- •Глава 1.Уголовно-правовая характеристика преступлений в сфере компьютерной информации
- •Глава 2. Криминалистическая характеристика преступлений в сфере компьютерной информации 26
- •Глава 3. Типичные исходные следственные ситуации и особенности первоначального этапа расследования преступлений в сфере компьютерной информации 43
- •1. Общие положения
- •2. Неправомерный доступ к компьютерной информации
- •3. Создание, использование и распространение вредоносных программ для эвм
- •4. Нарушения правил эксплуатации эвм, системы эвм или их сети
- •Глава 2. Криминалистическая характеристика преступлений в сфере компьютерной информации
- •1. Данные о способах совершения преступления
- •2. Данные о способах сокрытия преступлений в сфере компьютерной информации
- •3. Данные об орудиях и средствах совершения преступлений в сфере компьютерной информации
- •4. Данные об обстановке совершения преступления
- •5. Данные о следах совершения преступления в сфере компьютерной информации
- •6. Данные о предмете преступного посягательства
- •7. Данные о личностных свойствах субъектов преступлений в сфере компьютерной информации
- •Глава 3. Типичные исходные следственные ситуации и особенности первоначального этапа расследования преступлений в сфере компьютерной информации
- •1. Первоначальный этап расследования неправомерного доступа к компьютерной информации
- •Варианты следственных ситуаций в зависимости от наличия исходных данных о следах, подозреваемых и свидетелях
- •2. Первоначальный этап расследования создания, использования и распространения вредоносных программ
- •3. Первоначальный этап расследования нарушения правил эксплуатации эвм, системы эвм или их сети
- •Глава 4. Особенности тактики отдельных следственных действий
- •1. Тактика осмотра места происшествия
- •2. Тактика допроса свидетелей
- •3. Тактика производства обыска
- •4. Допрос подозреваемого и обвиняемого
- •5. Следственный эксперимент
- •6. Назначение экспертиз
- •7. Предъявление для опознания
- •8. Проверка и уточнение показаний на месте
- •Глава 5. Розыскная деятельность следователя по делам о преступлениях в сфере компьютерной информации
- •1. Объекты розыска по делам о преступлениях в сфере компьютерной информации
- •2. Тактико-организационные основы розыскной деятельности следователя по делам о преступлениях в сфере компьютерной информации
- •3. Установление и розыск лиц, совершивших преступления в сфере компьютерной информации
- •Глава 6. Международное сотрудничество в борьбе с преступлениями в сфере компьютерной информации
Глава 3. Типичные исходные следственные ситуации и особенности первоначального этапа расследования преступлений в сфере компьютерной информации
1. Первоначальный этап расследования неправомерного доступа к компьютерной информации
При расследовании неправомерного доступа к компьютерной информации подлежат установлению следующие обстоятельства:
Факт неправомерного доступа к компьютерной информации.
Место несанкционированного проникновения в компьютерную систему или сеть.
Время несанкционированного доступа.
Надежность средств защиты компьютерной информации.
Способ совершения несанкционированного доступа.
Лица, совершившие неправомерный доступ к компьютерной информации.
Виновность и мотивы лиц, совершивших неправомерный доступ к компьютерной информации.
Вредоносные последствия неправомерного доступа к компьютерным системам или сетям.
Обстоятельства, способствовавшие неправомерному доступу к компьютерной информации.
Факт неправомерного доступа к информации в компьютерной системе или сети обычно первыми обнаруживают сами же пользователи информационной системы. Однако они не всегда своевременно сообщают об этом правоохранительным органам. Особенно это относится к руководителям кредитно-финансовых и банковских учреждений, которые не желают вызывать у клиентов сомнения в надежности своих учреждений. Они также опасаются, что по этому факту начнется проведение проверок, ревизий и экспертиз, могущих раскрыть их финансовые и иные служебные тайны, вскрыть другие серьезные недостатки.
