IV. Організаційні та тактичні особливості слідчих дій на подальших етапах розслідування

Наведені вище три ситуації визначають загальний на­прям розслідування, оскільки кожна з них відображує лише рі­зновид одного й того ж комп'ютерного злочину. Звідси плану­вання починається з будування загальних версій, спрямованих на максимально повне виявлення обставин, що підлягають до­казуванню. К.С. Скоромников запропонував головні версії. Наведемо деякі з них з невеликими змінами¹.

1. Установлення факту несанкціонованого проникнення в інформаційну комп'ютерну систему або мережу.

2. Установлення місця несанкціонованого проникнення в комп'ютерну систему чи мережу

3. Установлення часу вчинення злочину.

4. Установлення виду та надійності захисту комп'ю­терної інформації.

5. Установлення способу несанкціонованого проник­нення в комп'ютерну систему чи мережу.

6. Установлення осіб, які вчинили комп'ютерний зло­ чин.

7. Установлення шкідливих наслідків, матеріальної шкоди.

8. Установлення причин та умов, які сприяли вчиненню злочину.

Розглянемо організаційно-тактичні дії слідчого в типових ситуаціях, додержуючись цієї схеми розслідування.

1. Вчинено неправомірний доступ в комп'ютерну систему чи мережу. Система може являти собою окремий комп'ютер з його терміналом (принтер, модем, телефон) або сукупність комп'ютерів, поєднаних засобами зв'язку. З'єднання невеликої кількості комп'ютерів у межах установи, фірми, району, міста створюють локальні мережі. З'єднання на рівні країни чи декількох країн формують глобальні комп'ютерні

______________________

¹ Див. Скоромников К.С. Расследование преступлений в сфере ком­пьютерной информации // Руководство для следователей. – М, 1997. – Гл.42

23

мережі типу ШТЕРНЕТ, які являють собою об'єднання майже всіх країн світу

Проникнути в комп'ютерну систему можна двома шляхами

а) за допомогою комп'ютера, який належить конкретній організації, фірмі (у цьому разі злочинця слід шукати серед "своїх"),

б) Із термінала будь-якого Іншого комп'ютера, який входить в локальну або глобальну комп'ютерну мережу

Установлення місця проникнення починається я з'ясування структури комп’ютерної мережі Якщо це локальна система, яка містить у собі два чи три комп'ютери (установа, фірма), то достатньо екранувати (захистити) комп'ютери від зовнішнього електромагнітного впливу та здійснити їх огляд за участю спеціаліста Зафіксувати загальний технічний стан комп'ютерів, наявність Інформації, яка зберігається, провести огляд, обшук, виїмку документів Інструкцій, що регулюють правила експлуатації та допуску до роботи на комп'ютері, протоколів, журналів тощо

Провести допити осіб, які мають доступ до працюючої комп'ютерної системи Під час допшу встановлюють, як часто спостерігалися збої в комп'ютері, хто в цей час працював на Інших комп'ютерах локальної системи, якими користувалися дискетами (із записами чи чистими), як давно та за чиєю участю поновлювалися коди, паролі та Інші захисні засоби, хто приносив на роботу дискети, диски під приводом комп'ютерної гри або перезапису Хто з робітників часто здійснює різні перезаписи, цікавиться роздруківками операторів Інших комп'ютерів локальної системи І т ш

Треба мати на увазі, що місце несанкціонованого про­никнення може бути безпосереднім або віддаленим (опосеред­кованим) Іншими комп'ютерними системами. Безпосереднє місце, в свою чергу, може бути очевидним у разі механічного впливу на матеріальну систему (наприклад, пошкодили якусь схему чи викрали диск І т ш ), або коли злочинець пошкоджує програмні засоби чи Інформацію, що зберігається в комп'ютерному банку, як з безпосереднього, так І з будь-якого віддаленого комп'ютера

