4. Розыскная деятельность следователя про делам о преступлениях в сфере компьютерной информации

Особенности расследования отдельных видов преступлений проявляются и в розыскной деятельности следователя. Эта специфика обусловливается многими факторами, одним из которых выступают объекты, подлежащие розыску.

Возникновение разыскиваемого объекта в окружающей среде есть результат действия закономерностей возникновения доказательственной информации. Появление в ходе расследования преступления объекта розыска – это результат тщательной работы следователя по собиранию, исследованию и оценке криминалистически значимой информации.

К числу основных объектов, подлежащих розыску, по делам о преступлениях в сфере компьютерной информации следует относить: лиц, совершивших преступления; орудия, используемые для совершения преступлений; саму компьютерную информацию; специальную литературу, посвященную вопросам совершения неправомерного доступа к компьютерной информации и т.п.

В числе розыскных признаков лиц, совершивших преступления в сфере компьютерной информации, следует выделять:

1. Общие признаки (пол, возраст, национальность, приметы, место жительства, характер, интересы, профессия, уровень образования, преступный опыт, привычки, особенности взаимоотношений с людьми, состояние здоровья (в том числе и психическое состояние), возможность повторного совершения преступления и пр.).

2. Специальные признаки. К ним относятся:

• обладание навыками в программировании и работе компьютерного оборудования, иных технических средств, которые были использованы при совершении преступления;

• обладание определенным компьютерным оборудованием, программным обеспечением;

• данные, которые оставили о себе сами преступники (например, лица, которые стремятся к «известности» среди компьютерной общественности, могут указывать свое имя, прозвище, иногда электронный адрес, пол);

• данные о месте, откуда совершался неправомерный доступ к компьютерной информации;

• данные о характере похищенной информации, возможности ее использования.

Современная концепция розыскной деятельности следователя исходит из ее понимания как комплекса процессуальных и не процессуальных действий лица, производящего расследование, направленных на установление известных (следователю) объектов, имеющих значение для расследования по делу. Розыскная работа выступает важным элементом поисковой деятельности следователя, с которой она соотносится как частное с общим.

Розыскная деятельность следователя по своей сущности является процессуальной. Она предусмотрена уголовно-процессуальным законодательством и, в зависимости от реализуемых средств, осуществляется:

а) по уголовному делу, по которому ведется предварительное следствие, но не вынесено постановление о привлечении лица в качестве обвиняемого. В этот период следователь реализует все средства, предусмотренные уголовно-процессуальным законодательством, кроме поручения розыска органу дознания. Последнее не исключает производства розыскных действий по поручению следователя (ст.223 Уголовно-процессуального кодекс Российской Федерации от 18 декабря 2001 года №174-ФЗ (далее – УПК РФ)).

б) по уголовному делу, по которому ведется предварительное следствие, вынесено постановление о привлечении лица в качестве обвиняемого и избрана мера пресечения. На этом этапе следователь реализует все средства, предусмотренные уголовно-процессуальным законодательством, в том числе правомочен, при неизвестности места нахождения обвиняемого, поручить его розыск органу дознания (в соответствии со ст.210 УПК РФ);

в) по уголовному делу, по которому вынесено постановление о привлечении лица в качестве обвиняемого, избрана мера пресечения, но предварительное следствие приостановлено (ст.210 УПК РФ). При этом следователь поручает розыск органу дознания (о таком поручении указывается в постановлении о приостановлении предварительного следствия или выносится специальное постановление), а сам осуществляет процессуальные и организационные мероприятия по розыску скрывшегося обвиняемого без производства следственных действий.

В ходе розыскной деятельности по делам о преступлениях в сфере компьютерной информации принципиальное значение имеют тактические решения; о начале розыска; об объектах розыска; о характере розыскных приемов и их комбинаций, применяемых при установлении местонахождения искомых объектов (средств и методов тактического воздействия на ситуа­цию); о субъектах и сроках их производства.

Принятое решение может быть облечено в процессуальную форму или отражено в плане расследования.

Основными средствами розыскной деятельности следователя остаются процессуальные действий. В числе процессуальных выделим следственные действия, а также иные процессуальные действия, направленные не на сбор доказательств по делу а на объявление розыска, дачу поручений о розыске органам дознания, привлечению к розыску общественности. В числе розыскных следственных действий традиционно выделяются осмотр места происшествия, обыск, выемка, задержание и проверка и уточнение показаний на месте. Остальные следственные действия рассматриваются как информационно-обеспечивающие розыскную деятельность.

