировать коммерческими структурами. Часто они предпочитают понести убыток, чем потерять свою репутацию.

Учитывая, что основным местом преступления является Интернет (или с использованием Интернета), то процесс сбора оперативной информации легко автоматизировать путем использования специальных программ, называемых интеллектуальными агентами (в среде программистов еще называемы «пауками»). Они способны проводить анализ сайтов, проводить целевой поиск информации в сети Интернет и тем самым находить потенциальных преступников.

Так, недавно ФБР приняло на вооружение новую технологию мониторинга Интернета вместо устаревшей системы Carnivore. Возможности «новорожденного» значительно шире - они позволяют отслеживать сетевую активность подозреваемых в совершении преступлений, одновременно вести базу данных о вполне законопослушных гражданах, а также фиксировать интернет-трафик, включая IP-адреса, просмотры отдельных страниц и электронную почту.

По результатам оперативно-аналитического поиска в оперативных подразделениях целесообразно формировать компьютерные базы данных, используемые:

- для последующей оперативной проверки преступных групп и организаций; для проведения оперативно-профилактических мер;

- для внедрения оперативных работников и негласных сотрудников в среду компьютерной преступности с целью углубления оперативных позиций, необходимых для успешного продолжения стратегической разведки.

Оперативно-аналитический поиск дает возможность использования компьютерного моделирования для раскрытия преступлений в сфере высоких технологий. Одним из перспективных направлений компьютерной инженерии является использование имитационных моделей. Такая модель предусматривает организацию информационных потоков внутри моделируемых систем, воспроизведение на компьютере операций подмены, перераспределения, взаимодействия между отдельными структурными элементами системы и поэтому является достаточно эффективным средством изучения и прогнозирования компьютерной преступности.

Повышение эффективности работы правоохранительных органов по раскрытию и расследованию преступлений в сфере высоких технологий в настоящее время невозможно без интеграции в криминалистику новых информационных технологий.

Контрольные вопросы

1. Какие меры контроля над компьютерной преступностью используются в России?

2. Какие меры уголовно-правового контроля над компьютерной преступностью предусмотрены в законодательстве России?

3. Каковы базовые направления повышения эффективности контроля над компьютерной преступностью в Росси?

4. Каковы особенности оперативно-розыскной деятельности при расследовании преступлений в сфере высоких технологий?

ГЛАВА 6. РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ

КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

6.1 Основные следственные версии, выдвигаемые при расследовании

преступлений в сфере компьютерной информации

При выдвижении версий совершения преступлений в сфере компьютерной информации необходимо учитывать, что они совершаются обычно группой из двух и более человек, хотя не исключена возможность работы преступника - одиночки. В таком случае он сам или, если действует группа, один из ее членов является либо сотрудником данного учреждения, либо имеет свободный доступ к компьютерам (представитель службы технической или программной поддержки, программист, работающий по контракту и т.д.), умеет работать с вычислительной техникой, хорошо представляет, какая информация и где расположена в компьютере. Интерес обычно представляет информация, содержащая государственную или коммерческую тайну (например, информация базы данных передвижении оружия, наркотиков и т.д.).

В основном, как правило, информация преступниками копируется на магнитный носитель, хотя не исключена возможность передачи ее по сетям телекоммуникации, распечатки на бумаге, кино-, фото-, видеосъемки изображения экрана и действий оператора или перехват с помощью специальных технических средств. Копирование может осуществляться как на портативный компьютер (Notebook) с подключением его к локальной вычислительной сети, так и непосредственно к последовательному или параллельному порту конкретной ЭВМ с помощью специального кабеля.

Преступление обычно происходит в рабочее время и внешне не отличается от обычной работы в учреждении. Похищенная информация используется в дальнейшем самими преступниками для подготовки хищений или может быть продана заинтересованным лицам.

Учитывая конкретные обстоятельства, следователем могут быть выдвинуты и проверены следующие общие версии:

1. Преступление совершено сотрудником данного учреждения, либо лицом, имеющим свободный доступ к компьютерной технике.

