3. Особенности первоначального этапа расследования компьютерных преступлений

Неправомерный доступ к автоматизированным информационным системам или сетям (ст.272 УК РФ) является наиболее опасным и самым распространенным видом компьютерных преступлений. Не случайно в некоторых странах только сам факт такого доступа к сетевому компьютеру признается преступным, независимо от наступления вредных последствий.

Расследование данного преступления связано с установлением большого круга обстоятельств, о чем свидетельствует его криминалистическая характеристика, имеющая специфические особенности.

В соответствии со ст.272 УК РФ ответственность за деяние наступает при условии, если неправомерный доступ к компьютерной информации повлек за собой хотя бы одно из следующих негативных последствий: уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в компьютерной системе или сети. Такой факт, как правило, первыми обнаруживают пользователи автоматизированной информационной системы, ставшие жертвой данного правонарушения.

Факты неправомерного доступа к компьютерной информации иногда устанавливаются в результате оперативно-розыскной деятельности органов внутренних дел, ФСБ, налоговой полиции.

2. Установление места несанкционированного проникновения в компьютерную систему или сеть. Решение данной задачи вызывает определенные трудности, так как таких мест может быть несколько. Чаще обнаруживается место непосредственного использования результатов неправомерного доступа к компьютерной информации, особенно связанного с хищением денежных средств. Так, по делу о покушении на хищение из Центрального банка РФ более 68 млн. рублей таких мест оказалось сразу девять – одно из них помещение этого банка, расположенного по улице Житной, дом 12, и восемь – помещения коммерческих банков, в адрес которых были незаконно переведены из Центрального банка по компьютерной сети крупные суммы денег путем ввода в электронную обработку двенадцати фальшивых платежных документов. Как выяснилось позже, вводились они не установленными лицами с рабочего места под номером 83 оператором ввода под номером 07 с терминала №07.

На всех этих местах должны были остаться следы одного преступления. Однако на первоначальном этапе расследования установить физический адрес ввода фальшивых документов так и не удалось. По мнению специалистов, в той ситуации такой ввод мог быть осуществлен с любого рабочего места, имеющего телекоммуникационную связь с компьютерами. Тем более что эксплуатируемый программный комплекс практически был открыт для несанкционированного ввода, обновления (корректировки, изменения) и обработки любой информации.

3. Установление времени совершения преступления. С помощью программ общесистемного назначения в работающем компьютере обычно устанавливается текущее время, что позволяет по соответствующей команде вывести на экран дисплея информацию о дне недели, выполнения той или иной операции, часе и минуте. Если эти данные введены, то при входе в систему или сеть (в том числе и несанкционированном) время работы на компьютере любого пользователя и время конкретной операции автоматически фиксируются в его оперативной памяти и отражаются, как правило, в выходных данных (на дисплее, листинге или на дискете).

С учетом этого время несанкционированного доступа можно установить путем следственного осмотра компьютера либо распечаток или дискет.

4. Установление надежности средств зашиты компьютерной информации. Прежде всего необходимо установить, предусмотрены ли в данной компьютерной системе меры защиты от несанкционированного доступа к определенным файлам. Это можно выяснить путем допросов ее разработчиков и пользователей, а также изучением проектной документации, соответствующих инструкций по эксплуатации данной системы. При ознакомлении с инструкциями особое внимание должно уделяться разделам о мерах защиты информации, порядке допуска пользователей к определенным данным, разграничении их полномочий, организации контроля за доступом, конкретных методах защиты информации (аппаратных, программных, криптографических, организационных и других).

5. Установление способа несанкционированного доступа. Для совершения рассматриваемого преступления применяются различные способы, в том числе: использование чужого имени, подбор пароля, нахождение и использование пробелов в программе, другие способы преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа к ней можно установить в процессе допроса свидетелей из числа лиц, обслуживающих эту систему, или ее разработчиков. У них необходимо выяснить, каким образом преступник мог преодолеть средства защиты данной системы, в частности, узнать идентификационный номер законного пользователя, код, пароль для доступа к ней, получить сведения о других средствах защиты.

