методика расследования

ственными силами выявил факт незаконного проникновения и иных противоправных действий, обнаружил виновное лицо и заявил об этом в правоохранительные органы.

2.Владелец или пользователь компьютерной сети (базы данных) информационной системы выявил факт незаконного проникновения и иных противоправных действий, но не смог установить виновное лицо и заявил об этом в правоохранительные органы.

3.Информация о незаконном проникновении в компьютерную сеть и иных совершенных противоправных действиях стала общеизвестна либо была установлена в ходе проведения оперативно-разыскных мероприятий.

Таким образом, первоначальной задачей следователя и оперативного работника являются сбор и фиксация при помощи собственника системы фактов незаконного проникновения в компьютерную сеть и совершения иных противоправных действий.

В компьютерных сетях, как правило, программное обеспечение настраивается таким образом, чтобы максимально полно протоколировать все события, происходящие в системе. Протоколируется, с какого компьютера произошло соединение, а если на компьютере установлена программа идентификации, то и имя пользователя, запросившего соединение.

Обеспечение сохранности электронных протоколов, указывающих на проникновение в сеть, является одной из задач следователя, поскольку такая информация, изъятая в ходе расследования уголовного дела с соблюдением уголовно-процессуальных требований, может служить доказательством по делу. По аналогичным соображениям необходимо обеспечить сохранность жесткого диска взломанного компьютера. Если уголовное дело возбуждено, то следователь может разрешить владельцу снять копию с жесткого диска, а сам диск направляется на экспертизу. Дальнейший анализ диска может позволить определить, что успел сделать злоумышленник, как он проник в систему и где находится компьютер, использовавшийся для проникновения в сеть.

Особое внимание необходимо обращать на способ незаконного проникновения в локальную вычислительную сеть: подбор либо знание паролей, отключение средств защиты (в том числе извне), использование несо-

310

вершенства средств защиты, использование специальных программных средств, а также на содержание и назначение информации, подвергшейся воздействию. В отдельных случаях указанная информация позволяет достаточно четко определить круг подозреваемых лиц.

Всоответствии с конкретными обстоятельствами и с учетом предложенных следственных ситуаций следователем могут быть выдвинуты следующие общие версии:

1) хищение совершено сотрудником данного кредитно-финансового учреждения либо лицом, входящим в круг родственников, друзей, знакомых сотрудников учреждения, иным лицом, имеющим доступ к компьютерной технике в данном учреждении;

2) преступление совершено группой лиц с участием сотрудника данного учреждения;

3) хищение совершено лицом или группой лиц, не связанных с деятельностью данного кредитно-финансового учреждения.

По мнению отечественных и зарубежных специалистов, на долю хищений, совершенных сотрудниками учреждения, имеющего локальную вычислительную сеть, или по сговору с ними, приходится около 70–80% всех хищений с незаконным использованием компьютерной информации. Как правило, подобные хищения совершаются группой, причем один из ее членов является либо сотрудником данного учреждения, либо имеет свободный доступ к компьютерам (представитель службы технического обеспечения, постоянный контрагент и т. п.), умеет работать с вычислительной техникой, хорошо представляет, какая информация и где расположена в компьютере.

Вэтом случае преступника характеризуют два признака, которые существенно сужают круг подозреваемых: знание функций, паролей различных операций, выполняемых тем или иным компьютером в организации, и наличие доступа к компьютеру или их сети.

Особое внимание следует обратить на то, что часто хищения осуществляют не только квалифицированные специалисты, знания которых позволяют им взломать защиту многих компьютерных систем, но и неквалифицированные служащие, имеющие возможность доступа к средствам компьютерной техники.

311

Всвязи с этим большое значение приобретают допросы потерпевших

исвидетелей, а также получение документов, характеризующих работу как учреждения в целом, так и отдельных его сотрудников.

Кроме сведений о лицах, имеющих доступ к данному компьютеру, по возможности следует установить, какая компьютерная техника используется, подключена ли она к источнику автономного или бесперебойного питания, где расположен щиток по отключению электроэнергии в данном помещении, есть ли у пользователя сообщники, выставляется ли контрнаблюдение во время работы компьютера и т. д. Через узел связи, на котором зарегистрирован данный абонентский номер телефона, необходимо установить время, когда осуществляется модемная связь.

§3 Особенности тактики первоначальных

ипоследующих следственных действий

При расследовании преступлений, совершаемых с использованием НИТ, и компьютерной техники либо технологии или пластиковых карт, на достаточном уровне не отработаны тактические и методические аспекты их раскрытия и расследования, особенно в сфере экономики. Раскрытие и расследование указанных преступлений имеют особенности в проведении следственных действий, в ходе которых необходимо иметь специальные знания и умело их использовать как специалисту, так и следователю либо работнику органа дознания.

