4.2.4. Призначення експертиз

На первісному етапі розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж призначаються і проводяться різні експертизи, в тому числі й традиційні: криміналістичні, експертизи речовин і матеріалів, економічні та ін. Призначення і проведення перелічених експертиз не викликає особливих труднощів [139]. Щодо власне комп'ютерно-технічних експертиз, то вони належать до нового виду експертиз і їх проведення має свої особливості. Це пояснюється

142

Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________

відсутністю відповідних спеціалістів, а також відпрацьованих методик проведення окремих її видів.

Комплекс експертиз, що призначаються при розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж, може змінюватися і залежатиме від способу вчинення і механізму злочину.

Справедливо розглядаючи комп'ютерно-технічну експертизу як самостійний вид судових експертиз, що належать до класу інженерно-технічних, Е.Р.Росинська виділяє два її види: технічну експертизу комп'ютерів та їх комплектуючих і експертизу даних та програмного забезпечення. Технічна експертиза комп'ютерів і їх комплектуючих проводиться з метою вивчення конструктивних особливостей та стану комп'ютера, його периферійних пристроїв, магнітних носіїв і ін., комп'ютерних мереж, а також причин виникнення збоїв у роботі вказаного обладнання. Експертиза даних і програмного забезпечення здійснюється з метою вивчення інформації, що зберігається в комп'ютері і на магнітних носіях [140].

Ми вважаємо, що можна виділити наступні види комп'ютерно-технічних експертиз, необхідність призначення яких виникає при розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж:

• технічна експертиза комп'ютерів і периферійних пристроїв. Вона призначається і проводиться з метою вивчення технічних особливостей комп'ютера, його периферійних пристроїв, технічних параметрів комп'ютерних мереж, а також причин появи збоїв у роботі комп'ютерного обладнання;

• технічна експертиза обладнання захисту комп'ютерної інформації. Проводиться з метою вивчення технічних пристроїв захисту інформації, що використовуються на даному підприємстві, організації, закладі або фірмі;

• експертиза машинних даних і програмного забезпечення

143

Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________

ЕОМ. Проводиться з метою вивчення інформації, що зберігається комп'ютері і на магнітних носіях, у тому числі вивчення програмних методів захисту комп'ютерної інформації;

- експертиза програмного забезпечення даних, щ₀ використовуються в комп'ютерній мережі. Проводиться з метою вивчення інформації, яка обробляється з допомогою комп'ютерних мереж, що експлуатуються на даному підприємстві, організації закладі, фірмі або компанії.

С.А.Катков у самостійний вид експертизи виділяє експертизу щодо відновлення змісту документів на магнітних носіях [141]. Нам здається, що подібне цілком стосується експертизи машинних даних і програмного забезпечення.

Як показує практика, можливе також призначення комплексної експертизи, що включає: дактилоскопічну, комп'ютерно-технічну експертизу, експертизу речовин і матеріалів, техніко-криміналістичну експертизу документів, а також інші види експертного дослідження.

На вирішення технічної експертизи комп'ютерів виносяться наступні діагностичні запитання [142]:

1. Яка модель комп'ютера представлена на дослідження, які його технічні характеристики, параметри периферійних пристроїв?

2. Чи справна представлена комп'ютерна техніка? Чи можлива її експлуатація? Якщо ні, то з яких причин?

3. Чи відповідає представлена документація даним технічним пристроям і периферійному обладнанню?

4. Які умови складання комп'ютера і його комплектуючих: фірмове збирання, збирання з комплектуючих на іншій фірмі або кустарне збирання? Чи є додаткові пристрої, які не входять до базового комплекту поставки (базовий комплект визначається з документації)?

5. Чи мають місце несправності окремих пристроїв, магнітних носіїв інформації (виявляються різними тестовими 144

Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________

програмами)?

6. Чи не проводилась адаптація комп'ютера для роботи з ним специфічних користувачів (лівша, людина з дефектом зору і

ін.)?

До ідентифікаційного [143] можна віднести запитання про наявність у комплектуючих комп'ютера (наприклад, печатна плата, магнітні носії, дисковод і ін.) єдиного джерела походження.

При проведенні технічної експертизи обладнання захисту ставляться наступні запитання:

1. Які технічні пристрої використовуються для захисту комп'ютерної інформації? їх технічні характеристики.

2. Чи є технічна документація на ці вироби? Чи відповідають параметри пристроїв, викладеним у документації?

3. Чи піддавалися засоби захисту програмній модифікації або фізичному впливові? Чи використовуються кустарні засоби захисту інформації?

При проведенні експертизи даних і програмного забезпечення можуть вирішуватися як діагностичні, так і ідентифікаційні задачі. Залежно від конкретних обставин запитання можуть бути наступними. При вирішенні діагностичних задач:

1. Який тип операційної системи використовується в комп'ютері? Яка її версія?

2. Які програмні продукти експлуатуються на даному комп'ютері? Чи є вони ліцензійними, або "піратськими" копіями, або власними оригінальними розробками? Коли проводилася інсталяція (установка) даних програм?

3. Яке призначення програмних продуктів? Для вирішення яких прикладних задач вони призначені? Які способи введення і виведення інформації використовуються? Чи відповідають результати виконання програм потрібним діям?

4. Які програмні методи захисту інформації (паролі, ідентифікаційні коди, програми захисту і т.д.) використовуються?

145

Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________

Чи були спроби підбирання паролів або інші спроби незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж?

5. Яка інформація міститься в прихованих файлах?

6. Чи є на представленому магнітному носієві стерті (знищені) файли? Якщо так, то які їх імена, розміри і дати створення, давність знищення?

7. Чи можливе відновлення раніше знищених файлів і який їх зміст?

