Манойло А.В. - Государственная информационная политика в условиях информационно-психологической войны - 2012

6.3.6.Свойства личности субъекта преступления

Выделение типовых моделей разных категорий преступников, знание основных черт этих людей позволяет оптимизировать процесс выявления круга лиц, среди которых целесообразно вести поиск преступника и точнее определить способы установления и изобличения конкретного правонарушителя.

Уголовный кодекс РФ разделил «компьютерных преступников» на следующие категории:

1.лица, осуществляющие неправомерный доступ к компьютерной информации;

2.лица, осуществляющие неправомерный доступ к компьютерной информации в группе по предварительному сговору или организованной группой;

3.лица, осуществляющие неправомерный доступ к компьютерной информации с использованием своего служебного положения;

4.лица, имеющие доступ к ЭВМ, но осуществляющие неправомерный доступ к компьютерной информации или нарушающие правила эксплуатации ЭВМ;

5.лица, создающие, использующие и распространяющие вредоносные программы.

Уголовной ответственности по УК РФ за преступления рассматриваемого вида подлежат вменяемые лица достигшие 16 лет.

Зарубежный опыт свидетельствует, что сам факт появления компьютерной преступности в обществе многие исследователи отождествляют с появлением так называемых хакеров – пользователей вычислительной системы, занимающихся поиском незаконных способов получения несанкционированного доступа к СКТ и данным в совокупности с их несанкционированным использованием в корыстных целях.

Основная продукция одних хакеров – недокументированные системные программы. Обычный метод их создания – взлом чужих программ. После некоторых переделок в текст обычно вставляется экзотическое собственное прозвище. Цель деятельности – создание суперпрограммы (операционной системы, игры, вируса, антивируса, языка программирования и т. п.), которая имеет широкий спектр возможностей.

Для других сверхзадача – проникновение в какую-нибудь систему, снятие защиты этой системы или с иного программного продукта.

Третья группа, иногда называемая «информационные путешественники», специализируется на проникновении в чужие компьютеры и сети.

Наконец, четвертая группа – создатели троянских программ и компьютерных вирусов. Впрочем, этих уже нельзя назвать хакерами, так как «неформальный кодекс» хакеров запрещает использование своих знаний во вред пользователям.

По последним оперативным данным хакеры в России объединены в региональные группы, издают свои электронные средства массовой информации (газеты, журналы, электронные доски со срочными объявлениями), проводят электронные конференции, имеют свой жаргонный словарь, который распространяется с помощью компьютерных бюллетеней, в которых также имеются все необходимые сведения для повышения мастерства начинающего – методики проникновения в конкретные системы и взлома систем защиты. Российские хакеры тесно контактируют с зарубежными, обмениваясь с ними опытом по глобальным телекоммуникационным каналам.

Все вышеперечисленное можно считать собирательным понятием «компьютерного преступника». Хотя можно по ряду оснований выделить и самостоятельные, обособленные их группы.

Кпервой группе «компьютерных» преступников можно отнести лиц, отличительной особенностью которых является устойчивое сочетание профессионализма в области компьютерной техники и программирования с элементами своеобразного фанатизма и изобретательности. Характерной особенностью преступников этой группы является отсутствие у них четко выраженных противоправных намерений. Практически все действия совершаются ими с целью проявления своих интеллектуальных и профессиональных способностей.

Они весьма любознательны, обладают незаурядным интеллектом. При этом не лишены некоторого своеобразного озорства и «спортивного» азарта. Наращиваемые меры по обеспечению безопасности компьютерных систем ими воспринимаются в психологическом плане как своеобразный вызов личности, их способностям.

Кчислу особенностей совершения преступления данной категории лиц можно отнести:

•отсутствие целеустремленной, продуманной подготовки к преступлению;

•оригинальность способа совершения преступления;

•использование в качестве орудий преступления бытовых технических средств и предметов;

•непринятие мер к сокрытию преступления;

•совершение озорных действий на месте происшествия.

Близко к рассматриваемой выше группе преступников можно отнести еще одну, вторую группу, в которую входят лица, страдающие новым видом психических заболеваний – информационными болезнями или компьютерными фобиями.

