методика расследования

на компьютере. В некоторых случаях, когда это возможно и целесообразно, непосредственно перед входом в обыскиваемое помещение следует обесточить его; не разрешать кому бы то ни было из лиц, работающих на объекте обыска, или иным лицам прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры, при необходимости удалить персонал в другое помещение; не разрешать никому из персонала выключать или включать электроснабжение объекта; если перед началом обыска электроснабжение было отключено, то до его подключения следует отключить от электросети все компьютеры и периферийные устройства; не производить никаких манипуляций с компьютерной техникой, если их результат заранее неизвестен.

После выполнения перечисленных мероприятий необходимо произвести предварительный осмотр компьютерной техники с целью определения, какие программы работают в данный момент. В случае обнаружения работающей программы по уничтожению информации она останавливается, и осмотр начинается именно с этого компьютера.

Если компьютеры, находящиеся в помещении, соединены в локальную сеть, их осмотр целесообразно начать с сервера, затем осматривают работающие компьютеры, а потом остальную компьютерную технику и источники питания.

При осмотре работающего компьютера необходимо: определить,

какая программа выполняется в данный момент. Для этого изучается изображение на экране дисплея и детально описывается в протоколе. При необходимости может осуществляться фотографирование или видеозапись изображения на экране дисплея; остановить исполнение программы и зафиксировать в протоколе результаты своих действий, отразить изменения, произошедшие на компьютере; определить наличие у компьютера внешних устройств – накопителей информации на жестких магнитных дисках (винчестере), на дискетах и устройствах типа ZIP, наличие виртуального диска (временный диск, который создается при запуске компьютера для ускорения его работы), отразить полученные данные в протоколе; определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (подключение к локальной сети, наличие

320

модема), после чего отключить компьютер от сети и выключить модем, отразить в протоколе результаты своих действий; скопировать программы

ифайлы данных, созданные на виртуальном диске (если он имеется), на магнитный носитель или на жесткий диск компьютера в отдельную директорию; выключить компьютер.

При осмотре неработающего компьютера необходимо: отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (принтера, модема, клавиатуры, монитора и т. п.); отразить в протоколе назначение каждого устройства, название (обычно указывается на лицевой стороне), серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие соединения с локальной вычислительной сетью и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскрытия); точно описать порядок соединения между собой указанных устройств, промаркировав (при необходимости) соединительные кабели и порты их подключения, после чего разъединить устройства компьютера; в ходе осмотра компьютера необходимо с помощью специалиста установить наличие внутри компьютера нештатной аппаратуры, осуществить изъятия микросхем, отключение внутреннего источника питания (аккумулятора); упаковать (с указанием в протоколе места их обнаружения) магнитные носители на дискетах

илентах. Для упаковки могут использоваться как специальные футляры для дискет, так и обычные бумажные и целлофановые пакеты, исключающие попадание грязи и других посторонних веществ на рабочую поверхность дискеты или магнитной ленты; каждое устройство компьютера и соединительные кабели упаковываются отдельно. Предварительно, для исключения доступа посторонних лиц, необходимо опечатать системный блок – заклеить лентой кнопку включения компьютера и гнездо для подключения электрокабеля, а также места соединения боковых поверхностей с передней и задней панелями.

Если в ходе осмотра и изъятия компьютерной техники возникает необходимость включения компьютера, его запуск необходимо осуществлять с заранее подготовленной загрузочной дискеты, исключив тем самым запуск программ пользователя.

321

Допрос свидетелей. Основная особенность проведения указанного следственного действия по этой категории преступлений заключается в том, что субъектом допроса, как правило, является представитель потерпевшей стороны либо иное лицо, тем или иным образом связанное с производственной деятельностью. Потерпевшей стороной в большинстве случаев является юридическое лицо, поэтому такое следственное действие, как допрос потерпевшего, рассматривается в контексте допроса свидетелей.

На первый взгляд, проведение допроса не представляет особых трудностей. При расследовании компьютерных преступлений в сфере экономики следователи нередко сталкиваются со значительными трудностями объективного и субъективного характера, что накладывает отпечаток на содержание тактики производства многих следственных действий, включая допрос свидетелей. Осложняют ситуацию несовершенство и относительная новизна уголовного законодательства, а также противоречивость действующего законодательства, регулирующего правоотношения как в сфере экономики, так и в сфере компьютерной информации. Таким образом, тактика проведения допроса свидетелей по делам о компьютерных преступлениях в сфере экономики будет иметь следующие особенности.

