Экзамен зачет учебный год 2023 / 4.13. Расследование преступлений в сфере компьютерной информации-1
.pdf
11! из 13!
большой объем доказательственной информации, но чреват опасностью уничтожения искомой информации. Данный вид обыска требует большой подготовки, включая тщательное изучение личности отыскиваемого, путей проникновения на место обыска, аппаратных и программных средств, имеющихся у подозреваемого, особенно систем защиты и уничтожения информации. Подготовка и сам обыск должны сопровождаться оперативнорозыскными мероприятиями.
Обыск начинается с личного обыска лица, у которого он производится. Помимо обычно искомых и изымаемых предметов, при личном обыске изымаются все средства связи, предметы, могущие служить носителями компьютерной информации, приборами, инициирующими уничтожение такой информации10.
В дальнейшем важнейшей задачей обыска является предотвращение уничтожения компьютерной информации обыскиваемым или третьими лицами:
•поиск и изъятие соответствующих технических средств;
•недопущение обмена информацией с другими лицами;
•нейтрализация действий соответствующих программ.
Входе обыска должны фиксироваться и изыматься все традиционные следы, устанавливающие взаимодействие лицам с электронно-вычислительной техникой, носителями информации: отпечатки пальцев, биологические следы человека и др.
Вещественными доказательствами, наиболее часто обнаруживаемыми при обыске, являются:
•рукописные записи (график сеансов связи, пароли и тп);
•документы, подтверждающие приобретение компьютерных средств (накладные и тп);
•документы, указывающие на каналы связи преступника (телефонные счета, интернеткарты и тп);
•литература, документы, содержащие описание аппаратных и программных средств (инструкции, руководства по эксплуатации и др.);
•источники, описывающие способы совершения преступления (исходные тексты вредоносных программ, распечатки с форумов хакеров);
•документы о местонахождении преступника (билеты, чеки из интернет-кафе и др.);
•техника, материалы, используемые при изготовлении носителей информации (например, упаковки дисков с вредоносными программами);
•образцы, характеризующие работу компьютерной техники (распечатки, тонер и тп);
•машинные носители информации.
При обыске операции с компьютерной информацией в ЭВМ зависят от того,
работает ли машина или нет:
•при не работающем компьютере фиксируется его внешний вид, соответствующее соединение, и он изымается;
•когда компьютер работает, главное для следователя не допустить потери информации.
Взависимости от складывающейся ситуации возможно изъятие машины при фиксации минимально необходимой для процессуального оформления информации. В случаях, когда возможность потери информации минимизирована и интересы следствия
требуют оперативного получения информации (например, установление сетевого адреса сообщника), возможны действия с компьютерной информацией. Последняя ситуация
10 Внешний вид таких вредств может быть весьма разнообразен, они могут быть замаскированы под другие предметы, поэтому изъятию подлежат все предметы неясного назначения или имеющие вид обычных бытовых предметов (брелок, ручка и проч.). Данная рекомендация должна соблюдаться и при обыске самих помещений.
12! из 13!
характеризуется высоким тактическим риском, и решение следователь должен принимать с учетом всех обстоятельств дела.
Изъятая в ходе обыска компьютерная информация подлежит копированию, и все последующие действия проводятся только с ее копиями.
4. Допрос
Основная специфическая проблема — это сложность передачи информации от допрашиваемого следователю при описании наблюдавшихся обстоятельств в сфере компьютерной информации:
•с одной стороны, лица, не имеющие профессиональной подготовки в данной области (пользователи), часто не могут правильно понять и изложить воспринятое, при этом они не всегда корректно используют специальную терминологию;
•с другой стороны, при допросе лиц, обладающих специальной подготовкой, использование ими технических терминов и жаргонизмов ведет к невозможности следователем осознать значение полученных сведений, соотнести их с другими доказательствами.
Рекомендуется при подготовке к допросу выяснить профессиональные навыки допрашиваемого в данной области. При составлении плана допроса необходимо использовать методическую литературу, консультации специалиста. В особо сложных случаях специалист привлекается к допросу. Во время допроса важно детализировать показания, можно предложить допрашиваемому продемонстрировать свои действия на технике, аналогичной той, с которой он работал, проиллюстрировать показания графически (схема и тп).
В ходе допроса свидетелей, потерпевших выясняются:
•обстоятельства организации работы с компьютерной информацией и компьютерной техникой до совершения преступления (режимы доступа, защиты, нормативная регламентация, полномочия соответствующих лиц и др.), приобретения программных и аппаратных средств;
•какие правила по использованию компьютеров были нарушены;
•методы передачи данных, коммуникационные протоколы;
•признаки подготовки совершения преступления (неожиданные сбои в работе, сообщения, полученные по сетям, появление подозрительных лиц и др.);
•информация о преступном событии (время, место, необычные явления в работе аппаратных и программных средств и др.);
•программы, используемые в качестве орудия преступления;
•действия допрашивемого и других лиц по ликвидации последствий преступления;
•могло ли случившееся произойти в результате непредвиденных обстоятельств (природные явления, техногенные факторы и др.);
•сведения о личности преступника (данные о его профессионализме, признаках внешности при непосредственном доступе и др.), его возможных мотивах.
Допрос подозреваемых (обвиняемых) направлен на установление:
•аппаратных и программных средств преступника, его средств связи;
•методов сбора сведений о предмете посягательства;
•каналов получения данных о способах совершения правонарушения (сайты в сети Интернет, опыт знакомых и др.);
•осведомленности лица о функциях средств, используемых при совершении преступления, их опасности (о свойствах вредоносных программ, программ по перехвату информации и др.);
13! из 13!
•получения доступа к информации в ЭВМ преступника и других используемых им компьютерах, включая раскрытие мер по ее защите;
•профессиональной подготовки в области компьютерной информации, целей, мотивов;
•фактов доступа к его компьютеру третьих лиц;
•о сообщниках (лицах, предоставивших вредоносные программы, сотрудниках пострадавшей организации и др.);
•установление мест хранения похищенной информации;
• о г р а н и ч е н и я и л и в о з м е щ е н и я у щ е р б а (в о с с т а н о в л е н и е у н и ч т ож е н н ы х (модифицированных) данных и тп).
5. Следственный эксперимент
Проводится для установления функций программных и аппаратных средств (например, обеспечить доступ к сетям, взаимодействие с определенной программой и тп). Эксперимент используется также для проверки навыков и умения лица, главным образом, интеллектуальных способностей11. В рамках последнего вида эксперимента проверяется:
•может ли лицо работать с определенными программами и техникой;
•позволяет ли его квалификация совершать те или иные действия;
•мог ли человек сам написать вредоносную программу.
Во многих случаях следственный эксперимент заключается в том, что лицо показывает, как оно совершало те или иные действия (преодолевало систему защиты
потерпевшего, размещало в его компьютере вредоносную программу). Экспериментальные действия могут проводиться только с использованием копий машинной информации и не на оригинальной технике, используемой при совершении преступления, а на ее аналогах.
11 Кроме случаев, когда физические параметры человека имеют значение для установления отдельных элементов способа совершения преступления (например, проникновения подозреваемого в помещение).