2. Преступление совершено сторонним лицом, входящим в круг родственников, друзей, знакомых сотрудников учреждений.

3. Преступление совершено группой лиц по предварительному сговору или организованной группой с участием сотрудника данного учреждения, либо лица, имеющего свободный доступ к компьютерной технике и в совершенстве владеющего навыками работы с ней.

4. Преступление совершено лицом или группой лиц, не связанных с деятельностью учреждения и не представляющих ценность компьютерной информации.

Приведенный перечень следственных версий является общим, и в зависимости от конкретной ситуации, может быть расширен.

6.2 Методика расследования преступлений в сфере компьютерной

информации

Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений.

Принципиальная схема организации взлома защитных механизмов информационных систем достаточно однотипна. Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Они снимают квартиру на подставное лицо, подкупают сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников МВД России. Чаще всего взлом компьютерной сети осуществляется рано утром, когда дежурный службы безопасности теряет свою бдительность, а вызов помощи затруднен. Может быть предложена некоторая общая схема расследования преступления, связанного с неправомерным (несанкционированным) доступом к компьютерной информации.

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в компьютерной системе или сети.

2. Установление места несанкционированного проникновения в компьютерную систему или сеть.

3. Установление времени совершения преступления.

4. Установление надежности средств защиты компьютерной информации.

5. Установление способа несанкционированного доступа.

6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления.

7. Установление вредных последствий преступления.

8. Выявление обстоятельств, способствовавших преступлению.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие очевидные обстоятельства:

- появление в компьютере фальшивых данных;

- не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств;

- частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети;

- осуществление сверхурочных работ без видимых на то причин;

- немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков;

- неожиданное приобретение сотрудником домашнего дорогостоящего компьютера;

- чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр;

- участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров и т.д.

Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа, не входящих в данную информационную систему или сеть, на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов. Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий:

1. Установление факта и способа создания вредоносной программы для ЭВМ.

2. Установление факта использования и распространения вредоносной программы.

3. Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.

4. Установление вреда, причиненного данным преступлением.

5. Установление обстоятельств, способствовавших совершению расследуемого преступления.

При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:

- место и время (период времени) нарушения правил эксплуатации ЭВМ;

- характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;

- способ и механизм нарушения правил;

- характер и размер ущерба, причиненного преступлением;

- факт нарушения правил определенным лицом;

- виновность лица, допустившего преступное нарушение правил эксплуатации ЭBM;

- обстоятельства, способствовавшие совершению расследуемого преступления.

Кроме того, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий. Приведем некоторые из них.

Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо обеспечить участие в ходе обыска специалиста по компьютерной технике. По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности ЭВМ и имеющихся на них данных и ценной информации. Для этого необходимо:

- не разрешать кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;

- не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;

- в случае, если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;

- самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен.

После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию средств компьютерной техники.

При этом следует принять во внимание следующие неблагоприятные факторы:

- возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;

- возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;

- возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа;

- постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

В целях недопущения вредных последствий перечисленных факторов следователь может придерживаться следующих рекомендаций:

1. Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера - путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель - приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).

2. При наличии средств защиты ЭВМ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т. д.).

3. Корректно выключить питание всех ЭВМ, находящихся на объекте (в помещении).

4. Не пытаться на месте просматривать информацию, содержащуюся в компьютерах.

5. В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.

6. Следует изъять все носители ЭВМ, обнаруженные на объекте.

7. При обыске не подносить ближе, чем на 1 м к компьютерной технике металлоискатели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и некоторую специальную аппаратуру.

8. Поскольку многие, особенно неквалифицированные, пользователи записывают процедуры входа-выхода при работе с компьютерной системой, а также пароли доступа, на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе с ЭВМ.

9. Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию средств компьютерной техники, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.

10. При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектования и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и «наводок», направленных излучений.

11. В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт), о чем обязательно делается отметка в протоколе проведения следственного действия.