Необходимо иметь ввиду, что при совершении одного преступления, например, неправомерного доступа к компьютерной информации, может быть несколько мест происшествия:

а) рабочее место, рабочая станция – место обработки информации, ставшей предметом преступного посягательства;

б) место постоянного хранения или резервирования информации – сервер или стример;

в) место использования технических средств для неправомерного доступа к компьютерной информации, находящейся в другом месте; при этом место использования может совпадать с рабочим местом, но находиться вне организации, например, при стороннем взломе путем внешнего удаленного сетевого доступа;

г) место подготовки преступления (разработки вирусов, программ взлома, подбора паролей, перехвата) или место непосредственного использования информации (копирование, распространение, искажение), полученной в результате неправомерного доступа к данным, содержащимся на машинных носителях или в ЭВМ.

По прибытии к месту проведения обыска необходимо войти так быстро и неожиданно в обыскиваемое помещение, чтобы успеть предотвратить уничтожение информации на ЭВМ. В некоторых случаях, когда это возможно и целесообразно, непосредственно перед входом в обыскиваемое помещение следует обесточить его. Следует иметь в виду, что такое действие в одних случаях может привести к отключению всей аппаратуры, находящейся в помещении, в других – к ее повреждению. Поэтому делать это необходимо осторожно и только в крайних случаях, к примеру, если обыскивается отдельно стоящее здание, в котором находится много компьютерной техники со значительным количеством интересующей следствие информации, а из-за большой площади обыскиваемых помещений нет возможности начать одновременный обыск во всех. К тому же эти помещения могут располагаться на нескольких этажах и охраняться.

Обесточивание не всегда может привести к нужному результату, поскольку иногда компьютеры снабжены устройствами бесперебойного питания, и в случае отключения электричества в основной цепи эти устройства поддерживают компьютер в работоспособном состоянии некоторое время (около часа). Подобными устройствами укомплектованы, как правило, центральные компьютеры локальной вычислительной сети и компьютеры с наиболее ценной информацией.

Обнаружение лица (лиц), совершившего преступление в сфере компьютерной информации, – важнейшая задача следователя с начала расследования по делу. В одних случаях эти лица становятся известными сразу: при задержании, наличии очевидцев преступления, знающих преступника, иногда при явке с повинной. В других – лицо, совершившее преступление, неизвестно или информация о нем незначительна. В таких случаях требуется напряженная кропотливая работа по его установлению и розыску, связанная с использованием всех имеющихся в арсенале расследования средств и методов. В этой связи можно говорить о разнообразии тактических приемов установления и розыска лица, совершившего компьютерное преступление.

Информация ориентирующего и розыскного характера о лице, совершившем компьютерное преступление, может быть получена при изучении предметов и материальных следов, обнаруженных при осмотре места происшествия, обыске или выемке в местах возможного пребывания преступника, а также в ходе экспертиз, проводимых по делу. Так, могут быть обнаружены следы рук, обуви, иные вещественные доказательства, включая орудия преступления, окурки, волосы, предметы одежды, личные документы и пр. Не следует забывать о возможностях использования в процессе розыска запаховых следов преступника, а также различных микрообъектов (волокна текстиля, частицы почвы и др.).

Кроме того, современные возможности и в то же время недостатки глобальных компьютерных сетей позволяют преступнику маскировать исходную точку доступа. Если имеют место подобные действия можно с уверенностью говорить о высочайшем профессионализме компьютерного преступника.

Информацию о личности преступника и его местонахождении можно получить, произведя комплексный анализ сведений о способе совершения преступления, противодействии расследованию, месте и времени посягательства, мотивах и целях деяния. Так, например, выявление двух признаков: знание паролей различных операций, выполняемых тем или иным компьютером в организации, и наличие доступа к нему или сети ЭВМ значительно сужают круг подозреваемых.

Целесообразно также изучать способы совершения различных компью­терных преступлений в регионе. Способы совершения преступления повто­ряются у одних и тех же лиц, неоднократно совершавших аналогичные прес­тупления. Обобщенная информация, полученная на основе анализа аналог­ичных способов совершения преступлений, может дополнить составляемую следователем розыскную модель личности преступника.

Розыскная модель личности преступника представляет собой систему признаков, на основе которых можно установить преступника и его местона­хождение.

Приведем следующий пример построения и использования следователем такой модели. При расследовании неоднократного неправомерного доступа к компьютерной информации, находящейся на ЭВМ менеджера, расположенной в торговом зале коммерческой организации, было установлено, что данные преступления были совершены путем непосредственного проникновения в компьютерную систему (во время отсутствия в помещении персонала фирмы) кем-то из посторонних лиц с целью копирования файла (intemetlogin.xis), содержащего информацию о регистрационном имени пользователя сети Интернет, необходимую для бесплатного доступа в эту сеть. Это позволило сделать вывод о том, что преступления совершались одним и тем же лицом, обладающим познаниями в области компьютерных технологий и часто посещавшим торговый зал фирмы. В ходе проверки сотрудников коммерческой организации был установлен молодой человек, совершивший эти преступления.