В этом плане возможно выделить основную особенность тактики производства отдельных следственных действий по делам о преступлениях данной группы – непосредственное участие следователя в организации, планировании, подготовке и проведении неотложных следственных действий. Это диктуется непосредственной зависимостью хода дальнейшего расследования указанных преступлений от результатов реализации оперативных материалов. Именно поэтому следователь совместно с оперативными работниками должен разработать варианты проведения следственных действий таким образом, чтобы исключить возможность избавления или уничтожения орудий и предметов посягательств, других доказательств

312

и следов преступления, а также иные возможные действия лиц, затрудняющие расследование. Необходимо обратить особое внимание на следующие типичные недостатки, имеющие место в оперативно-следственной практике при проведении первоначальных следственных действий: задержание преступника, его личный обыск, а также по месту его работы и(или) проживания, первоначальный осмотр места происшествия, машинных носителей информации и самой компьютерной информации (включая «электронные документы»), осмотр орудий подготовки, совершения и сокрытия преступлений и другие неотложные следственные действия производятся сотрудниками оперативных служб правоохранительных органов без участия следователя, а также без предварительного согласования с ним всех возможностей получения доказательств, изобличающих преступников; необоснованное подчинение первоначальных следственных действий одной цели – изъятию похищенного, документов, орудий преступления и иных предметов у подозреваемого или на месте обнаружения преступления без принятия процессуальных мер к доказыванию факта существования между ними причинно-следственных связей, придания им статуса вещественного доказательства в ущерб возможности получения доказательственной информации из других источников; некачественное процессуальное закрепление криминалистически значимых данных, полученных при задержании подозреваемого или в результате проведения других следственных действий.

По делам рассматриваемой категории также существует настоятельная необходимость одновременного проведения, как правило, нескольких следственных действий в наиболее сжатые сроки. Это определяется тем, что преступники буквально за считанные минуты могут уничтожить прямые доказательства своей преступной деятельности, зачастую не подлежащие восстановлению – компьютерную информацию, ее физические носители, а также иные следы.

Участие во многих первоначальных следственных действиях нескольких специалистов одного профиля или различных специальностей, использование новых научно-технических средств требуют от следствия принятия дополнительных мер к процессуальному подтверждению достоверности результатов и обеспечению доказательственного значения.

313

Осмотр места происшествия. Одним из решающих условий качественного расследования преступлений в сфере экономики, совершаемых с использованием компьютерной информации, является своевременный выезд на место происшествия профильной следственно-оперативной группы, состоящей из сотрудников, специализирующихся на расследовании преступлений данной категории.

Для проведения осмотра места происшествия по делам о преступлениях в сфере экономики, совершенных с использованием компьютерной информации, в зависимости от конкретной следственной ситуации в состав СОГ должны входить следующие лица:

1)обязательные участники – следователь, специализирующийся на расследовании уголовных дел выделенной категории (руководитель СОГ); оперативные сотрудники (ОУР, ОБЭП, налоговой полиции, ФСБ), работники дознания, специализирующиеся на выявлении и раскрытии преступлений рассматриваемой категории; понятые (не менее двух человек);

2)факультативные участники – специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории; специалист по СЭВТ конкретного вида; специалист по сетевым технологиям (в случае наличия на месте происшествия периферийного оборудования удаленного доступа или локальной компьютерной сети); специалист по системам связи (при использовании для дистанционной передачи данных каналов электросвязи); бухгалтер-ревизор конкретного профиля, знающий особенности электронного документооборота, либо, как минимум, пользователь ЭВМ; сотрудник Гостехкомиссии России (в случае совершения преступления в отношении юридического лица и(или) наличия специальных средств защиты информации и СЭВТ, негласных средств несанкционированного доступа к объекту, СЭВТ и компьютерной информации); сотрудник оперативно-технического подразделения или частной охранной структуры по профилю установленного специального технического устройства; инспектор отдела вневедомственной охраны или службы безопасности осматриваемого объекта (когда место происшествия или СЭВТ, находящееся на нем, одновременно является охраняемым объектом); сотрудник ФАПСИ (при наличии на месте осмотра аппаратуры шифрования

314

сообщения, передаваемого по каналам электросвязи, программноаппаратного комплекса электронной цифровой подписи и т. п.).