24

Складніше встановити місце проникнення, оскільки в такій системі, як ШТЕРНЕТ, мільйони комп'ютерів І з кожного, володіючи певними знаннями, можна проникнути в будь-яку індивідуальну систем Для вирішення такого завдання треба проводити попереднє спеціальне дослідження, запроїт вати спеціалістів або призначати експертиз

Установлення часу вчинення злочин – менш складне завдання, оскільки в комп'ютерах установлено поточний час. яким \сі операції (незаконне проникнення та введення будь-якої інформації) фіксуються з точністю до хвилин І секунд в оксрашвнш пам'яті ЦІ сліди проникнення та характер злочинної операції можна встановити шляхом слідчого огляд комп'ютера чи роздруківок або перегляду дискет, а також шляхом допит свідків н числа співробітників даної комп’ютерної системи

Спосіб вчинення комп'ютерного злочин є очевидним прІ-> безпосередньому проникненні та прихованим при фізическом проникненні з віддаленого місця вчинення злочин Інколи встановити його можна шляхом допиту свідків Ь числа співробітників комп'ютерної локальної мережі провадженням судової комп'ютерно-технічної експертизи Перед експертом звичайно ставлять питання 'У який спосіб міг блти вчинений несанкціонований доступ до даної комп'ютерної системи⁹"'

Для встановлення способу вчинення злочин може быти проведено слідчий експеримент з метою можливості подолати (зламати) захист комп’ютерної системи одним Ь запро­понованих способів Слідчий експеримент нерідко дає змог встановити характер дій оператора, умисна чи не умисна від­булася зміна, збій системи

Установлення особи, яка вчинила злочин, є одним з головних завдань наступного етап розслідування Дії слідчого щодо встановлення фактів доступу, способ та час прони­кнення в комп’ютер систем так чи Інакше спрямовані на рОдІЩк злочинця Огляд, виїмка, допит, слідчий експеримент т~а судова комп'ютерно-технологічна експертиза дають змогу визначиш коло підозрюваних осіб Допитуючи підозрюваного, слід пам’ятати, що несанкціонований доступ до закритої комп'ютерної системи чи мережі може здійснити лише спе-

25

ціаліст. Тому пошук треба починати з технічного персоналу пошкодженої комп'ютерної системи чи мережі, розробників відповідних систем, операторів, програмістів, інженерів зв'язку, спеціалістів по захисту інформації та інформаційних комп'ютерних систем.

У осіб, які підозрюються в несанкціонованому доступі до комп'ютерної інформації, уразі наявності достатніх підстав проводиться обшук за місцем роботи та проживання. Під час обшуку звертають увагу на комп'ютери різних конфігурацій, принтери, засоби телекомунікативного зв'язку з комп'ютер­ними системами, пейджери, записні книжки (у тому числі й електронні), дискети, компакт-диски, магнітні стрічки, що містять відомості про коди, паролі, ідентифікаційні номери користувачів комп'ютерною системою, а також дані про її користувачів. Проникнення в комп'ютерне приміщення треба здійснювати, додержуючись правил, які дають змогу виключити пошкодження або знищення слідів злочину безпосередньо особою, яка обшукз'сться, чи і ззовні її співучасниками. Розро­блені спеціальні правила огляду комп'ютерних злочинів цілком можна використовувати для проведення обшуку¹

Отже, для вирішення першої слідчої ситуації прово­дять такі'слідчі дії: огляд, затримка, обшук, виїмка, допит, слідчий експеримент та інформаційно-технічна експертиза.

2. Вчинено комп'ютерний злочин, пов'язаний із створенням та розповсюдженням шкідливих комп'ютерних програм. Шкщпива програма – це умисно створена коротка програма, введення якої в комп'ютерну систему пошкоджує деякі або всі її функції загальносистемних програм, знищує якусь конфіденційну інформацію, яка зберігається в комп'ютері Більшість таких програм називається "віруси", які в певному смислі нагадують поведінку живих організмів. Вони можуть протягом тривалого часу не проявляти себе, "мовчати" до певного моменту чи події, а потім "ожити" та вивести систему з-під контролю.