8. Чи змінювався зміст файлів (вказати, яких саме), якщо так, то в чому він проявився?...

. 9. У якому вигляді зберігається інформація про результати роботи антивірусних програм, програм перевірки контрольних сум файлів? Який зміст даної інформації?

10. Чи мають місце збої в роботі окремих програм? Які їх причини?

11. У якому стані знаходяться і яку інформацію містять файли на магнітних носіях? Коли востаннє відбувалася їх корекція?

12. До яких саме файлів зверталася програма (вказати, яка саме), представлена на машинному носієві і які інформаційні файли вона створювала?

При вирішенні ідентифікаційних задач можуть ставитися наступні запитання:

1. Чи виконана окрема програма (або її частина) певною особою [144]?

2. Чи відповідають паролі та ідентифікаційні коди, що використовуються в програмах, тим, які вводяться користувачами?

Під час експертизи мережного програмного забезпечення і даних ставляться наступні запитання:

1. Яке програмне забезпечення використовується для функціонування комп'ютерної мережі? Чи є воно ліцензійним?

2. Яким чином здійснюється сполучення комп'ютерів мережі?

146

Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________

Чи є вихід у глобальні комп'ютерні мережі?

3. Які комп'ютери є серверами (головними комп'ютерами) мережі? Яким чином здійснюється передача інформації на даному підприємстві, закладі, організації, фірмі чи компанії вузлами комп'ютерної мережі?

4. Чи використовуються для обмеження доступу до інформації комп'ютерної мережі паролі, ідентифікаційні коди? В якому вигляді?

5. Чи є збої в роботі окремих програм, комп'ютерів при функціонуванні їх у складі мережі? Які причини цих збоїв?

6. Яка інформація передається, обробляється і модифікується з допомогою комп'ютерної мережі?

Об'єктами комп'ютерно-технічних експертиз, крім комп'ютерів у звичному розумінні, їх окремих блоків, периферійних пристроїв, технічної документації до них, а також носіїв комп'ютерної інформації, можуть бути: електронні записні книжки, пейджери, сотові телефони, електронні касові апарати, інші електронні носії текстової або цифрової інформації, документації до них. При цьому на вирішення експерта виносяться аналогічні запитання.

Заслуговує на увагу позиція В.В. Агафонова і А.Г. Філіпова, котрі вважають, що в окремих випадках проведення експертизи можна замінити іншою слідчою дією, наприклад, слідчим оглядом або слідчим експериментом [145]. Не вдаючись до дискусії з даного питання, відмітимо, що в тих випадках, коли власних знань слідчого досить, і він не потребує залучення спеціальних знань (наприклад, при встановленні факту наявності певної інформації на машинному носієві), експертизу дійсно можна не призначати, а зафіксувати даний факт шляхом слідчого огляду за участю спеціаліста.

В експертно-криміналістичному центрі МВС України в 1994 році розроблена методика ідентифікації оператора комп'ютера за його клавіатурним "почерком" [146]. На підставі проведення

147

Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________

широкого експерименту, використання апарату математичної статистики було встановлено існування комплексу ознак, ідентифікуючих конкретного оператора ЕОМ. До числа таких ознак належать: темп роботи (середня кількість натискувань на клавіші клавіатури за одиницю часу, що характеризують досвід і техніку роботи оператора на клавіатурі); час утримання окремих клавіш у натиснутому стані; час переходу від однієї клавіші до іншої; використання альтернативних клавіш (наприклад, Shift, CapsLock і т.д.). Враховуючи індивідуальні ознаки, комп'ютерна програма фіксує й аналізує "почерк" роботи оператора на клавіатурі.

Варто зазначити, що деякі програми кримінального характеру, які створюються злочинцями, можна назвати розробками дуже високого рівня складності. Тому запрошений експерт з професійної точки зору має бути готовим до вирішення різних за складністю завдань. Вибираючи експертний заклад чи експерта, слід враховувати специфіку майбутніх досліджень. Так, якщо передбачається мати справу із зашифрованою інформацією, доцільно запросити спеціаліста в області криптографії. Такими можуть бути представники спеціалізованих підрозділів МВС або СБУ.

Для вивчення розрізнених елементів комп'ютерної техніки слід скористатися послугами інженерів-електронщиків. Інженерів-програмістів і системотехніків доцільно залучати для дослідження програмного забезпечення, обладнання комп'ютерних систем. Спеціалісти в галузі радіо- та електричного зв'язку можуть надати кваліфіковану консультацію в разі необхідності визначення особливостей взаємних зв'язків у межах локальних або глобальних комп'ютерних мереж.

Крім спеціалістів інженерно-технічної кваліфікації, може

148

Особливості первісного етапу розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж_________________________________________________________

знадобитися допомога експертів, які володіють знаннями в тій чи іншій області, де використовуються комп'ютери. Р цьому випадку слідчий має підготуватися до проведення комплексної експертизи. Скласти перелік запитань, адресованих експертові чи групі експертів відповідно до їх професійної приналежності. Тут важливо звернути особливу увагу на можливість ефективної взаємодії експертів різних профілів. Підготувати технічні засоби та додаткову апаратуру, необхідні для забезпечення нормального ходу досліджень та фіксації отриманих результатів.

Перелічені вимоги мають на меті забезпечити отримання і закріплення в матеріалах справи конкретних даних про походження речових доказів та їх характерних ознак і, таким чином, створюють необхідні умови для з'ясування їх співвіднесення до розслідуваної справи, оцінки достовірності встановлених відомостей. Передбачений законом процесуальний порядок закріплення речових доказів повинен забезпечити використання у справі справжніх речових доказів, створює гарантії проти можливої їх підміни чи фальсифікації.