При необходимости для участия в осмотре места происшествия могут быть приглашены и другие не заинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (предмета), а именно: инженеры-электрики, специалисты спутниковых систем связи, операторы компьютерных систем и сетей (сотовых, пейджинговых, Интернет и др.).

Подбор понятых, участвующих в проведении следственного осмотра места происшествия, СЭВТ, компьютерной информации и «электронного» документа, а также при проведении обыска или выемки с целью их изъятия, целесообразно осуществлять на подготовительном этапе до начала производства следственного действия из числа лиц, во-первых, не заинтересованных в исходе дела, во-вторых, имеющих хотя бы общее представление об изымаемом или осматриваемом предмете.

Завершая первую стадию подготовительного этапа осмотра места происшествия, следователь должен определить, какие технико-кримина- листические средства будут использоваться при осмотре, и удостовериться в их комплектности и исправности. Помимо стандартного набора принадлежностей, в нем должны находиться: химические средства обнаружения и фиксации следов пальцев рук, не имеющие в своем составе магнитосодержащих материалов (например, сажа, прокаленный порошок оксида цинка и т. п.) для работы со следами, оставленными на магнитных носителях информации и СЭВТ; специальные алюминиевые или свинцовые контейнеры либо бытовая алюминиевая фольга (возможно, алюминиевая кастрюля с крышкой из того же материала) для грамотного изъятия магнитных носителей машинной информации, исключающие стороннее воздействие электромагнитных и магнитных полей, способных модифицировать и уничтожить изъятую компьютерную информацию; паспортизированные машинные носители информации, предназначенные для копирования компьютерной информации в случае невозможности физического ее изъятия вместе с «родным» носителем, упакованные в алюминиевую фольгу или контейнер; паспортизированные машинные носители информации с соответствующим лицензированным программным обеспечением, необходимым

315

для проведения осмотра памяти СЭВТ и компьютерной информации, интересующих следствие (системные загрузочные программы, тестовые, антивирусные детекторы, способные восстанавливать стертые файлы, определять конфигурацию или внутреннюю спецификацию осматриваемого СВТ, индивидуальные характеристики компьютерной информации – размер, дату создания, название и т. д.).

Составив для себя полное и четкое представление о происшедшем событии, следователь должен окончательно решить вопрос о круге участников осмотра (возможно, ему потребуется дополнительно вызвать каких-то специалистов, оперативных работников или охрану), а также провести инструктаж участников осмотра, в котором отразить следующее: разъяснить каждому его задачи, что конкретно он должен делать, его права и обязанности, меры предосторожности при осмотре СЭВТ, компьютерной информации, работе со специфическими следами и т. д.

После этого должен начинаться непосредственно осмотр места происшествия – его исследовательский этап, который с учетом требований научной организации труда можно условно разделить на три стадии: общий осмотр (статическая стадия), детальный (динамическая) и заключительный (фиксация хода и результатов осмотра).

На стадии общего осмотра решающее значение имеют составление плана расположения места осмотра относительно соседних с ним объектов и сторон света; привязка места происшествия и основных предметов, находящихся на нем, к нескольким постоянным ориентирам; предварительное определение границ территории, подлежащей осмотру.

По делам о компьютерных преступлениях в сфере экономики очень важно правильно решить вопрос об исходной точке осмотра. В тактическом отношении наиболее целесообразной отправной точкой будет являться конкретное (установленное оперативным или иным путем) СЭВТ с компьютерной информацией, выступающей в качестве предмета или орудия совершения преступления, которое имеет максимально информативные и многочисленные следы преступной деятельности.

В процессе проведения осмотра места происшествия желательно использовать видеоили фотосъемку.

316

После того как характер и расположение объектов будут исследованы и зафиксированы, например составлены схемы проводных соединений СЭВТ между собой, со средствами и каналами электросвязи, иным периферийным оборудованием, начинается вторая стадия исследовательского этапа – детальный осмотр каждого из обнаруженных предметов. При этом допускаются перемещение осматриваемого предмета, его разборка и иные манипуляции с ним, диктуемые следственной необходимостью. Так, может быть вскрыт корпус СЭВТ; открыт защитный кожух печатающего механизма принтера; снята передняя панель таксофона или банкомата, кон- трольно-кассового аппарата; исследована память СЭВТ и машинного носителя информации и т. д. На этой же стадии предпринимаются необходимые поисковые действия в целях обнаружения на месте происшествия и на отдельных осматриваемых объектах (документах, машинных носителях информации, СЭВТ и др.) следов преступления.