Подготовительный этап допроса свидетелей по делам о компьютерных преступлениях в сфере экономики имеет очень большое значение и во многом определяет результативность данного следственного действия. Отметим наиболее значимые его компоненты. При определении круга обстоятельств, подлежащих выяснению в ходе допроса свидетеля, следователю необходимо подробно проанализировать имеющиеся в деле материалы, продумать план проведения следственного действия и конкретизировать отрабатываемые версии. Учитывая отсутствие в настоящее время у подавляющего большинства следователей необходимых специальных познаний по делам рассматриваемой категории, при подготовке к допросу свидетелей следует значительное внимание уделять изучению специальных вопросов, которые могут возникнуть в ходе его проведения. С этой целью перед началом допроса следователь должен изучить специальную литературу; проконсультироваться с соответствующим специалистом; еще раз ознакомиться с результатами осмотра места происшествия, документов и

322

иных предметов, освежить в памяти их внешний вид, конструктивные, функциональные, технологические и иные особенности; ознакомиться с особенностями производственного процесса и технологическим режимом конкретного учреждения, предприятия или организации. Особое внимание со стороны следователя должно быть уделено специальным познаниям в области электронного документооборота, режима конфиденциальности компьютерной информации, средств и методов ее защиты и безопасной обработки.

При определении круга участников допроса необходимо учитывать следующее обстоятельство. Поскольку число лиц, которых возможно привлечь в качестве свидетелей по таким уголовным делам, как правило, достаточно велико, при определении круга и очередности их допросов следует исходить из объема данных, которыми они могут располагать, и сложившейся на данный момент следственной ситуации. Так, при установлении субъекта, совершившего или возможно совершившего преступление, необходимо в первую очередь допросить: лиц, участвовавших в изобличении преступника (оперативных работников, должностных лиц, сотрудников службы безопасности, ревизоров, контролеров, операторов, кассиров, инспекторов, администраторов сети и баз данных); знакомых и родственников подозреваемого; лиц, знакомых со служебной деятельностью подозреваемых, которые даже, возможно, выполняли определенные действия в их интересах, но не стали соучастниками преступления; непосредственных начальников подозреваемого (на месте совершения преступления, месте происшествия).

Допросить как можно быстрее вышеуказанных лиц необходимо по следующим обстоятельствам. Во-первых, подозреваемые всегда знают таких лиц и имеют возможность лично или через посредников (в том числе неизвестных следствию соучастников преступления) общаться с ними. Пользуясь этой возможностью, они могут пытаться запугать, разжалобить или подкупить свидетелей и таким путем склонить их к даче ложных показаний, уклонению от дачи показаний или даче неполной информации при допросе. Во-вторых, их показания при умелом использовании могут оказать сильное психологическое воздействие на подозреваемого. С помощью

323

такого рода свидетельских показаний следователю нередко уже в самом начале расследования удается убедить подозреваемого в том, что единственный выход для него – признаться в содеянном; полностью или частично избежать конфликтной ситуации.

В других случаях, когда лицо, совершившее преступление, не установлено, необходимо допросить в качестве свидетелей следующих лиц: заявителя (потерпевшего или представителя потерпевшей стороны); лиц, обнаруживших признаки состава преступлений (оперативных работников, должностных лиц, сотрудников службы безопасности, ревизоров, контролеров, операторов, кассиров, инспекторов, администраторов сети и баз данных); лиц, непосредственно отвечающих за конкретный участок работы (конкретную операцию, технологический цикл или процесс), на котором были обнаружены следы преступления; лиц, непосредственно не отвечающих за данный участок работы, но в силу своих служебных обязанностей обладающих властно-распорядительными функциями по отношению к конкретному работнику (например, непосредственный начальник); лиц, работающих на конкретном производственном участке либо обеспечивающих проведение операции (производственного цикла или технологического процесса) в силу своих служебных обязанностей или технологии производства (включая сотрудников смежных организаций); лиц, непосредственно обеспечивающих технически заданное технологическое функционирование конкретного СЭВТ, его программного обеспечения, средств защиты и безопасности (проводивших пуско-наладочные работы, разработку и сопровождение программного обеспечения, средств и систем электросвязи СЭВТ, ремонт и техническое обслуживание, регламентные работы, проверку безопасности компьютерной системы и соответствия ее технических параметров требованиям действующих нормативных правил и руководящих документов).

На подготовительном этапе допроса свидетелей значительное внимание следует также уделить определению необходимых материалов, которые будут предъявляться допрашиваемому в ходе получения его показаний. Документы СЭВТ и иные предметы, в том числе играющие роль вещественных доказательств, которые предполагается предъявить в ходе до-

324

проса, необходимо заранее приготовить, например сделать закладки в объемных по содержанию документах, а сами документы и иные предметы расположить вблизи от себя по месту проведения следственного действия.