Способ несанкционированного доступа может быть установлен и путем производства информационно-технической судебной экспертизы, перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

6. Установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления. Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Установлению причастности конкретного лица к несанкционированному доступу к компьютерной информации могут способствовать различные материально-фиксированные отображения, обнаруживаемые иногда при следственном осмотре компьютера и его компонентов. Это, например, следы пальцев рук, отдельные записи на внешней упаковке дискет, дисков. Для их исследования назначаются криминалистические экспертизы: дактилоскопическая, почерковедческая, технико-криминалистическая.

7. Установление вредных последствий преступления. Прежде всего необходимо установить, в чем выражены вредные последствия такого доступа (хищение денежных средств или материальных ценностей, завладение компьютерными программами, информацией путем изъятия ее машинных носителей либо копирования, а также незаконное изменение, уничтожение, блокирование или вывод из строя компьютерного оборудования, введение в компьютерную систему заведомо ложной информации или компьютерного вируса и пр.).

8. Выявление обстоятельств, способствовавших преступлению. На заключительном этапе расследования формируется целостное представление об обстоятельствах, способствовавших несанкционированному доступу к компьютерной информации. В данном аспекте важно последовательное изучение различных документов, главным образом относящихся к защите информации. Особое значение при этом могут иметь материалы ведомственного (служебного) расследования.

Вопросы о способствовавших рассматриваемому преступлению обстоятельствах целесообразно ставить при информационно-технологической и информационно-технической судебных экспертизах. Соответствующие обстоятельства могут устанавливаться также благодаря допросам технического персонала, очным ставкам, следственным экспериментам, осмотрам документов.

На допросах лица, обвиняемого в неправомерном доступе к компьютерной информации, уточняются и дополняются ранее полученные данные.

При расследовании преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ (ст.273 УК РФ) следователю приходится иметь дело с различными терминами в области компьютерных технологий.

Программа для ЭВМ – объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата.

К вредоносным программам для ЭВМ принято относить прежде всего так называемые компьютерные вирусы, то есть программы, способные внедряться в другие программы, самовоспроизводиться (размножаться) и при определенных условиях повреждать компьютерные системы или хранящиеся в них данные и программы. Название «вирусы» они получили потому, что многие их свойства подобны свойствам природных вирусов. Компьютерный вирус может размножаться во всех системах определенного типа, а не только в той, где был создан.

УК РФ определен как формальный и предусматривает совершение одного из следующих действий: а) создание программы для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; б) использование либо распространение таких программ или машинных носителей с такими программами. Изменение программы – это преобразование описанного в ней на языке ЭВМ машинного алгоритма, а распространение – расширение сферы ее применения за пределы рабочего места создателя.

Представляется наиболее целесообразной следующая последовательность решения основных задач при расследовании таких преступлений:

1) Установление факта и способа создания вредоносной программы для ЭВМ. Вредоносная программа, как правило, обнаруживается в момент, когда уже явно проявляются последствия ее применения. Выявляется она также в процессе антивирусной проверки, производимой пользователем компьютерной системы перед началом работы на компьютере, особенно часто практикуемой при использовании чужих дискет и дисков.

2) Установление факта использования и распространения вредоносной программы. Большинство пользователей компьютерных систем может обнаружить вредоносные программы с помощью антивирусных программ.

3) Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ. При решении данной следственной задачи необходимо учитывать, что вредоносную программу может создать человек, обладающий навыками в обращении с компьютером и написании программ.

Использовать и распространять вредоносные программы может любой человек, умеющий работать на персональном компьютере. Однако наибольшую опасность представляют высококвалифицированные специалисты в области компьютерных технологий, опытные компьютерные взломщики, получившие в литературе название хакеров.

После установления подозреваемого его задержание должно быть произведено незамедлительно, чтобы не допустить уничтожения компрометирующих его материалов. В случае если вредоносная программа является компьютерным вирусом, от быстроты задержания зависят масштабы его возможного распространения и причинения ущерба.

4) Установление вреда, причиненного данным преступлением. Вредоносная программа в виде вируса может за считанные секунды размножиться в большом количестве экземпляров и за короткий период времени заразить многие компьютерные системы.