Компьютерные преступления могут совершаться лицами, страдающими указанным видом заболеваний. Скорее всего, при наличии подобных фактов в процессе раскрытия и расследования компьютерного преступления, необходимо обязательное назначение специальной судебно-психиатрической экспертизы на предмет установления вменяемости преступника в момент совершения им преступных деяний. Это, в свою очередь, должно повлиять на квалификацию деяний преступника в случае судебного разбирательства (преступление, совершенное в состоянии аффекта или лицом, страдающим психическим заболеванием и т. д.)

Можно сделать вывод о том, что компьютерные преступления, совершаемые преступниками данной группы, в основном связаны с физическим уничтожением либо повреждением СКТ без наличия преступного умысла, с частичной или полной потерей контроля над своими действиями.

Третью группу составляют профессиональные «компьютерные» преступники с ярко выраженными корыстными целями. Они характеризуются многократностью совершения компьютерных преступлений с обязательным использованием действий, направленных на их сокрытие, иобладающиевсвязисэтимустойчивымипреступныминавыками.

Преступники этой группы обычно являются членами хорошо организованных, мобильных и технически оснащенных профессиональным оборудованием и специальной техникой (нередко оперативнотехнического характера) преступных групп и сообществ. Это высококвалифицированные специалисты, имеющие высшее техническое образование.

Также надо упомянуть о мотиве и цели совершения компьютерных преступлений. Во всех случаях при расследовании конкретного преступления мотив и цель должны быть выяснены. Это имеет важное значение не только для определения судом справедливого наказания за содеянное, но и способствует полному раскрытию преступления. Сведения о наиболее распространенных мотивах и целях совершения любых, в том числе и компьютерных, преступлений используются при выдвижении версий относительно субъекта и субъективной стороны преступления, а также при организации целенаправленного поиска преступника.

Можно выделить пять наиболее распространенных мотивов совершения компьютерных преступлений:

•корыстные соображения – 66% (совершаются в основном преступниками третьей группы);

•политические цели – 17% (шпионаж, например, совершается преступниками третьей группы);

•исследовательский интерес – 7% (студенты и профессиональные программисты первой группы);

•хулиганские побуждения и озорство – 5% (хакеры, преступники первой группы);

•месть – 5% (преступники первой и второй групп).

Наиболее типичными преступными целями являются: подделка счетов и платежных ведомостей; приписка сверхурочных часов работы; фальсификация платежных документов; хищение наличных и безналичных денежных средств; вторичное получение уже произведенных выплат; перечисление денежных средств на фиктивные счета; отмывание денег; легализация преступных доходов; совершение покупок с фиктивной оплатой; незаконные валютные операции; незаконное получение кредитов; манипуляции с недвижимостью; получение незаконных льгот и услуг; продажа конфиденциальной информации; хищение материальных ценностей, товаров и т. п.

При этом, как правило, 52% преступлений связано с хищением денежных средств; 16% – с разрушением и уничтожением средств компьютерной техники; 12% – с подменой исходных данных; 10% – с хищением информации и программ и 10% – с хищением услуг.

6.4. ПРЕДУПРЕЖДЕНИЕ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Методика предупреждения преступлений является важной составной частью методологии криминалистики и включается в общее понятие методики борьбы с отдельными видами преступлений, к которым относятся и компьютерные преступления.

Международный опыт борьбы с преступностью свидетельствует о том, что одним из приоритетных направлений решения задачи эффективного противодействия современной преступной деятельности является активное использование правоохранительными органами различных мер профилактического характера. Предупредить компьютерное преступление всегда намного легче и проще, чем раскрыть и расследовать.

Обычно выделяются три основные группы мер предупреждения компьютерных преступлений, составляющие в своей совокупности целостную систему борьбы с этим социально опасным явлением:

•правовые;

•организационно-технические;

•криминалистические.

Кправовым мерам предупреждения компьютерных преступлений, в первую очередь, относятся нормы законодательства, устанавливающие уголовную ответственность за указанные выше противоправные деяния.

По методам применения организационно-технических мер предупреждения компьютерных преступлений специалистами отдельно выделяются три их основные группы:

•организационные;

•технические;

•комплексные.