Анализ способа совершения преступления (нескольких преступлений), иной информации о преступнике в некоторых случаях позволяет предположить, где может появиться или находится преступник. В этой ситуации необходимо провести специальный комплекс мероприятий, направленных на создание условий, побуждающих разыскиваемого действовать в затруднительной для себя обстановке, мешающих ему свободно передвигаться. В частности, целесообразно производить систематические обыски в местах вероятного нахождения разыскиваемого, мероприятия по информированию общественности о его личности, организовывать засады в местах возможного появления преступника, давать поручения органам дознания о проведении оперативно-розыскных мероприятий в среде лиц, увлекающихся компьютерными технологиями и программированием, занимающихся изготовлением и торговлей компьютерным оборудованием и программным обеспечением.

Местонахождение разыскиваемого лица может быть установлено в момент совершения им нового компьютерного преступления. Для достижения этой цели необходимо провести комплекс следственных, оперативно-розыскных и технических мероприятий по установлению возможного объекта нового преступного посягательства со стороны разыскиваемого лица: установить за этим объектом технический контроль, позволяющий определить местонахождение преступника (в случае совершения преступления путем удаленного доступа к компьютерной информации), либо организовать визуальное наблюдение (если предполагается непосредственный доступ к компьютерной информации либо использование похищенной информации в преступных целях).

На возможный объект преступного посягательства указывают:

• характер похищенной компьютерной информации (например, сведения о пароле и регистрационном имени, необходимые для доступа в сеть Интернет, какую-либо компьютерную систему, о кодах кредитных карточек потерпевшего и пр.);

• направленность подготовительных действий преступника (сбор информации о конкретном лице, организации; приобретение необходимого для реализации определенного преступного замысла компьютерного оборудования, программного обеспечения; подбор сообщников и пр.);

• неоднократные попытки преступника получить несанкционированный доступ к определенной информации;

• традиционно интересующая разыскиваемого преступника информация. В этой связи интересен опыт зарубежных правоохранительных органов, применяемых для установления местонахождения разыскиваемого преступника, способ, называемый «приманка», который заключается в заманивании его к определенному объекту и удерживании на связи в течении времени, достаточного для установления его местонахождения, В качестве приманки используются файлы с информацией, которая может заинтересовать преступника. При этом рекомендуется воспользоваться специальными файлами, появление которых у того или иного лица в позволит установить, что именно он осуществлял незаконный доступ к компьютерной информации. Для установления и задержания лиц, занимающихся распространением технических носителей, содержащих вредоносные программы, на практике часто проводится специальный комплекс оперативно-розыскных мероприятий, среди которых в качестве ключевого действия выступает проверочная закупка. После установления местонахождения преступника проводятся его задержание.

В некоторых случаях сведения о местонахождении разыскиваемого лица можно получить в ходе мероприятий по контролю за каналами связи, по которым преступник общается со своими близкими, друзьями. Для достиже­ния этой цели целесообразны: контроль и запись телефонных и иных переговоров, выемка почто во-телеграфной корреспонденции, установление оперативно-технического контроля за электронными средствами связи, которыми может воспользоваться разыскиваемый.

Ряд преступлений в сфере компьютерной информации, связанные с хищением денежных средств, разработкой и распространением вредоносных программ, коммерческим шпионажем, совершается преступными группами. В связи с этим перед следователем стоит задача установления и розыска всех соучастников преступления. Сведения об их личности и местонахождении могут быть получены от уже установленных лиц.

Так, в ходе расследования компьютерных преступлений целесообразно изучить и проверить круг знакомств обвиняемого. К основным источникам информации, на основании которых можно определить весь круг знакомств и связей обвиняемого, относятся: супруги, родственники, иные близкие люди; соседи, сослуживцы по работе; документы личного и делового характера (например, записные книжки, письма, расписки, доверенности); фотографии, кино- и видео материалы; иные предметы и документы, которые могут указать на связи и контакты лица, обвиняемого в совершении преступления (открытки; телефонные счета за междугородние переговоры и др.).

Источники информации о знакомых обвиняемого, которые предположительно явились соучастниками преступления, могут быть обнаружены при личном обыске, а также обыске по месту жительства или работы обвиняемого. Это записные книжки (в том числе электронные), письма, телеграммы, счета, фотографии, материалы видеозаписи и т.д. Учитывая особенности рассматриваемого вида преступлений, интересующая следствие информация может храниться также в памяти персонального компьютера, на машинных носителях информации.

Установленные преступники, их родственники и знакомых допрашиваются в целях: определения происхождения тех или иных документов; личности людей, изображенных на фотографиях и видеозаписи, их места жительства, работы, номеров телефонов, иных координат; получения пояснений относительно сделанных в определенный период времени телефонных звонков, полученных телеграмм, записей и пр.

Показания допрошенных необходимо сопоставить. Если выяснится, что преступник скрыл свои отношения с кем-либо или попытался направить следствие по ложному пути, такие лица подлежат особенно тщательной проверке.