Методика расследования компьютерных преступлений.

Субъекты компьютерных преступлений могут различаться как по уровню их профессиональной подготовки, так и по социальному положению. В частности, выделяют следующие их виды:

а) «хакеры» – лица, рассматривающие защиту компьютерных систем как личный вызов и взламывающие их для получения полного доступа к системе и удовлетворения собственных амбиций;

б) «шпионы» – лица, взламывающие компьютеры для получения информации, которую можно использовать в политических, военных и экономических целях;

в) «террористы» – лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать в целях политического воздействия;

г) «корыстные преступники» – лица, вторгающиеся в информационные системы для получения личных имущественных или неимущественных выгод;

д) «вандалы» – лица, взламывающие информационные системы для их разрушения;

е) психически больные лица, страдающие новым видом психических заболеваний – информационными болезнями или компьютерными фобиями.

Для преступлений в области компьютерной информации типичны три типовые ситуации первоначального этапа расследования:

1) собственник информационной системы самостоятельно выявил нарушения целостности и (или) конфиденциальности информации в системе, обнаружил причастное лицо и заявил об этом в правоохранительные органы;

2) собственник самостоятельно выявил названные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы;

3) данные о нарушении целостности и (или) конфиденциальности информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).

Во всех этих ситуациях первоначальной задачей расследования является выявление данных о способе нарушения целостности и (или) конфиденциальности информации; порядка регламентации собственником работы информационной системы; круга лиц, имеющих возможность взаимодействовать с информационной системой, в которой произошли нарушения целостности и (или) конфиденциальности информации. Решение этих задач позволяет определить свидетельскую базу и выявить круг лиц, причастных к данному деянию, определить размер причиненного собственнику информации ущерба. Эти задачи решаются и достигаются в ходе допросов свидетелей и очевидцев, а также осмотра ЭВМ и машинных носителей и выемок необходимой документации. Важной спецификой первоначальных следственных действий является необходимость привлечения к участию в деле специалистов.

К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, машинных носителей допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.

Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).

Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств.

Следует принять меры к розыску виновного и поиску его рабочего места, откудн осуществлялось вторжение в информационную систему. При этом осуществляется поиск:

места входа в данную информационную систему и способа входа в систему – вместе и с помощью должностных лиц собственника информационной системы;

путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его программы – вместе и с помощью должностных лиц иных информационных и коммуникационных систем – до рабочего места злоумышленника.

Круг типовых общих версий сравнительно невелик: преступление действительно имело место при тех обстоятельствах, которые вытекают их первичных материалов; преступления не было, а заявитель добросовестно заблуждается; ложное заявление о преступлении.

Типовыми частными версиями являются: версии о личности преступника (ов); версии о местах внедрения в компьютерные системы; версии об обстоятельствах, при которых было совершено преступление; версии о размерах ущерба, причиненного преступлением.

Спецификой дел данной категории является то, что с самого начала расследования следователю приходится взаимодействовать со специалистами в области компьютерной техники. Понятно, что при современном и интенсивном развитии компьютерных и информационных технологий юрист – следователь не в состоянии отслеживать все технологические изменения в данной области. Специалисты крайне необходимы для участия в обысках, осмотрах и выемках. Поиск таких специалистов следует проводить в предприятиях и учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях. В крайнем случае, могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению (при их непричастности к расследуемому событию), а также специалисты зональных информационно-вычислительных центров региональных УВД МВД России. Соответственно компьютерно-техническая экспертиза может оказать действенную помощь при выяснении следующих вопросов: какова конфигурация и состав ЭВМ и можно ли с помощью этой ЭВМ осуществить исследуемые действия; какие информационные ресурсы находятся в данной ЭВМ; не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ; не являются ли представленные файлы с программами зараженными вирусом и, если да, то каким именно; не являются ли представленные тексты на бумажном носителе записями исходного кода программы и каково назначение этой программы; подвергалась ли данная компьютерная информация изменению и если да, то какому именно и др.

В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования может возникнуть необходимость в назначении криминалистической экспертизы для исследования документов. Дактилоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.

Осмотр и обыск (выемка) особенно в начале расследования являются важнейшими инструментами установления обстоятельств расследуемого события. В ходе этих действий следует детально фиксировать не только факт изъятия того или иного объекта, но и фиксировать процесс обыска и результаты осмотра места происшествия для точного отражения местонахождения этого объекта во взаимосвязи с другими найденными на месте обыска объектами.