________________________

¹ Див.: Денисюк С.Ф., Шепитько В.Ю. Обыск в системе следственных действий. – Харьков, 1999; Коновалова В.Е., Шешпъко В.Ю. Обыск: тактика й психология. – Харьков, 1997.

26

Розслідування починається з установлення сутності шкідливих наслідків несанкціонованого доступу (крадіжка грошових коштів чи матеріальних цінностей, знищення, зміна, блокування інформації або наявність комп'ютерного вірусу).

Перш за все проводяться слідчий огляд та допит свідків Ь кола працюючих з комп'ютерною системою чи мережею. Під час установлення підозрюваних осіб серед "своїх" чи "чужих" розробляється план збирання належної інформації оперативно-розшуковими заходами та слідчими діями, прова­дженням судової експертизи комп'ютерних засобів, судово-бухгалтерською експертизою банківських машинних операцій.

Крадіжка грошових коштів вчиняється найчастіше в фінансово-банківських системах. Сліди таких крадіжок зви­чайно виявляють самі робітники банків. Інколи встановлюють їх у ході оперативно-розшукових заходів.

Під час допиту свідків, які підозрюються, із числа своїх користувачів системою та сторонніх осіб необхідно вия­снити: вид перешкод, за яких обставин вони були виявлені, яку інформацію пошкоджено, а яка залишилася не зіпсованою. При цьому треба пам'ятати, що не всякі зміни є умисними. Часто причиною стає випадковий збій. Статистика свідчить, що в більшості російських фірм у середньому один раз на місяць у мереженому пристрої та засобах програмного забезпечення відбуваються збої. Слід пам'ятати, що нерідко трапляються випадки, коли крадіжки грошових коштів банк списує саме на технічні збої системи. Якщо це відбувається надто часто, то можна припустити, що на даному підприємстві вчиняється крадіжка грошових коштів за допомогою комп'ютерних опе­рацій.

Особливістю розслідування комп'ютерних злочинів є тісний взаємозв'язок слідства з органом дізнання внутрішніх справ, служби безпеки, податкових Інспекцій на всіх етапах розслідування. Нерідко слідчий після допиту свідків, які підо­зрюються, розробляє з оперативними робітниками план зби­рання Інформації оперативно-розшуковими заходами, для чого в орган дізнання направляє окреме доручення, до якого бажано додавати план перевірочних дій щодо збирання інформації Звичайно такі сумісні дії слідчого та органу дізнання переду-

27

ють затриманню, обшуку за місцем проживання та проведенню допиту підозрюваного або обвинуваченого залежно від обставин, що склалися

Існує багато способів розповсюдження шкідливих про­грам, наприклад, у разі запуску програм з дискети, переписаної з Іншого комп'ютера чи куплено), одержаної в обмгч або / електронної дошки об'яв (ВВ8) У цих випадках провадженням комп'ютерної або Інформацшно-комп’ютерної експертизи можна вирішити питання по суті, тобто виявити, які зміни было проведено та якими засобами

Установлення злочинця, який виготовив та розповсю­джує шкідливі програми, можливе як слідчим, так І оперативним шляхом Важливо визначити вид програми, у разі наявності вірусу – його різновид Розповсюдження вірусів може відбуватися умисно особою, яка має доступ до системи, пбо випадковим працівником, у функції якого не входить робота з комп'ютерним обладнанням

Особи, які створюють шкідливі програми, – це квалі­фіковані програмісти, розробники програм, шженерк-експлуатацшники електронно-обчислювальних систем тому, визнаючи коло осіб, треба скласти список запідозрених осіб не тільки тих, хто працює у даному закладі, фірмі, але й на найближчих станціях комп'ютерного зв'язку Оперативним шляхом виявити тих, хто в місті чи області, в комп'ютерним коледжах, школах або технікумах має доступ до IНТЕРНЕТа,' перш за все– до локальної системи