Ход и результаты допроса важных свидетелей целесообразнее всего фиксировать с помощью технических средств, которые необходимо заранее подготовить. Наиболее предпочтительны видеокамера (аудиовизуальная фиксация) и персональный компьютер с соответствующим программным обеспечением и печатающим устройством (процессуальная фиксация

– подготовка и оформление протокола следственного действия; помощь в организации и тактике проведения допроса – автоматизированное рабочее место следователя).

Особенности назначения судебных экспертиз. Эффективность рас-

крытия и расследования преступлений в сфере экономики, совершенных с использованием компьютерной информации, во многом зависит от умелого использования следователем и оперативным сотрудником различных форм помощи специалистов на всех стадиях уголовного процесса. Учитывая основные положения научной организации труда, следователю необходимо обратить внимание на разделение своего труда: важно знать, исходя из конкретной следственной ситуации, какому специалисту, и в каком объеме можно поручить выполнение той или иной неотложной работы в рамках действующего уголовно-процессуального законодательства. Только при таком подходе специалисты способны надежно и быстро внедрить в следственно-оперативную практику последние достижения науки и техники, новые методы исследования вещественных доказательств, что, в свою очередь, обусловливает разработку новых тактических приемов использования помощи специалистов. Известно, что наиболее распространенными формами такой помощи являются: предварительное исследование документов, материалов, технических устройств и других предметов и объектов, которое проводится до возбуждения уголовного дела, например при проведении оперативно-разыскных мероприятий: полученные при этом результаты не имеют доказательственного значения; консультации специалистов (получение информации справочного характера), которыми может воспользоваться следователь или оперативный сотрудник на любом этапе

325

производства по делу; участие специалиста в проведении следственных действий; производство судебных экспертиз.

Главной формой использования специальных познаний является судебная экспертиза, которая назначается в случаях, когда при производстве дознания, предварительного следствия и при судебном разбирательстве необходимы специальные познания в науке, технике, искусстве или ремесле. Судебная экспертиза представляет собой комплекс действий, заключающийся в производстве в установленном законом порядке исследований тех или иных объектов соответствующими специалистами и даче ими заключений по вопросам, возникающим в ходе расследования и судебного разбирательства. Предмет экспертизы предопределен объектом исследования и вопросами, сформулированными в постановлении следователя (суда). Типичными объектами экспертного исследования по делам о компьютерных преступлениях в сфере экономики являются: документы (в том числе подготовленные с помощью СЭВ, машинограммы, деньги, ценные бумаги и т. п., СЭВТ (ПЭВМ, сеть ЭВМ, банкоматы), различные типы печатающих устройств – принтеры, контрольно-кассовые машины, автоматизированные торговые терминалы, цифровые таксофоны, электронные записные книжки и переводчики, разнообразные машинные носители информации (дискеты, диски, пластиковые карты, ленты, интегральные микросхемы, стриммеры, ZIP-накопители и т. п.), компьютерная информация (программа для ЭВМ, файл, электронная цифровая подпись, «электронный» документ и т. д.), цифровые средства электросвязи (сотовые аппараты, пейджеры, телефонные аппараты с внутренней памятью и т. п.), специальные технические средства для негласного получения информации; функциональный перечень; названия и принцип действия; рекомендации по назначению экспертизы; следы и их копии, образцы, приобщенные к уголовному делу, иные вещественные доказательства.

Основными задачами, разрешаемыми судебными экспертизами, являются: идентификация объектов; диагностика механизма события (времени, места, способа и последовательности действий, событий, явлений и процессов, причинных связей между ними, природы, качественных и количественных характеристик объектов, их свойств и признаков, не подда-

326

ющихся непосредственному восприятию, и т. д.); экспертная профилактика – деятельность по выявлению обстоятельств, способствующих совершению преступлений, и разработке мер по их устранению.

Техническая экспертиза документов, изготовленных с использовани-

ем печатающих СЭВТ и новых репрографических технологий, является новым видом экспертных исследований, которые стали успешно использоваться в следственно-судебной практике с середины 90-х гг. ХХ в. С ее помощью получают важные для следствия обстоятельства, а именно: способы изготовления и подделки документов; восстанавливают содержание поврежденных или полностью уничтоженных документов (в случае наличия их копии, дубликата или оригинала в памяти СЭВТ – на машинном носителе); исследуют материальный носитель документа (например, бумагу, пластик, красители и т. д.). Таким образом, ее предметом являются факты, связанные с исполнением документов, отождествлением материалов документов и средств их изготовления. Однако в ее предмет не входит установление подлинности или подложности документов. Эксперт решает только технические вопросы, а юридическую оценку дает следователь и суд после ознакомления и соответствующей оценки его заключения.