12. В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы. Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего устройства - ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств, с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами: Государственный стандарт (ГОСТ) № 6104-84 от 01.07.87 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения» и Постановление Госстандарта № 2781 от 24.09.86 «Методические указания по внедрению и применению ГОСТ 6104-84». Только с использованием указанных нормативных документов машинная информация будет относиться к разряду «документированной информации», как требует того закон.

К сожалению, практика работы органов прокуратуры и следствия показывает, что рассмотренные рекомендации в большинстве случаев следователями в практической деятельности по расследованию компьютерных преступлений не применяются. В результате неправильного изъятия средств компьютерной техники добытая информация зачастую не может являться доказательством в судебном процессе.

В зарубежных государствах накоплен обширный опыт борьбы с компьютерной преступностью. Однако в России большинство уголовных дел по компьютерным преступлениям остаются нераскрытыми. И дело не в том, что плохо работают сыщики или российские компании экономят на защите своих компьютерных сетей. К сожалению, при высоком техническом оснащении и тщательной подготовке компьютерного преступления поймать преступника очень сложно.

6.3 Типичные следственные ситуации и действия следователя на

первоначальном этапе расследования преступлений в сфере

компьютерной информации

Раскрывать преступления в сфере компьютерной информации сложно, так как нередко преступники прибегают к различным уловкам, маскируют свои преступные деяния многочисленными объективными и субъективными причинами, которые действительно могут иметь место (например, сбой в работе ЭВМ и программного обеспечения, средств электросвязи, энергообеспечивающего оборудования; замыкания в электропроводке и т.п.).

Перечень неотложных следственных действий и оперативных мероприятий, очередность их проведения будут определяться конкретной следственной ситуацией, в которой начинается расследование Вехов В.Б., Рогозин В.Ю. Методика расследования преступлений в сфере компьютерной информации. 2002. Компьютерный ресурс. Режим доступа: http: //www. crime.vl.ru /books..

Следственная ситуация характеризуется прежде всего объемом и достоверностью исходной криминалистически значимой информации, имеющейся в распоряжении следователя и оперативного работника.

Поводами и основаниями для возбуждения уголовных дел чаще всего служат:

- заявления граждан (конкретных потерпевших);

- сообщения руководителей предприятий, учреждений, организаций и должностных лиц (базирующиеся, как правило, на материалах контрольно-ревизионных проверок и сообщениях служб безопасности);

- сведения, полученные в результате проведения оперативно-розыскных мероприятий;

- непосредственное обнаружение следователем, прокурором или судом признаков преступления;

- статьи, заметки и письма, опубликованные в средствах массовой информации, а также в сети Интернет.

Как правило, возбуждению уголовного дела предшествует предварительная проверка материалов, поступивших в правоохранительные органы. В связи с этим, следователь может заблаговременно ознакомиться с собранными по делу материалами, совместно с оперативным сотрудником выбрать в тактическом отношении наиболее оптимальный момент для возбуждения дела, а также определить характер и последовательность первоначальных следственных действий, организационных и иных мероприятий. Успех расследования преступления в сфере компьютерной информации во многом обеспечивают: быстрота и решительность действий следователя и оперативного сотрудника в самые первые часы производства по делу; организованное взаимодействие с различными подразделениями правоохранительных органов; наличие специалиста в области компьютерной обработки информации (возможно, пользователя ЭВМ).

В ходе предварительной проверки материалов при решении вопроса о возбуждении уголовного дела следователь должен, прежде всего, получить четкое и полное представление о предмете посягательства, месте его нахождения и условиях охраны; о характере деятельности и структуре объекта, где возможно было совершено преступление; об особенностях технологии производства; изучить конкретные условия деятельности данного объекта, существующий там порядок учета и отчетности, систему товаро- и документооборота, коммуникативные и иные тактико-технические характеристики используемой компьютерной техники, организацию охраны. Необходимо также хорошо знать служебные обязанности лиц, имеющих прямые или косвенные отношения к орудиям обработки и компьютерной информации, которые стали предметом преступного посягательства.