Шкідливу програму злочинець звичайно розробляє на робочому місці, приховуючи дії від оточуючих співробітників Створення програми відбувається поза сферою його діяльності і безпосередньої функціональної діяльності комп'ютерної системи На факт створення шкідливої програми посередньо можуть вказати а) підвищена зацікавленість до алгоритмів фун­кціонування системи, Інформаційного захисту, вхідної та ви­хідної інформації особи, в коло обов’язків якої це не входить, б) раптова захопленість програмуванням, наприклад оператора Для встановлення факту розповсюдження шкідливих програм необхідно провести виїмку та огляд таких документів 1) журналів обліку (робочого часу, доступу до обчислювальної

28

техніки, збош та ремонт, реєстрації користувачів комп’ютерною системою чи мережею, проведення регламентованих робіт), 2) ліцензійних угод та договорів на користування про­грамними продуктами та їх розроблення, 3) книг паролів, 4) наказів та Інших документів, які регламентують роботу станови Більшість документів зберігається в електронній формі, діл їх вилучення треба запрошувати спеціаліста

3. Порушено правила експлуатації комп’ютерних систем або мереж. Вирішення третьої ситуації починається з установлення факту порушення експлуатації комп'ютерної си­стеми чи мережі Особливість даної ситуації полягає в тому, їло порушення правил можна здійснити з робочого місця кон­кретної комп'ютерної мережі установи, фірми або з Іншого комп'ютера, що знаходиться на будь-якій сіанца комп’ютерної мережі У першому випадку коло підозрюваних осібо омсжено персоналом, який обслуговує комп'ютерну систему та має доступ до неї, а в другому – установлення особи та ш-шлх обставин потребує спеціального дослідження структури мережі та руху Інформації V ній Звернемося до першого ви­падку.

Якщо це локальна комп'ютерна система, то при виявленні ознак порушення правил експлуатації системи виникають дгІ ситуації а) керівник установи повідомляє в органи служби Інформаційної безпеки об’єкта, які проводять службове (відомче) розслідування, б) у разі надходження повідомлення (заяви) до прокуратури проводиться дослідна перевірка Отже, кримінальна справа може бути порушена як за матеріалами відомчого розслідування, так І за результатами перевірки повідомлень чи заяв на загальних підставах

У першому І другому випадках розслідування почина­ється з огляду робочих місць співробітників, виїмки документів, які регулюють правила роботи користувачів комп'ютерною системою, та допиту як свідків усіх співробітників, що мають доступ до комп'ютерної системи Огляд І виїмку документів треба здійснювати за участю спеціаліста Допит свідків ^ДЛЩ починати після вивчення документації, яка регулює роботу комп’ютерної системи У кожного свідка необхідно вияснити орієнтовно такі обставини а) які у нього обов'язки при

29

роботі з комп'ютерною системою і взагалі в даній організації, фірмі; б) яку конкретно роботу на комп'ютері чи іншому об­ладнанні він виконує; в) яку роботу виконував свідок, коли відбувалися збій, зміни, блокування інформації; г) де і як по­винні фіксуватися факти знищення, зміни, блокування інформації; д) чи пов'язані зміни, які відбувалися в комп'ютерній мережі, з порушенням правил експлуатації'.

Аналізуючи матеріали службового (відомчого) розслі­дування, документи, які одержані в ході виїмки, результати огляду автоматизованих робочих місць (АРМ) та показання свідкш, можна побудувати версії о про місце, час та особу, яка порушила правила експлуатації комп'ютерної системи. Склад­ніше встановити ці обставини при порушенні правил експлуатації комп'ютерних мереж.

Локальні комп'ютерні системи та комп'ютери окремих користувачів можуть бути з'єднані засобами електронного зв'язку та створювати глобальні мережі типу ШТЕРНЕТ. Для початку розслідування треба знати, як обладнані мережа, комп'ютерна система, де відбулися збої (зміни) та Інші пору­шення, які спричинили матеріальну шкоду; як вони з'єднані і найближчими робочими станціями. Порушення правил експлуатації може викликати блокаду, збої в конкретній комп'ютерній системі.