При наличии данных, свидетельствующих о совершении преступления в сфере экономики с использованием конфиденциальной компьютерной информации, не лишним будет проведение поисковых мероприятий с целью установления возможного технического канала утечки такой информации и конкретного технического устройства. Для этого необходимо с участием специалиста из Гостехкомиссии, оперативно-технического подразделения или частной охранной структуры, используя специальную аппаратуру, провести контроль радиоэфира, проверить имеющуюся на месте осмотра электроустановочную арматуру, средства охранно-пожарной сигнализации, телекоммуникационное оборудование и др. Возможно проведение и иных поисковых мероприятий.

Как правило, на данном этапе проведения следственного действия возникает настоятельная необходимость детального осмотра и последующего изъятия СЭВТ, машинного носителя информации, компьютерной информации (в том числе машинного документа).

На заключительном этапе осмотра места происшествия производится фиксация его хода и полученных результатов: полностью дооформляется протокол проведения следственного действия; упаковываются обнаруженные и изъятые предметы и следы; окончательно дорабатываются пла-

317

ны, схемы и чертежи; рассматриваются замечания, поступившие от участников осмотра данного следственного действия.

Правила, регламентирующие деятельность следователя на этой стадии осмотра, подробно регламентированы действующим уголовно-про- цессуальным законодательством.

Отметим, что в протоколе следственного действия необходимо указать все действия по обнаружению и изъятию следов и предметов осмотра в той последовательности, в которой они производились, и в том виде, в котором обнаруженное наблюдалось (например, манипуляции специали-

ста с СЭВТ, программным обеспечением и компьютерной информацией; нажатия клавиши управления СЭВТ и их результат).

В протоколе обязательно следует указать все примененные для обнаружения, фиксации, изъятия следов и их носителей технические средства, включая программное обеспечение: их паспортные данные – тип, вид, марка или название, заводской или регистрационный (инвентарный) номер изделия, серию (модель), изготовителя и т. п., условия и порядок их использования (например, при использовании ПЭВМ и программного обеспечения сделать отметку о том, что перед этим они были тестированы специалистом на предмет отсутствия в них вредоносных программноаппаратных средств – указать паспортные данные тестирующего средства), а также подробно описать следы и объекты-следоносители в статике относительно мест их обнаружения; условия и порядок их изъятия и упаковки.

При проведении осмотра документа важно помнить следующее обстоятельство. Доказательствами по уголовному делу могут быть признаны только подлинники документов.

Осмотр документов по делам о компьютерных преступлениях в сфере экономики, исходя из устанавливаемых обстоятельств, должен преследовать следующие основные цели: проверку действительности документа; проверку принадлежности документа предъявителю; выявление признаков подделки документа; выявление признаков интеллектуального подлога; обнаружения следов, оставленных на документе преступником и орудием преступления. Осматривается общий вид документа. Выясняются и описываются его наименование, назначение (например, платежное поручение,

318

чек, облигация, кредитная карта, денежная купюра, паспорт и др.), форма (например, общедоступная или форма машинного документа, в том числе записанная в сложных форматах), внешний вид (документ на бумажном носителе или на машинном носителе информации), размер и индивидуальные признаки материального носителя (или его реквизиты), все реквизиты документа.

Обыск. С учетом собранной информации определяется тактика проведения указанного следственного действия:

1.Определяется время начала обыска и меры, обеспечивающие его внезапность и конфиденциальность. В случае наличия информации о нахождении на компьютере данных, свидетельствующих о причастности его владельца к совершению преступления, начинать обыск лучше в то время, когда возможность работы на нем сведена к минимуму.

2.Проконсультировавшись со специалистами, определить, какая информация может находиться на компьютере, и подготовить соответствующую технику для ее копирования. Определить возможные меры безопасности, предпринимаемые преступниками с целью уничтожения доказательств по делу.

3.Подобрать понятых, которые разбираются в компьютерной технике (основных операциях, названиях компьютерных программ и т. п.), чтобы исключить возможность оспаривания в суде правильности проведенного следственного действия и его результатов.

Специфичность и сложность манипуляций с компьютерной техникой для непосвященного человека могут нивелировать усилия следователя по закреплению обнаруженной доказательственной информации. Непонимание смысла происходящего понятым может способствовать тому, что суд может признать недопустимыми собранные доказательства.

4.Исходя из квалификации и профессиональных навыков владельца компьютера, определить специалиста по компьютерной технике, который примет участие в следственном действии.

С учетом специфики исследуемого преступления по прибытии на место обыска необходимо: быстро и неожиданно войти в помещение, чтобы свести к минимуму возможность уничтожения информации, находящейся

319