К типичным признакам подготовки, совершения и сокрытия преступления в сфере компьютерной информации относятся: появление в ЭВМ, системе ЭВМ или их сети фальшивых данных; несанкционированные изменения структуры файловой системы, программного обеспечения и конфигурации ЭВМ, системы ЭВМ или их сети; необычные (нестандартные) проявления в работе СВТ и их программного обеспечения; частые сбои в работе аппаратуры; жалобы клиентов на предоставление некачественного доступа к ЭВМ, системе ЭВМ, их сети или компьютерной информации; сверхурочная работа некоторых сотрудников на ЭВМ, в системе ЭВМ или их сети, нарушение установленного графика их эксплуатации; нерегламентированный доступ к ЭВМ, системе ЭВМ, их сети и к компьютерной информации отдельных субъектов; нарушение правил работы с компьютерной информацией и несанкционированные манипуляции с ней; чрезмерный интерес отдельных субъектов (клиентов, сотрудников) к содержанию чужих распечаток (листингов) и компьютерной информации определенной категории; случаи перезаписи отдельных данных и компьютерной информации без серьезных требуемых на то причин; применение на рабочем месте и вынос с работы личных машинных носителей информации под различными предлогами (записи игр и т.п.); исследование мусорных корзин (контейнеров) с технологическими отходами компьютерной обработки информации; случаи утечки конфиденциальной информации, либо обнаружение негласных устройств ее получения; нарушение установленных правил оформления документов при работе с ЭВМ, системой ЭВМ, их сетью или компьютерной информацией; создание копий определенной категории данных и компьютерной информации, не предусмотренных технологическим процессом; несоответствие данных, содержащихся в первичных (исходных) документах, данным машинограмм и иным более поздним по времени создания документам; подозрительно частое обращение одного и того же пользователя к данным и компьютерной информации определенной категории.

Чтобы детально разобраться в особенностях деятельности потерпевшего (физического или юридического лица), следователю и оперативному сотруднику необходимо ознакомиться с соответствующей справочной литературой, изучить ведомственные нормативные акты. Исключительно важное значение имеют консультации со специалистами. Для этих целей могут быть привлечены любые лица, обладающие необходимыми знаниями и опытом для дачи консультаций по делу. Как правило, это квалифицированные сотрудники различных организаций, осуществляющих свою деятельность в сфере информации, информатизации и защиты информации. Наиболее предпочтительны сотрудники: Федеральной службы по техническому и экспортному контролю (ФСТЭК); центров защиты информации; оперативно-технических подразделений правоохранительных органов; подразделений «К» при УСТМ МВД России; специалисты межрегиональных Центров защиты информации, функционирующих на базе гражданских высших учебных технических заведений; научные работники исследовательских институтов и лабораторий, а также учебных заведений.

Для преступлений в сфере компьютерной информации типичны три ситуации первоначального этапа расследования:

1. Сведения о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствуют.

2. Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.

3. Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.

В первых двух следственных ситуациях обычно планируют и осуществляют следующие неотложные следственные действия, оперативно-розыскные, организационные и иные мероприятия:

1) получение объяснения (допрос) заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей (очевидцев);

2) вызов и инструктаж необходимых специалистов для участия в осмотре места происшествия;

3) осмотр места происшествия (с осмотром, предварительным исследованием и изъятием машинных носителей и компьютерной информации, средств вычислительной техники (СВТ), документов и т. п.);

4) проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, определения рабочего места преступника, обнаружения следов и других вещественных доказательств;

5) изучение справочной литературы, ведомственных нормативных актов, положений, инструкций, правил эксплуатации конкретного СВТ и порядка работы с компьютерной информацией, а также консультации с соответствующими специалистами;

6) наведение справок в контролирующих, инспектирующих и лицензирующих организациях и их структурных подразделениях ФСТЭК России, налоговой инспекции, Комитете по контролю за использованием радиочастот, Энергонадзоре, Госпожнадзоре, КРУ, торговой инспекции и т.п.);

7) истребование материалов контрольных проверок, инвентаризаций и ревизий (соблюдения правил обработки информации, системы защиты конфиденциальной информации, оборота электронных документов и др.) за интересующий следствие период, в случае необходимости - организовать их производство (в т.ч. повторно);

8) выемку и последующий осмотр недостающих документов (в том числе находящихся в электронной форме на машинных носителях информации), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия, а также орудий (СВТ, программ для ЭВМ, компьютерной информации, предметов, материалов и др.), с помощью которых они, возможно, были изготовлены;

9) допросы подозреваемых и/или свидетелей, ответственных за данный участок работы, конкретную производственную операцию и защиту конфиденциальной информации;

10) обыски на рабочих местах и по месту проживания подозреваемых;

11) назначение экспертиз - программно-технической, радиотехнической, технической, бухгалтерской, полимерных материалов и изделий из них и иных.