Для осмотров, обысков и выемок, сопряженных с изъятием ЭВМ, машинных носителей и информации, характерен ряд общих проблем, связанных со спецификой изымаемых технических средств.

Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах, рукописных, в том число шифрованных записей и пр.

Осмотру подложат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказательства

Следственные действия могут производиться в целями осмотра и изъятия ЭВМ и ее устройств; поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах; поиска и изъятия информации и следов воздействия

Если ЭВМ не работает, следует:

точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ и ее периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т.п.), а также порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения, а затем с соблюдением всех возможных мер предосторожности разъединить устройства ЭВМ, предварительно обесточив их.

Упаковывать все изъятое следует раздельно (с указанием в протоколе и на конверте места обнаружения) и помещать их в оболочки, не несущие заряда статического электричества.

Особенной осторожности требует транспортировка винчестера (жесткого диска). Некоторые системы безопасной остановки («парковки») винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда ЭВМ.

Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск ЭВМ, это следует делать во избежание запуска программ пользователя с помощью собственной загрузочной дискеты.

Более сложной частью осмотра ЭВМ являются поиски содержащейся в ней информации и следов воздействия на нее, поскольку требуют специальных познаний. Существует фактически два вида поиска – поиск, где именно искомая информация находится в компьютере, и поиск, где еще разыскиваемая информация могла быть сохранена.

Как известно, в ЭВМ информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешнем запоминающем устройстве. Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на экране дисплея. Если ЭВМ не работает, информация может находиться на машинных носителях, других ЭВМ информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ. Детальный просмотр файлов записей и их расположение (которое само по себе может иметь существенное доказательственное значение, отражая группировку информации) целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники изъятых машинных носителей, а их копии.

Следует обращать внимание на поиск так называемых скрытых* файлов и архивов, где может храниться важная информация. Обнаруженные файлы с зашифрованной информацией следует направлять на расшифровку и декодирование пароля соответствующим специалистам. Специальные познания необходимы и для выявления содержащихся в периферийных устройствах ввода-вывода фрагментов программного обеспечения и информации. Так же как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра.

В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу: носящие следы совершенного преступления (телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по сетям ЭВМ, пароли и коды доступа в сети, дневники связи и пр.); имеющие следы действия аппаратуры (бумажные носители информации, которые могли остаться, например, внутри принтеров в результате сбоя в работе устройства); описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем); нормативные акты, устанавливающие правила работы с ЭВМ, регламентирующие правила работы с данной ЭВМ, системой, сетью; личные документы подозреваемого или обвиняемого и др.

Допросы свидетелей, подозреваемых и обвиняемых осуществляются с использованием тактических рекомендаций, разработанных в криминалистике применительно к типовым ситуациям. По этим делам особое значение имеет очень хорошее знание личности допрашиваемых лиц.

Доскональное изучение личности допрашиваемого важно не только для правильного выбора тактики его допроса, но и приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию, а также дает основание для отнесения лица к соответствующей референтной группе, обобщенное мнение которой может быть использовано для правомерного психологического воздействия при допросе. Все это позволяет сделать допрос более эффективным.

Основными тактическими задачами допроса потерпевших и свидетелей при расследовании дел рассматриваемой категории являются: выявление элементов состава преступления в наблюдавшихся ими действиях, установление обстоятельства, места и времени совершения значимых для расследования действий, способа и мотивов его совершения и сопутствующих обстоятельств, признаков внешности лиц, участвовавших в нем, определение предмета преступного посягательства, размера причиненного ущерба, детальные признаки похищенного, установление иных свидетелей и лиц, причастных к совершению преступления.

Проблемой фиксации показаний по делам о преступлениях в области компьютерной информации является их «перегрузка» специальной терминологией и жаргонной лексикой. Целесообразно в протоколах более подробно акцентировать внимание и фиксировать значения терминов, используемых допрашиваемым при описании известных ему фактов. При описании конфигураций систем или схем движения информации могут оказаться крайне полезными рукописные схемы, составляемые допрашиваемым и приобщаемые к протоколу допроса.