Рассматриваемая экспертиза комплексная, так как для решения некоторых вопросов в процессе исследования объектов необходимо применять методики, основанные на знаниях криминалистики, современной полиграфии, материаловедения и информатики.

Программно-техническая экспертиза решает следующие задачи:

1)воспроизведение и распечатка всей или части компьютерной информации (по определенным темам, ключевым словам и т. п.), содержащейся на машинных носителях, в том числе находящейся в нетекстовой форме (в сложных форматах – в форме языков программирования, в форме электронных таблиц, баз данных и т. д.);

2)восстановление компьютерной информации, ранее содержавшейся на машинных носителях, но впоследствии стертой (уничтоженной) или измененной (модифицированной) по различным причинам;

3)установление даты и времени создания, изменения (модификации), стирания, повреждения, уничтожения либо копирования той или иной информации (файлов, программ и т. д.);

327

4)расшифровка закодированной информации, подбор паролей и раскрытие системы защиты СЭВТ;

5)исследование СЭВТ на предмет наличия в них программноаппаратных модулей и модификаций, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети (вредоносных средств или вирусов);

6)установление авторства, места (средства) подготовки и способа изготовления документов (файлов, программ), находящихся на машинном носителе информации;

7)выяснение возможных каналов утечки информации из компьютерной сети, конкретных СЭВТ и помещений; установление возможных несанкционированных способов доступа к охраняемой законом компьютерной информации и ее носителям;

8)выяснение технического состояния, исправности СЭВТ, оценки их износа, а также индивидуальных признаков адаптации СЭВТ под конкретного пользователя;

9)установление уровня профессиональной подготовки отдельных лиц, проходящих по делу, в области программирования и в качестве пользователя;

10)установление конкретных лиц, нарушивших правила эксплуатации ЭВМ, системы ЭВМ или их сети;

11)установление причин и условий, способствующих совершению преступления, связанного с использованием СЭВТ.

Стоит обратить внимание на то обстоятельство, что специфическими объектами исследования данной экспертизы являются специальные технические средства, запрограммированные для негласного получения информации, а также цифровые средства электросвязи.

Производство рассматриваемой экспертизы целесообразно поручить группе экспертов различных специальностей, определяемых спецификой исследуемого объекта, обстоятельствами расследуемого события и содержанием проверяемых версий.

Основные требования при подготовке следователем указанной экс-

328

пертизы: до вынесения постановления о назначении экспертизы проконсультироваться со специалистами по поводу ее целей, формулировки вопросов, характера и особенностей подготовки материалов, которые будут представлены экспертам; изучить соответствующую специальную литературу по специфическим предметам и документам, которые предполагается представить на экспертизу; по их запросу ознакомить экспертов со всеми материалами дела, относящимися к предмету экспертизы (протоколами осмотра места происшествия, документов и предметов, а также допросов соответствующих лиц; материалами ревизий, инвентаризаций, документальных и иных проверок; заключениями других специалистов, имеющих к этому отношение, например результатами предварительного исследования); постановление о назначении экспертизы должно содержать максимально полную описательную часть, а резолютивная часть – быть конкретной, краткой, но информативной.

На разрешение программно-технической экспертизы могут быть по-

ставлены следующие вопросы: какую информацию содержат предъявленные на экспертизу системные блоки и дискеты; какая информация имеется на системных блоках и магнитных носителях, ее назначение и возможность использования; какие программы содержатся на предъявленных системных блоках и магнитных носителях; каково их назначение и возможность использования; содержатся ли на предъявленных системных блоках и магнитных носителях текстовые файлы; если да, то каково их содержание и возможность использования; имеется ли уничтоженная информация на представленных магнитных носителях; возможно ли ее восстановление; если да, каково ее содержание, возможности использования; какие программные продукты содержатся на предъявленных магнитных носителях; каково их содержание, назначение, возможность использования; имеются ли на представленных магнитных носителях специализированные программы, используемые для подбора паролей либо иного незаконного проникновения в компьютерные сети; если да, то каковы их названия, особенности работы, возможности использования для проникновения в конкретную компьютерную сеть; имеются ли признаки, свидетельствующие о применении конкретной программы для незаконного проникновения в

329