Дальнейшие действия планируются с учетом дополнительной информации, полученной при производстве вышеуказанных действий.

При наличии третьей следственной ситуации необходимо:

1) изучить поступившие материалы с позиций их полноты, соблюдения норм уголовно-процессуального законодательства и порядка их передачи в органы предварительного следствия. При необходимости следует принять меры к получению недостающей процессуальной информации;

2) решить вопрос о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях;

3) личный обыск задержанного;

4) осмотр места происшествия с участием соответствующих заранее приглашенных специалистов;

4) допрос задержанного;

5) обыски на рабочем месте и по месту проживания задержанного;

6) установление связей задержанного и лиц, причастных к совершению преступления;

7) допрос свидетелей (очевидцев);

8) допрос подозреваемого;

9) выемка и осмотр следующих вещественных доказательств и документов:

- подлинных документов, удостоверяющих личность преступника и наличие у него соответствующих специальных познаний, характеризующих те производственные операции, в процессе которых допущены нарушения и преступные действия (в том числе документов, находящихся в электронной форме на машинных носителях информации);

- орудий подготовки, совершения и сокрытия преступления;

- предмета преступления;

10) допрос лиц, названных в документах, переданных в следственные органы, как допустивших нарушения, ответственных за конкретный участок работы по фактам установленных нарушений;

11) истребование, а при необходимости производство выемки нормативных актов и документов, характеризующих порядок и организацию работы в данном подразделении с конфиденциальной информацией, с бланками строгой отчетности, компьютерной информацией, ЭВМ, системой ЭВМ, их сетью и т. п.;

12) допрос свидетелей, причастных к соответствующим производственным операциям или подозреваемых в связях с преступником;

13) анализ полученной информации и решение вопроса о необходимости назначения судебных экспертиз, проведения ревизии, инвентаризации или контрольной проверки (в том числе повторной).

В очередность перечисленных следственных действий, оперативных и организационных мероприятий могут быть внесены коррективы в зависимости от изменения ситуации.

Контрольные вопросы

1. Перечислите и охарактеризуйте основные следственные версии, выдвигаемые при расследовании преступлений в сфере компьютерной информации.

2. В какой последовательности целесообразно решать основные следственные задачи в ходе расследования преступления, связанного с неправомерным (несанкционированным) доступом к компьютерной информации?

3. Какие обстоятельства могут указывать на признаки несанкционированного доступа или подготовки к нему?

4. Какую последовательность действий целесообразно применять при расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ?

5. Что необходимо установить и доказать при расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети?

6. Какие особенности должны учитываться при производстве следственных действий по расследованию преступлений в сфере компьютерной информации?

7. Какие неблагоприятные факторы следует принять во внимание при производстве следственных действий?

8. Каких рекомендаций должен придерживаться следователь в целях недопущения вредных последствий неблагоприятных факторов?

9. Каковы типичные следственные ситуации и действия следователя на первоначальном этапе расследования преступлений в сфере компьютерной информации?

ГЛАВА 7. ОСОБЕННОСТИ ТАКТИКИ РАССЛЕДОВАНИЯ

ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

7.1 Осмотр места происшествия

Все следственные действия по делам о преступлениях в сфере компьютерной информации проводятся в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом следующих основных особенностей:

- следственное действие должно быть заблаговременно подготовлено и детально спланировано; в каждом следственном действии должны принимать участие специалисты, четко представляющие свои задачи, права и обязанности;

- понятые должны обладать минимально необходимыми специальными познаниями в области обработки компьютерной информации (на уровне бытовых пользователей персонального компьютера), следователь и специалисты - познаниями в части полной сохранности (неизменяемости) компьютерной информации, содержащейся на осматриваемом (изымаемом) средстве электронно-вычислительной техники; для осмотра, обыска и выемки компьютерной информации и ее носителей заранее должны быть подготовлены необходимые СВТ и материалы.