Меры технического характера условно можно подразделить на три основные группы в зависимости от характера и специфики охраняемого объекта, а именно:

•аппаратные;

•программные;

•комплексные.

Меры криминалистического характера связаны с разработкой юридических процедур расследования преступлений в сфере компьютерной информации, обеспечивающих для этой категории дел гарантированную судебную перспективу.

6.5. МЕТОДИКА И ПРАКТИКА РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

6.5.1. Типичные следственные ситуации первоначального этапа и следственные действия

В настоящее время перед правоохранительными органами при расследовании компьютерных преступлений возникают криминалистические проблемы, характеризующие одновременно и специфику этого процесса, а именно:

•сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела;

•сложность в подготовке и проведении отдельных следственных действий;

•особенности выбораиназначения необходимых судебных экспертиз;

•целесообразность использования средств компьютерной техники в расследовании преступлений данной категории;

•отсутствие методики расследования компьютерных преступлений.

Решение проблем раскрытия и расследования преступлений данного вида представляет собой задачу на несколько порядков более сложную, чем задачи, сопряженные с их предупреждением.

Типовые ситуации – наиболее часто встречающиеся ситуации расследования, предопределяющие особенности методики расследования.

При расследовании преступлений в сфере компьютерной информации на первоначальном этапе можно выделить три типичные следственные ситуации:

1.в условиях очевидности – характер и обстоятельства преступления известны (например, какой вирус и каким способом введен в компьютерную сеть) и выявлены потерпевшим собственными силами, преступник известен и задержан (явился с повинной);

2.известен способ совершения, но механизм преступления в полном объеме неясен, например, произошел несанкционированный доступ к файлам законного пользователя через Интернет, через слабые места в защите компьютерной системы, преступник известен, но скрылся;

3.налицо только преступный результат, например дезорганизация компьютерной сети банка, механизм преступления и преступник неизвестны.

В первом случае необходимо установить, имелась ли причинно-

в работе, занесением компьютерного вируса и пр.), определить размеры ущерба.

Во втором – первоочередной задачей, наряду с указанными выше, является розыск и задержание преступника.

В третьей (наименее благоприятной) ситуации необходимо установить механизм преступления.

В. В. Крылов отмечает, что во всех этих ситуациях первоначальной задачей расследования является выявление данных о способе нарушения целостности информации и (или) конфиденциальности информации; порядка регламентации собственником работы информационной системы; круга лиц, имеющих возможность взаимодействовать с информационной системой, в которой произошли нарушения целостности и (или) конфиденциальности информации1.

При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

•нарушения целостности/конфиденциальности информации в системе;

•размера ущерба, причиненного нарушением целостности/конфиденциальности информации;

•причинной связи между действиями, образующими способ наруше-

ния, и наступившими последствиями путем детализации способа нарушения целостности/конфиденциальности информации всистеме

ихарактерасовершенных виновнымдействий;

•отношения виновного лица к совершенным действиям и наступившим последствиям.

Если преступник задержан на месте совершения преступления или

сразу же после его совершения для данной ситуации характерны следующие первоначальные следственные действия:

•личный обыск задержанного;

•допрос задержанного;

•обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц.

Важнейшим элементом работы является выемка (предпочтительно

сучастием специалиста) документов, в том числе на машинных носителях, фиксировавших состояние информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

1 Криминалистика: Учебник / Отв. ред. Н. П. Яблоков. – 2-е. изд., перераб и доп.

М.: Юристъ, 2000.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий.

Полученные в результате доказательства могут дать основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе доказательств:

•нарушения целостности/конфиденциальности информации в системе;

•размера ущерба;

•причинной связи между действиями и наступившими последствиями.

Типичные следственные действия, аналогичные первой типичной ситуации. Однако одновременно следует принять меры к поиску рабочего места заподозренного, откуда он осуществил вторжение в информационную систему.

Осуществляется поиск:

•места входа в информационную систему и способа входа в систему (с помощью должностных лиц);

•«путей следования» злоумышленника или его программы к «атакованной» системе (с помощью должностных лиц).

