Расследование преступлений в сфере компьютерной информации: криминалистическая характеристика, особенности расследования, типовые следственные ситуации и системы следственных действий.
Родовой объект – общественные отношения, связанные с информационными процессами с использованием ЭВМ, их систем и сетей.
Преступления в сфере информации включают три блока:
1 – Неправомерный доступ (272 статья);
2 - создание, использование, распространение вирусных программ (ВП) (273),
3 - нарушение правил эксплуатации ЭВМ (274).
Последствия: уничтожение, блокирование, копирование информации, нарушение работы ЭВМ.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их предоставлениях (ФЗ «О защите информации»)
Компьютерная информация – документированная (зафиксированная на материальном носителе с реквизитами для идентификации) информация, хранящаяся в ЭВМ или управляющаяся ею.
ЭВМ – это комплекс электронных устройств, позволяющий осуществлять предписанные программой информационные процессы.
Нарушение работы ЭВМ – создание нарушителем любой нештатной ситуации с ЭВМ или ее устройствами, повлекшей уничтожение, блокирование, модификацию или копирование информации.
Личность преступника |
Владеют специальными навыками как в области управлениями ЭВМ, так и в области обработки информации в целом + если корыстное преступления обладают знаниями в финансовых вопросах Субъекты различаются по уровню профессиональной подготовки (в отличие от например, субъектов в финансовой сфере – где фактически все обладают знаниями). Виды субъектов: Хакеры – лица, рассматривающие защиту компьютерных систем как личный вызов и взламывающие их для получения полного доступа к системе и удовлетворения собственных амбиций Шпионы – лица, взламывающие компьютеры для получения информации, которую можно использовать в политических военных и экономических целях Террористы – лица, взламывающие информационные системы для создания большой опасности, с целью выдвижения целей. Корыстные преступники – лица, вторгающиеся в информационные системы для получения личных выгод Вандалы – лица, взламывающие информационные системы для их разрушения. Психические больные лица, страдающие новым видом психических заболеваний, информационными болезнями. Преступникам присущи высокий уровень интеллектуального развития, нестандартность мышления, профессионализм, фанатичное отношение к новым компьютерным технологиям, изобретательность, богатая фантазии и скрытность. Чаще всего преступник из числа сотрудников организации является образцовым служащим, имеющим соответствующее образование. Указанные лица, как правило, ранее не совершали никаких преступлений. Нередко — это руководители различного ранга, обладающие распорядительными функциями, но непосредственно не отвечающие за конкретные участки работы с компьютерной информацией и ЭВМ. Чаще всего преступления в сфере компьютерной информации совершаются устойчивыми преступными группами, для которых характерны мобильность, высокая техническая оснащенность, четкое распределение ролей, ярко выраженная корыстная мотивация, хорошо продуманная система сокрытия следов преступных деяний. |
Объект |
Общественные отношения, связанные с информационными процессами с использованием ЭВМ, их систем и сетей.
|
Способ совершения преступления (способ приготовления, совершения, сокрытия)
|
Неправомерный доступ к информации – получение возможности знакомиться и осуществлять операции с чужой информацией, находящейся в ЭВМ, то есть действия по нарушению конфиденциального характера информации на ЭВМ (примеры: копирование, изготовление дубликатов информации, запоминание информации в процессе ее обработки, несанкционированное подключение к ЭВМ). Изготовление и распространение ВП: нарушающих целостность информации, нарушающих конфиденциальность информации. ВП – это программа, специально разработанная и модифицированная для несанкционированного собственником информационной системы уничтожения, блокирования, модифицирования либо копирования информации или нарушения работы ЭВМ Действия с нарушением порядка использования технических средств, повлекшие нарушение целостности и конфиденциальности информации. * Ю.М. Батурин разделил все способы компьютерных преступлений на осуществляемые методами перехвата, методами несанкционированного доступа и методами манипуляции. |
Орудие
|
Определяется способом совершения преступления. Наиболее широко применяемым универсальным орудием совершения преступления в сфере компьютерной информации является ПЭВМ или ПК-персональный компьютер с соответствующим программным обеспечением и периферийным оборудованием. +Средства электронно-вычислительной техники, специальные технические средства, магнитные материалы и технические устройства. |
Место
|
Несовпадение между местом совершения противоправных действий и местом наступления опасных последствий |
Время
|
- |
Обстановка
|
Преступления совершаются в области профессиональной деятельности, с использованием оборудования особого рода. Для правонарушителей обычно ясен механизм нарушения правил, и связь с событиями, повлекшими наступление криминального результата. Обстановка совершения данных преступлений характеризуется тем, что подобные преступления могут совершаться как непосредственно на поражаемом компьютере, так и с удаленного стационарного (а в современных условиях развития компьютерной техники - и перемещающегося) терминала. |
Мотив, цель, мотивация |
Согласно данным Э. Мелик, наиболее распространенными мотивами совершения компьютерных преступлений являются: 1) корыстные соображения - 66%; 2) политические цели - 17%; 3) исследовательский интерес - 7%; 4) хулиганские побуждения и озорство - 5%; 5) месть - 5%. |
Следообразование |
В качестве следов преступления могут выступать как обычные, трасологические, следы (пальцев рук и т.д.), так и компьютерные носители информации (диски, дискеты и т.д.), документы (записи пользователей, записи злоумышленника, свидетельствующие о разработке преступления, подборе паролей и т.д.), а также "виртуальные" следы в памяти компьютеров и т.д.
|
Типовые следственные ситуации и направления расследования.
Ситуация 1
Собственник информационной системы сам выявил нарушения целостности, обнаружил причастное лицо и заявил об этом в органы.
Ситуация 2
Собственник выявил нарушения в системе, но не смог обнаружить виновное лицо и заявил об этом в органы.
Ситуация 3
Данные о нарушении целостности и конфиденциальности информации и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания, или ОРД.
Общая задача:
- Выявить способ нарушения
- Порядок работы информационной системы собственника
- Круг лиц, имеющих возможность взаимодействовать с информационной системой
Выполнение общих задач позволит решить вопросы о лицах, причастных к деянию, определить размер ущерба.
Следственные действия в основном – осмотр ЭВМ, осмотр рабочего места ЭВМ и допросы свидетелей и очевидцев.
Типовые первоначальные версии:
- Преступление имело место
- Преступления не было, а заявитель добросовестно заблуждается
- Ложное заявление о преступлении.
Признаки вторжения:
- Изменение структуры файловой системы: переименование файлов, изменение размеров файлов, их содержимого, изменения реквизитов файлов, появление новых файлов.
Скорее всего нарушение правил эксплуатации или неправомерный доступ к информации.
- Изменение конфигурации компьютера: изменение порядка работы принтера, модема, появление новых и удаление прежних сетевых устройств. – скорее всего неправомерный доступ или нарушение правил эксплуатации
- Необычные проявления в работе ЭВМ: замедленная или неправильная загрузка операционной системы, замедление реакции машины на ввод с клавиатуры. Замедление работы с внешними устройствами, появление на экране нестандартных символов. Это скорее всего ВП.
Особенности расследования.
Необходимо привлечение специалистов: из учреждений, которые обслуживают технику, в НИИ, а также специалисты информационно-вычислительных центров УВД. В ряде субъектов есть управления «К».
Компьютерно-техническая экспертиза отвечает на вопрос:
- Какова конфигурация и состав ЭВМ и можно ли с помощью этой ВМ осуществить действия.
- Какие информационные ресурсы есть в данной ЭВМ,
- Являются ли найденные файлы копиями
- Являются ли представленные файлы вредоносными?
- Подвергалась ли компьютерная информация изменению.