Размер ущерба, причиненного преступлением данного вида, устанавливается экспертным путем. Он может быть определен в рамках судебно-бухгалтерской и судебно-экономической экспертиз в комплексе с информационно-технологической и информационно-технической экспертизами.

5) Установление обстоятельств, способствовавших совершению расследуемого преступления. Полную безопасность компьютерных систем обеспечить нельзя, но снизить опасность вредоносных программ для ЭВМ до определенного уровня возможно, в частности, путем устранения обстоятельств, способствующих созданию, использованию и распространению вредоносных компьютерных программ.

Серьезный ущерб компьютерной системе или сети может нанести нарушение правил их эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ), что обычно приводит к сбоям в обработке информации и в конечном счете дестабилизации деятельности соответствующего предприятия или учреждения.

При расследовании по делам данной категории необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:

• место и время (период времени) нарушения правил эксплуатации ЭВМ;

• характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;

• способ и механизм нарушения правил;

• характер и размер ущерба, причиненного преступлением;

• факт нарушения правил определенным лицом;

• виновность лица, допустившего преступное нарушение правил эксплуатации ЭВМ;

• обстоятельства, способствовавшие совершению расследуемого преступления.

Для установления конкретного правила эксплуатации ЭВМ, нарушение которого привело к вредным последствиям, следователю целесообразно допросить всех лиц, работавших на ЭВМ и обслуживавших компьютерное оборудование в соответствующий период времени. В необходимых случаях к участию в допросе привлекается специалист.

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного (административного) расследования, если таковое имело место.

При расследовании нарушения правил эксплуатации компьютерной сети очень важно установить, где расположена обычная станция, эксплуатация которой осуществлялась с грубым нарушением правил информационной безопасности. В первую очередь необходимо определить места, где по схеме развертывания сети расположены рабочие станции, имеющие собственные дисководы, так как на них значительно больше возможностей для преступных нарушений правил эксплуатации компьютерной сети. Это, например, возможность для нарушителя копирования данных с файлового сервера на свою дискету или использования дискеты с различными программами, в том числе с компьютерными вирусами. Такие действия, ставящие под угрозу целостность информации, содержащейся в центральных файловых серверах. исключены на бездисковых рабочих станциях.

Способ и механизм нарушения правил устанавливается путем допросов свидетелей, подозреваемых и обвиняемых, проведения следственного эксперимента, производства информационно-технической экспертизы.

При допросах выясняется последовательность той или иной операции на ЭВМ, которая привела к нарушению правил.

При проведении следственного эксперимента выясняется возможность наступления вредных последствий при нарушении определенных правил. Он проводится с использованием копий исследуемой информации и по возможности на той же ЭВМ, при работе на которой нарушены правила.

Также необходимо отметить, что следователь, ведущий дела по компьютерным преступлениям, должен быть и прекрасным программистом или по крайней мере разбираться в нюансах использования и возможностях вычислительной техники. Но таких специалистов не так уж много и среди программистов, а уж среди следователей и подавно. Однако не следует думать, что раскрытие компьютерных преступлений немыслимо сложно и что это удел избранных.

При расследовании компьютерных преступлений часто возникают сложности при проведении обычных следственных действий, таких, например, как обыск и сбор доказательств. Здесь появляется целый ряд проблем, которые до сих пор не регламентированы. Действительно, обыск компьютера несколько отличается от обыска квартиры. Дело в том, что «залезть» в компьютер и найти там какие-либо программы, коды и т. п. можно только с помощью других программ, которые вносят изменения в содержимое компьютера. Таким образом, недобросовестный следователь всегда имеет возможность «обнаружить» в компьютере – то, что ему нужно, и приглашенные на обыск понятые ему вряд ли помешают. В то же время недостаточно грамотный следователь при попытке копирования сам может уничтожить улики преступления.

Таким образом, работа следователя по раскрытию компьютерных преступлений обладает целым рядом особенностей и требует специальной подготовки. Задача учета этих особенностей могла бы решаться, например, путем введения соответствующих специализаций в юридических вузах, училищах, а также юридическим профилированием студентов.