При осмотре места происшествия в состав следственно-оперативной группы в зависимости от конкретной следственной ситуации, помимо следователя, должны входить:

- специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории;

- специалист по СВТ;

- сотрудник ФСТЭК, Центра защиты информации [при наличии на месте происшествия конфиденциальной компьютерной информации, машинных носителей с ней, специальных средств защиты от НСД и(или) технических средств негласного получения (уничтожения, блокирования) компьютерной информации];

- специалист по сетевым технологиям (в случае наличия периферийного оборудования удаленного доступа или локальной компьютерной сети);

- специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи);

- оперативные сотрудники (отдела «К» или ОБЭП);

- участковый оперуполномоченный, обслуживающий данную территорию;

- инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом);

- специалист для проведения цветной фото- или видеосъемки следственного действия.

При необходимости в состав СОГ могут быть включены незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (инженеры-электрики, бухгалтеры со знанием СВТ, специалисты спутниковых систем связи, операторы компьютерных систем и сетей электросвязи, др.).

7.2 Особенности тактики производства обыска при расследовании

преступлений в сфере предоставления услуг сети Интернет

Известно, что обыск как самостоятельное процессуальное действие имеет свое определенное место и играет специфическую роль в сфере правоприменительной деятельности полномочных органов в рамках уголовного судопроизводства. Решаемые с его помощью задачи во многом обусловлены той или иной следственной ситуацией, складывающейся в ходе предварительного расследования. Своевременное и грамотное проведение обыска способствует достижению целей отправления правосудия. Результаты данного следственного действия могут быть положены, как в основу обвинительного приговора, так и послужить основанием для исключения факта необоснованного привлечения лица к уголовной ответственности.

По делам о преступлениях в сфере предоставления услуг «Интернет» рассматриваемое следственное действие, как правило, носит неотложный характер. Основанием для его производства является наличие достаточных данных полагать, что в каком-либо месте или у какого-либо лица могут находиться орудия преступления, предметы, документы и ценности, которые могут иметь значение для уголовного дела (ст. 182 УПК РФ).

Цели обыска: обнаружение, фиксация и изъятие перечисленных выше объектов, а также выявление и задержание разыскиваемых и подозреваемых лиц.

В криминалистике в зависимости от объекта выделяют различные виды обыска. По делам о преступлениях в сфере предоставления услуг сети Интернет типичными являются обыск в помещении (жилище) и личный обыск подозреваемого (обвиняемого), который там находится. Эти следственные действия имеют определенную специфику, которая обусловлена как предметом, так и орудием преступного посягательства - компьютерной информацией. Характерные особенности последней накладывают отпечаток на все стадии проведения указанного следственного действия. Рассмотрим их подробнее.

Представляется, что подготовительный этап обыска играет главенствующую роль во всем процессе реализации замысла следственного действия. Тщательная и глубокая проработка всех нюансов сложившейся накануне обыска следственной ситуации во многом определяет его результативность. Практика показывает, что многое зависит от тесного взаимодействия следователя со специализированным органом дознания - Отделом «К» при Управлении специальных технических мероприятий (УСТМ) МВД (УВД) республики, края (области). С его помощью обеспечивается должная оперативная осведомленность следователя об обстоятельствах, связанных с проведением обыска, которая помогает избежать ряда тактических ошибок, а также грамотно решить вопрос о привлечении к его проведению высококвалифицированных специалистов в области компьютерной техники и понятых, имеющих определенные знания в этой сфере.