Факт несанкционированного доступа в сети Интернет вскрывается уже после того, как фирма-провайдер присылает счет о предоставленных услугах на сумму, явно превышающую допустимые пределы работы зарегистрированного пользователя. Кроме того, время работы также не соответствует действительности. В результате этого официально зарегистрированный пользователь отказывается платить за услуги, которыми не пользовался, а фирма-провайдер соответственно несет убытки. Возможны и другие варианты развития событий. Например, в случае если официально зарегистрированный пользователь превышает данные ему полномочия и вносит изменения в страницы, принадлежащие другим пользователям.
Установить факт неправомерного доступа к компьютерной информации можно и в процессе проведения проверочных мероприятий в стадии возбуждения уголовного дела либо в ходе проведения ревизий, судебных экспертиз, иных следственных действий по уголовным делам, находящимся в производстве следователей, а также при проведении оперативно-розыскных мероприятий.
Установление места несанкционированного доступа в компьютерную систему или сеть может вызывать определенные трудности, поскольку по делам данной категории может быть несколько мест совершения одного преступления.
Чаще обнаруживается место непосредственного использования результатов неправомерного доступа к компьютерной информации, особенно связанного с хищением денежных средств. Так, по делу о покушении на хищение из Центрального банка РФ более 68 миллиардов рублей таких мест оказалось сразу девять: одно из них - само помещение этого банка, и восемь - помещения коммерческих банков, в адрес которых были незаконно переведены из Центрального банка по компьютерной сети крупные суммы денег путем ввода в электронную обработку двенадцати фальшивых платежных документов. Как выяснилось позже, вводились они неустановленными лицами с рабочего места № 83 оператором ввода № 07 с терминала № 07.
На всех этих местах должны были остаться следы одного преступления. Однако на первоначальном этапе расследования установить физический адрес ввода фальшивых документов так и не удалось. По мнению специалистов, в той ситуации такой ввод мог быть осуществлен с любого рабочего места, имеющего телекоммуникационную связь с компьютерами. Тем более что эксплуатируемый программный комплекс фактически был открыт для несанкционированного ввода, обновления (корректировки, изменения) и обработки любой информации.
Поэтому при обнаружении неправомерного доступа к информации в компьютерной системе или сети следует выявить все места, где расположены компьютеры, имеющие единую телекоммуникационную связь.
Проще обстоит дело, когда совершен несанкционированный доступ к отдельному изолированному компьютеру, находящемуся в одном помещении. Однако и в этом случае необходимо учитывать, что компьютер может находиться в одном помещении, а информация на машинных носителях - в другом. Следовательно, надо выявить и это место.
Труднее устанавливать место непосредственного использования технических средств для несанкционированного доступа (особенно мобильных), не входящих в данную компьютерную систему или сеть.
Следует установить и место хранения информации на машинных носителях либо в виде распечаток, добытых в результате неправомерного доступа к компьютерной системе или сети.
Установление времени несанкционированного доступа. Любой современный компьютер имеет встроенный таймер, отражающий информацию о дне недели, дате, часе и минуте в реальном времени. Естественно, что его точность определяется правильностью первоначальной установки времени, выбором правильного часового пояса, а также переходом на летнее или зимнее время. Время последней модификации файла отражается в его атрибутах и достаточно просто может быть выяснено с помощью программ общесистемного назначения.
Кроме того, при входе в систему или сеть время работы на компьютере любого пользователя автоматически фиксируется в специальных системных файлах. Исходя из этого, точное время доступа можно установить путем следственного осмотра работающего компьютера либо распечаток или дискет. Время неправомерного доступа к компьютерной информации можно также установить путем допроса свидетелей из числа сотрудников данной компьютерной системы, выясняя у них, в какое время каждый из них работал на компьютере, если оно не было зафиксировано автоматически.
Установление способа совершения несанкционированного доступа. Конкретный способ несанкционированного доступа к компьютерной информации можно установить в процессе допроса свидетелей из числа лиц, обслуживающих эту систему, или ее разработчиков, а также путем производства компьютерно-технической экспертизы.