Перш за все необхідно визначити місця, де за схемою розгортання мережі розташовані робочі станції, які можуть бути дисковими і без дисковими. Можливе порушення правил експлуатації, копіювання файлового сервера на свою дискету, використання дискети з різними програмами, у тому числі й з комп'ютерними вірусами. Ці дії виключені на без дискових ро­бочих станціях. Тут як свідкш можна допитати адміністратора мережі та спеціалістів, що обслуговують файловий сервер, в якому відбулися зміїш, збої, знищення інформації'. Під час до­питу необхідно вияснити, на якій робочій станції могли бути порушені правила експлуатації комп'ютерної мережі; де вона розташована, чи могло бути порушено правило експлуатації Е конкретній локальній обчислювальній мережі на робочій станції, яка знаходиться у визначеному місці. Якщо правила експлуатації порушено безпосередньо на файловому сервері, то

30

місце порушення правил може збігатися з місцем настання шкідливих наслідків.

Для встановлення місця порушення правил експлуатації мережі призначається інформаційно-технічна експертиза.

Спосіб порушення правил сксплз'атації може бути ак­тивним І пасивним. Активний спосіб полягає в самостійному виконанні непередбачених операцій при комп'ютерному об­робленні інформації, а пасивний передбачає невиконання певних вимог, приписаних правилами (інструкціями), які забезпечують нормальне функціонування комп'ютерної системи чи мережі.

Час порушення правил експлуатації комп'ютерної си­стеми чи мережі визначають оглядом, допитом свідків, виїм­кою та дослідженням документації, яка регулює нормальну роботу мереж. Фіксують випадки вимкнення електромережі, коли можливе миттєве знищення введеної в комп'ютер інфор­мації. Момент вимкнення збігається з моментом порушення правил експлуатації. Проте можливим є розрив у часі між по­рушенням правил та моментом настання шкідливих наслідків, наприклад, через внесення в програму змін шкідливі наслідки можуть настати пізніше за порушення правил експлуатації. Злочинець може запрограмувати на певний час зупинення ке­рованої виробничої системи (так був зупинений складальний конвейєр на АвтоВАЗі, про що уже згадувалося раніше) або "підірвати" банк даних "логічною бомбою" і т. ін.

Установлення названих вище обставин спрямовано на виявлення злочинця та місця його знаходження. Визначаючи коло запідозрених, а потім – підозрюваних осіб, слід врахо­вувати, що не кожна особа, яка має доступ до комп'ютерної системи чи мережі, може бути порушником правил експлуатації. Для цього необхідно, щоб особа мала допуск для виконання роботи з комп'ютерною інформацією. Такий допуск мають лише визначені особи, серед яких І треба шукати порушника Щодо кожного з них необхідно встановити а) посаду, яку він займає; б) освіту та спеціальність, в) стаж роботи за спеціаль­ністю та на посаді, яку він займає, г) конкретні обов'язки та нормативні акти, якими вони встановлені; д) рівень професійної кваліфікації; е) причетність до розроблення та впроваджен-

31

ня в експлуатацію комп’ютерних систем, е) наївність і а доступ до баз та банків даних, ж) наявність домашньою комп'ютера та пристрою до нього, підключеная до мережі Як уже згадувалося, усе це всіановлюпься шляхом оглядів, до­питів, виїмок, проведенням експертні, дослідженням експлуатаційних документів, машинних чосмв Інформації, роздрмивок.

Про вчинення комп’ютерних злочинів у фінакозо банківській системі, зокрема при крадіжці грошовим коштів свідчать такі обставини ведення платіжних документів без використання сертифікаційних засобів захисту, відсутність контролю за процесами комп кл орної о оброблення платіжних документів.

відсутність роботи щодо забезпечення Інформаційної безпеки,

– порушення технологічного циклу проект звання, розроблення, випробування та здачі автоматизованих банків­ських систем;

– використання незареєстрованих програм Знання цих умов, які сприятимуть запобіганню злочину, є необхідним