В работе Илюшина Д.А. Илюшин Д.А. Особенности тактики производства обыска при расследовании преступлений в сфере предоставления услуг «Интернет» //Вестник Муниципального института права и экономики (МИПЭ). Вып. 1. - Липецк: Издательство НОУ «Интерлингва», 2004. С. 77 - 86. перечислены мероприятия, которые необходимо осуществить следователем на подготовительном этапе обыска:

1. Определить месторасположение и планировку помещения, которое должно быть подвергнуто обыску. Выяснить характер охраны объекта. Определить пути возможного отхода подозреваемого (обвиняемого).

2. С помощью специалиста в области телекоммуникаций определить расположение в данном помещении узлов связи, локализацию разводки коммуникационных сетей. Рассмотреть возможность наличия на объекте средств радиосвязи, используемых подозреваемым (обвиняемым). Установить их идентификационные характеристики: абонентский номер, позывной, рабочую частоту, логин и пароль доступа для работы в сети Интернет.

3. Выяснить, какие средства электронно-вычислительной техники (далее по тексту «СВТ») находятся в помещении, в котором предполагается провести обыск (по возможности установить их технические характеристики). Данные сведения могут быть получены у провайдера сети Интернет или оператора электросвязи. При этом во многих случаях требуется консультация с соответствующим специалистом. В дальнейшем полученная информация будет использована для определения границ места, подлежащего обыску, и внесет определенность относительно искомых предметов (документов).

4. Установить, какие средства защиты информации и СВТ от несанкционированного доступа находятся по месту, где предполагается провести обыск; выяснить источники их питания и рассмотреть возможность их обесточивания до момента начала обыска. Это позволит исключить факты преднамеренного уничтожения искомых документов или предметов.

5. Установить тип источников электропитания СВТ и расположение пунктов их обесточивания для предотвращения возможных попыток уничтожения искомой компьютерной информации, содержащейся в оперативной памяти компьютерных устройств.

6. Пригласить специалистов, обладающих достаточными знаниями, умениями и навыками для оказания действенной помощи следователю при подготовке и в ходе производства обыска. Для этих целей наиболее подходят универсальные специалисты в области цифровых средств электросвязи и компьютерной техники.

7. Подготовить соответствующие СВТ, специальную аппаратуру и материалы для поиска, осмотра, фиксации и изъятия искомой компьютерной информации, документов и предметов.

8. Определить дату, время и место проведения обыска, его продолжительность, а также меры, направленные на обеспечение его скоротечности и конфиденциальности. Наиболее благоприятной ситуацией является момент отсутствия подозреваемого (обвиняемого) на месте обыска. Это обстоятельство позволяет исключить активное противодействие с его стороны и предоставляет возможность следователю быстро обнаружить и грамотно изъять искомые объекты. При этом следует отметить, что присутствие на месте обыска сослуживцев или близких родственников подозреваемого (обвиняемого), как правило, формирует у них определенное негативное отношение к совершенному преступному деянию. Данное обстоятельство может быть использовано для определения тактики проведения последующих следственных действий, например, допросов свидетелей.

9. Провести инструктаж лиц, привлекаемых к участию в обыске, с постановкой конкретных персональных задач.

10. Изучить личность подозреваемого (обвиняемого). Особое внимание следует обратить на уровень его профессиональных умений и навыков в области компьютерных технологий.

11. Пригласить понятых, обладающих определенными знаниями в сфере компьютерной информации и телекоммуникаций.

По прибытии на место проведения обыска специфика действий следователя будет состоять в следующем:

1. Определить места возможного отхода подозреваемого (обвиняемого) или выноса предметов и документов, имеющих значение для уголовного дела (запасный выход, окна и другие). Принять меры к установлению наблюдения за ними.

2. Быстро и внезапно войти в обыскиваемое помещение (жилище). Если их несколько - одновременно войти во все. На наш взгляд, нельзя согласиться с доводами отдельных авторов, полагающих, что «в некоторых случаях, когда это возможно или целесообразно, непосредственно перед входом в обыскиваемое помещение следует обесточить его». Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. - М.: ООО Изд. «Юрлитинформ», 2001. Представляется, что при внезапном отключении электропитания в помещении (жилище) и наличии предположений у преступника о намерении сотрудников правоохранительных органов провести обыск, последним могут быть предприняты меры по уничтожению следов преступного посягательства. Таким образом, теряется не только фактор внезапности, но и ценные вещественные доказательства.