Для установления способа и отдельных обстоятельств механизма неправомерного доступа к компьютерной информации может быть проведен следственный эксперимент с целью проверки возможности преодоления средств защиты компьютерной системы одним из вероятных способов.
Установление надежности средств защиты компьютерной информации. Прежде всего необходимо установить, предусмотрены ли вообще в данной компьютерной системе меры защиты от несанкционированного доступа к определенным файлам. Это можно выяснить при допросе разработчиков и пользователей, а также при изучении проектной документации и соответствующих инструкций по эксплуатации данной системы. В них должны содержаться специальные разделы, относящиеся к мерам защиты информации, с подробным описанием порядка допуска пользователей к определенным категориям данных (т.е. разграничением их полномочий), организации за доступом контроля, конкретных методов защиты информации (аппаратных, программных, криптографических, организационных и пр.).
Законодательством предусмотрены обязательная сертификация средств защиты систем обработки и хранения информации с ограниченным доступом, обязательное лицензирование всех видов деятельности в области проектирования и производства таких средств. Разработчики, как правило, гарантируют надежность своих средств при условии, если будут соблюдены установленные требования. Поэтому в процессе расследования требуется установить: во-первых - имеется ли лицензия на производство средств защиты информации от несанкционированного доступа, используемых в данной компьютерной системе; во-вторых — соответствуют ли их параметры выданному сертификату. Для проверки такого соответствия назначается компьютерно-техническая экспертиза.
При исследовании объекта, где совершено преступление, необходимо выяснить:
технические и конструктивные особенности помещений, связанные с установкой и эксплуатацией вычислительной техники (специальное оборудование полов, потолков и окон, каналы кабельных и вентиляционных шахт, установка и фактическое состояние устройств кондиционирования воздуха, система электропитания и иные особенности);
особенности установки средств комплекса вычислительной техники (сосредоточены в одном месте или расположены в различных помещениях);
способы связи компьютеров между собой посредством локально-вычислительной сети, устройств телекоммуникации и состояние линий связи;
структуру, конфигурацию сети ЭВМ и внешних информационных связей;
режим работы.
Установление лиц, совершивших неправомерный доступ к компьютерной информации. Практика показывает, что чем хитрее и сложнее в техническом плане способ такого проникновения, тем легче «вычислить» преступника, поскольку круг специалистов, обладающих такими способностями, сужается.
Причастность конкретного лица к несанкционированному доступу к компьютерной информации помимо свидетельских показаний может быть установлена также и по материально-фиксированным отображениям, обнаруженным при производстве следственного осмотра компьютера и его компонентов. Это могут быть следы пальцев рук, оставленные на их поверхности, отдельные записи на внешней упаковке дискет, дисков, где обычно остаются заметки о характере записанной на них информации, а порой и о том, кому принадлежат эти носители информации; следы обуви и другие материальные следы. Для их исследования назначаются традиционные криминалистические экспертизы, дактилоскопические, почерковедческие, трасологические, а так-же техническое исследование документов.
Чтобы выявить лиц, обязанных обеспечивать соблюдение режима доступа к компьютерной системе или сети, надо прежде всего ознакомиться с имеющимися инструкциями, устанавливающими полномочия должностных лиц, ответственных за защиту информации, после чего следует их допросить.
Допросами лиц, обслуживающих компьютерную систему, можно установить: кто запускал нештатную программу, было ли это зафиксировано каким-либо способом? Следует также выяснить, кто увлекался программированием (возможно, кто-то учится или учился на компьютерных курсах).
При наличии достаточных оснований у лиц, заподозренных в неправомерном доступе к компьютерной информации, производится обыск, в процессе которого могут быть обнаружены компьютерная техника, различные записи, дискеты, содержащие сведения, могущие иметь отношение к расследуемому событию, например коды, пароли, идентификационные номера пользователей конкретной компьютерной системы, а также данные о ее пользователях.