Такое место может находиться как у него на службе, так и дома,

атакже в иных местах, где установлена соответствующая аппаратура. Круг типичных общих версий сравнительно невелик.

6.5.2. Практические особенности отдельных следственных действий

Следственными действиями, в ходе которых производится обнаружение, фиксация, изъятие компьютерной информации, при расследовании преступлений в сфере компьютерной информации являются: осмотр мест происшествия (местности, помещений, предметов, документов), обыск (в том числе личного, на местности и в помещении), выемка (предметов, документов, почтово-телеграфной корреспонденции, документов, содержащих государственную тайну), прослушивание телефонных и других переговоров.1

1 Криминалистика: Учебник для вузов / Под ред. Р. С. Белкина. М.: НОРМА (Издательская группа НОРМА-ИНФРА-М), 2000. С. 944–963.

При производстве этих следственных действий необходимо тактически правильно производить поиск информации в компьютере, что позволит избежать ее уничтожения или повреждения; найти требуемое; зафиксировать и изъять его в соответствии с процессуальными нормами.

Осмотр – это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию.

Обыск – следственное действие, в процессе которого производится поиск и принудительное изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства.

Выемка – следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.

При осмотрах, обысках, выемках, сопряженных с изъятием ЭВМ, машинных носителей и информации, возникает ряд общих проблем, связанных со спецификой изымаемых технических средств.

Необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств.

Например, они могут использовать специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты.

Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются.

При подготовке к осмотру, обыску или выемке следователь решает вопрос о необходимости изъятия компьютерной информации. На эту необходимость, помимо признаков состава преступления в сфере движения компьютерной информации, могут указывать1:

•наличие у подозреваемого (обвиняемого) или потерпевшего (в некоторых случаях свидетелей) специального образования в области вычислительной техники и информатики, а также компьютерной техники в личном пользовании;

1Криминалистика: Учебник для вузов / Под ред. Р. С. Белкина. М.: НОРМА (Издательская группа НОРМА-ИНФРА-М), 2000. С. 944–963.

•присутствие в материалах дела документов, изготовленных ма-

шинным способом (ответы на запросы, справки, полученные от обвиняемого или потерпевшей стороны);

•хищение носителей компьютерной информации;

•данные об увлечении вышеуказанных лиц вычислительной техникой, информатикой и программированием или об их частых контактах с людьми, имеющими такие увлечения.

На подготовительном этапе осмотра или обыска необходимо получить достоверные данные о виде и конфигурации используемой ЭВМ; о том, подключена ли она к локальной или глобальной сети (типа Интернет); наличии службы информационной безопасности и защиты от несанкционированного доступа; системе электропитания помещений, где установлена вычислительная техника; квалификации пользователей; собрать сведения о сотрудниках, обслуживающих вычислительную технику (взаимоотношениях в коллективе, его возможной криминализации и т. д.).

При производстве расследования преступлений в сфере компьютерной информации часто решающее значение имеет внезапность обыска (неотложность осмотра), поскольку компьютерную информацию можно быстро уничтожить. Если получены сведения о том, что компьютеры организованы в локальную сеть, следует заранее установить местонахождение всех средств компьютерной техники, подключенных к этой сети, и организовать групповой обыск одновременно во всех помещениях, где установлены ЭВМ.

Перед началом обыска (осмотра) принимаются меры, которые предотвратят возможное повреждение или уничтожение информации.

Для этого следует обеспечить контроль за бесперебойным электроснабжением ЭВМ в момент осмотра, удалить всех посторонних лиц с территории, на которой производится осмотр или обыск, прекратить дальнейший доступ; принять меры к тому, чтобы оставшиеся лица не имели возможности прикасаться к средствам вычислительной техники и к источникам электропитания.

При осуществлении допросов подозреваемых и обвиняемых необходимо учитывать данные криминалистической характеристики о личности предполагаемого преступника.

При первоначальном допросе необходимо, побуждая лицо к деятельному раскаянию, выяснить, какие изменения в работу компьютерных систем были внесены, какие вирусы использовались, есть ли с точки зрения подозреваемого (обвиняемого) возможность быстро