3. В случае оказания активного сопротивления со стороны лиц, находящихся на объекте обыска, принять меры по нейтрализации противодействия и скорейшему проникновению в обыскиваемое помещение (жилище).

4. Организовать охрану места обыска и наблюдение за ним. Охране подлежат: периметр обыскиваемых площадей; СВТ; хранилища машинных носителей информации (МНИ); все пункты (пульты) связи, охраны и электропитания, находящиеся на объекте обыска (в здании, помещении, на производственной площади); специальные средства защиты от несанкционированного доступа; хранилища ключей (кодов, паролей) аварийного и регламентного доступа к СВТ, помещениям и другим объектам (пультам, пунктам, стендам, сейфам и т. п.), попавшим в зону обыска.

По поводу дальнейших действий следователя на месте обыска в современной криминалистической литературе дискутируются различные точки зрения. Например, см.: Рогозин В.Ю. Особенности расследования и предупреждения преступлений в сфере компьютерной информации: Учеб. пособие /Под ред. А.А. Закатова. - Волгоград, 2000. С. 38-41; Шурухнов Н.Г., Левченко И.П., Лучин И.Н. Специфика проведения обыска при изъятии компьютерной информации //Актуальные проблемы совершенствования деятельности ОВД в новых экономических и социальных условиях. - М.: 1997. С. 208-216. Мы, в свою очередь, полагаем, что после реализации вышеуказанных мероприятий следователь должен перейти к обзорной стадии обыска и выполнить следующие действия:

1. Определить местонахождение подозреваемого (обвиняемого) на объекте обыска (если обыск осуществляется в его присутствии). При обнаружении - принять меры к отстранению его от пультов управления техническими устройствами, дистанцировать от них и организовать охрану.

2. Определить и отключить специальные средства защиты информации и СВТ от несанкционированного доступа, особенно те, которые автоматически уничтожают компьютерную информацию и МНИ при нарушении процедуры доступа к ним, порядка их использования и (или) установленных правил работы с ними; принять меры к установлению пароля (кода) санкционированного доступа и ключа шифрования-дешифрования информации.

3. Установить наличие телекоммуникационной связи между СВТ, СВТ и каналами электросвязи. При наличии компьютерной сети любого уровня технической организации в первую очередь должна быть осмотрена и подвергнута обыску управляющая ЭВМ - сервер, который хранит в своей оперативной и постоянной памяти наибольшую часть компьютерной информации, управляет другими СВТ, имеет с ними прямую и обратную связь. В этом случае следует учитывать то обстоятельство, что у сообщников подозреваемого (обвиняемого) или у него самого (если обыск производится в его отсутствие) имеется реальная возможность уничтожения искомой компьютерной информации дистанционно с помощью СВТ, находящихся вне периметра обыскиваемой зоны (в другом помещении, здании, населенном пункте и т. д.). Применительно к этому положению вызывает недоумение утверждение некоторых авторов о том, что «… подключением компьютера к телефонной или телетайпной линиям невозможно уничтожить или изменить информацию на нем. Эта информация может быть лишь пополнена или куда-либо передана» Расследование неправомерного доступа к компьютерной информации /Под ред. Н.Г. Шурухнова. - М., 1999..

Для предупреждения вышеуказанных негативных последствий необходимо в зависимости от ситуации и рекомендаций специалиста временно или на длительный срок, частично или полностью отключить СВТ или локальную вычислительную сеть от технических устройств, находящихся за периметром обыскиваемой зоны. Отключение может быть произведено как на программном, так и аппаратном уровне. Если СВТ работает в режиме «электронной почты», то предпочтительнее оставить его до конца обыска в работающем состоянии в режиме «приема почты», исключив возможность какой-либо обработки и обратной передачи информации. Эту работу может сделать только квалифицированный специалист. Все выполняемые им действия должны быть зафиксированы с помощью видеозаписи и отражены в протоколе рассматриваемого следственного действия.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8