В ходе обысков и осмотров следует обращать внимание на литературу и методические материалы по компьютерной технике и программированию. Так, по делу о хищении валютных средств из Внешэкономбанка, в ходе обыска у одного из обвиняемых были обнаружены работа на тему «Компьютерные злоупотребления и способы их пресечения» и программа его производственной практики в ФРГ - «Изучение состояния дел с защитой информации при обработке ее на ЭВМ и подготовка соответствующих рекомендаций с учетом возможностей программного обеспечения и принятых в банке технических и технологических решений по реализации находящихся в эксплуатации задач».
Все это, хотя и косвенно, указывало на возможную причастность данного обвиняемого к расследуемому преступлению.
Установление виновности и мотивов лиц, совершивших неправомерный доступ к компьютерной информации. Установить виновность и мотивы несанкционированного доступа к компьютерной информации можно только по совокупности результатов всех процессуальных действий. Решающими из них являются допросы свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, результаты обыска.
Установление вредоносных последствий неправомерного доступа к компьютерным системам или сетям. Прежде всего необходимо установить, в чем выражены вредные последствия такого доступа (хищение денежных средств или материальных ценностей, завладение компьютерными программами, информацией путем изъятия ее машинных носителей либо копирования, а также незаконное изменение, уничтожение, блокирование или вывод из строя компьютерного оборудования, введение в компьютерную систему заведомо ложной информации или компьютерного вируса и пр.).
Хищение денежных средств в банковских электронных системах зачастую обнаруживаются самими работниками банков или в результате проведения оперативно-розыскных мероприятий. Конкретная сумма хищения устанавливается судебно-бухгалтерской экспертизой.
Неправомерное завладение компьютерными программами вследствие несанкционированного допуска к системе, их незаконное использование выявляются чаще всего самими потерпевшими.
Однако возможны случаи, когда точно определить размер материального ущерба невозможно. Так, значительный ущерб был причинен Московской городской телефонной сети в результате незаконного копирования ее базы данных (которая широко распродавалась на московских рынках) с номерами квартирных телефонов москвичей (телефонный справочник).
Если компьютерная информация относится к категории конфиденциальной или государственной тайны, то конкретный вред, причиненный ее разглашением, устанавливается представителями Гостехкомиссии РФ. Факты незаконного изменения, уничтожения информации, блокирования либо вывода из строя компьютерного оборудования или введения в компьютерную систему заведомо ложной информации устанавливаются прежде всего самими пользователями.
Выявление обстоятельств, способствовавших неправомерному доступу к компьютерной информации. На последующем этапе расследования формируется целостное представление об обстоятельствах, способствовавших неправомерному доступу к компьютерной информации. С этой целью изучаются документы, относящиеся к защите информации, и заключение компьютерно-технической экспертизы. Если по факту неправомерного доступа проводилось внутреннее (служебное) расследование, то его выводы также могут оказаться полезными при выявлении причин и условий его совершения.
Проведенное нами исследование показывает, что наиболее распространенными поводами к возбуждению уголовного дела по ст. 272 УК РФ являются:
сообщения должностных лиц организаций или их объединений (около 40 %);
заявления граждан (около 35 %);
непосредственное обнаружение органом дознания, следователем или прокурором сведений, указывающих на признаки преступления (около 20 %);
сообщения в средствах массовой информации и иные поводы (около 5 %).
В криминалистической науке установлено, определение основных направлений расследования и особенности тактики отдельных следственных действий зависит от характера исходных данных. В связи с этим в юридической литературе неоднократно предпринимались попытки систематизации исходных данных, в результате чего появилось понятие исходной следственной ситуации. Под исходной следственной ситуацией понимается объективно сложившаяся в первый период расследования его информационная среда, обстановка проведения и другие условия расследования.
В зависимости от источника и содержания сведений о неправомерном доступе к компьютерной информации могут складываться различные проверочные ситуации. В.В. Крылов выделяет три типичные проверочные ситуации, называя их при этом типовыми следственными:
Собственник информационной системы собственными силами выявил нарушения конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
Собственник самостоятельно выявил указанные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
Данные о нарушении конфиденциальности информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
Представляется, эти ситуации не исчерпывают всего многообразия проверочных ситуаций хотя бы потому, что факт неправомерного доступа может обнаружить не собственник информации, а, к примеру, оператор (что чаще всего и бывает), однако это еще не говорит о том, что факт доступа стал общеизвестным.
Обобщение практики показывает, что при решении вопроса о возбуждении уголовного дела по ст. 272 УК РФ возможны следующие проверочные ситуации:
Неправомерный доступ обнаружен при реализации компьютерной информации незаконным пользователем, личность которого известна и местонахождение установлено (например, при распространении сведений, носящих конфиденциальный характер).
Неправомерный доступ обнаружен законным пользователем, его личность и местонахождение не известно, однако имеются отдельные сведения, позволяющие ее установить.
Имел место факт неправомерный доступ к компьютерной информации, однако лицо, его совершившее, не установлено.
Итак, итогом разрешения проверочной ситуации должно быть принятие процессуального решения. С целью проверки сообщения о преступлении не могут производиться следственные действия, которые закон допускает только после возбуждения уголовного дела. Исключение составляет только осмотр места происшествия. В соответствии с ч.2 ст. 176 УПК РФ, в случаях, не терпящих отлагательства, осмотр места происшествия может быть произведен до возбуждения уголовного дела. Случаи производства до возбуждения уголовного дела иных следственных действий противоречат закону.
Помимо осмотра места происшествия с целью проверки сообщения о преступлении могут производиться иные процессуальные действия, к числу которых относятся требования, поручения, запросы (ст. 21 УПК РФ). В частности, в соответствии с ч.2 ст. 144 УПК РФ по требованию прокурора, следователя или органа дознания редакция, главный редактор соответствующего средства массовой информации обязаны передать имеющиеся в их распоряжении документы и материалы, подтверждающие сообщение о преступлении, а также данные о лице, предоставившем указанную информацию, за исключением случаев, когда это лицо поставило условие о сохранении в тайне источника информации. Предметы и документы могут быть предоставлены также потерпевшим, его адвокатом и другими лицами (ст. 86 УПК РФ).
В целях проверки поступивших сообщений о преступлении и решении вопроса о наличии или отсутствии оснований для возбуждения уголовного дела орган дознания, прокурор могут использовать имеющиеся в их распоряжении средства административной, оперативной, прокурорской проверки, применением которых не обусловлено наличием производства по уголовному делу.
С учетом комплекса исходной информации, полученной при проведении проверочных действий на первоначальном этапе расследования, возможна следующая классификация типичных следственных ситуаций:
Установлен неправомерный доступ к компьютерной информации, есть следы, есть подозреваемый, и он дает правдивые показания.
Установлен неправомерный доступ к компьютерной информации, имеются следы, прямо указывающие на конкретного подозреваемого, но он отрицает свою причастность к совершению преступления.
Установлен неправомерный доступ к компьютерной информации, известны лица, несущие по своему служебному положению за это ответственность, но характер их личной вины, а также обстоятельства доступа не установлены.
Установлен факт неправомерного доступа к компьютерной информации, совершить который и воспользоваться его результатами могли только лица из определенного круга (по своему положению, профессиональным навыкам и знаниям), либо известны лица (фирмы, организации), заинтересованные в получении данной информации.
Последняя из приведенных следственных ситуаций является наиболее сложной, так как отсутствуют сведения о виновном лице, следы преступления, неизвестен способ совершения и другие данные.
Следует отметить, что если в качестве основных признаков брать только данные о подозреваемых, свидетелях и следах преступления, то количество следственных ситуаций в зависимости от установленных обстоятельств составит 23=8 (см. схему 1).
Для разрешения следственных ситуаций, складывающихся после возбуждения уголовного дела, производятся следующие следственные действия: допрос свидетелей, обыск помещений, допрос подозреваемого, назначение экспертиз, проверки по оперативно-справочным, розыскным и криминалистическим учетам.
Таблица 2