Данные об обстановке и месте совершения неправомерного доступа к компьютерной информации

Обстановка, т. е. все окружающие субъекта усло­вия, в которых осуществляется преступная деятельность, имеет существенное значение для анализа преступного де­яния. Обстановку совершения неправомерного доступа к компьютерной информации обычно определяют обстоя­тельства, характеризующие вещественные, технические, пространственные, временные, психологические особенно­сти события рассматриваемого преступления.

Особенностью неправомерного доступа к компьютерной информации, как, впрочем, и других компьютерных пре­ступлений, является то, что на него практически не оказы­вают влияния природно-климатические факторы.

Дополнительными факторами, характеризующими об­становку совершения неправомерного доступа к компьютер­ной информации, могут являться: наличие и состояние средств защиты компьютерной техники (организационных, технических, программных), сложившаяся на объекте дис­циплина, требовательность со стороны руководителей по соблюдению норм и правил информационной безопаснос-та и эксплуатации ЭВМ.

Для обстановки, в которой возможно совершение рас­сматриваемого преступления, наиболее свойственно следу­ющее: невысокие технико-организационный уровень хозяй­ственной деятельности и контроль за информационной бе­зопасностью, не налаженная система защиты информации, атмосфера безразличия к случаям нарушения требований информационной безопасности.

Выявление особенностей сложившейся обстановки по­зволяет быстрее определить, на что следует обратить особое внимание при осмотре места происшествия, изучении ком­пьютерного оборудования и документов, допросе свидете­лей и решении вопросов о необходимости изъятия опреде­ленных документов и вызове на допрос свидетелей.

Особенностью неправомерного доступа к компьютерной информации является то, что место непосредственного со­вершения противоправного деяния (место, где выполнялись Действия объективной стороны состава ст. 272 УК РФ) и ме-вто наступления вредных последствий (место, где наступил

результат противоправного деяния), как отмечалось в гл. 2 настоящего пособия, могут не совпадать. Причем это имеет место практически при каждом случае опосредованного (уда­ленного) доступа к компьютерной информации. При непос­редственном же доступе место совершения противоправно­го деяния и место наступления вредных последствий совпа­дают. В таких случаях преступление часто совершают сами работники предприятия или организации, учреждения или фирмы.

Местом, где в результате совершения рассматриваемого преступления наступил преступный результат, являются предприятия, организации, учреждения различных форм собственности, которые имеют информацию на машинном носителе, в ЭВМ, системе ЭВМ или их сети. К их числу от­носятся: органы статистики, налоговой инспекции и поли­ции, таможни, социального обеспечения, внутренних дел, военкоматы, администрации различных уровней, коммер­ческие фирмы, предприятия различных профилей, преиму­щественно те, в которых используются высокие технологии и др. Значительное число банков, пенсионных фондов час­то сталкиваются с проблемой защиты персональных данных вкладчиков. Острой является и проблема защиты сведений, хранящихся в паспортных столах, о регистрации по месту жительства отдельных категорий граждан⁸⁰.

Прогнозируя ситуацию с неправомерным доступом к компьютерной информации, можно выделить следующие предприятия, учреждения, организации (различных форм собственности), в которых рассматриваемое преступление может быть совершено работающими там лицами.

Первые — предприятия, организации, учреждения, фирмы, компании с обширной и бюрократизированной организационной структурой, где властные полномочия сконцентрированы, а ответственность обезличена. «В связи с компьютеризацией все большее участие в управленческой деятельности принимают люди, имеющие отношение к программному обеспечению и базам данных автоматизиро­ванных информационных систем. Большинство же руково­дителей не имеет полного представления о том, как же эти

⁸⁰ Это связано с тем, что криминальные структуры проявля­ют большой интерес к местам хранения и учета сведений о реги­страции по месту жительства одиноких, престарелых граждан, а также алкоголиков, наркоманов и пр.

системы функционируют. Тем самым создаются предпосыл­ки для несанкционированного их использования теми со­трудниками, которые решили встать на путь преступле-

ния»⁸¹.

Вторые — предприятия, организации, учреждения, фир­мы, компании, имеющие высокие темпы развития, за кото­рыми не успевают управленческие функции. В некоторых случаях сами руководители не знают с чего начать, какие организационно-управленческие мероприятия необходимо провести, чтобы исключить неправомерный доступ к ком­пьютерной информации.

Третьи — предприятия, организации, учреждения, фир­мы, компании, которые сворачивают свою деятельность. «Их ресурсы также ограничены, что (на фоне вынужденного отказа нанимателя от услуг целого ряда лиц, возбуждения при этом негативных эмоций) создает предпосылки проти­воправных действий»⁸².

Четвертые — предприятия, организации, учреждения, фирмы, компании, созданные с привлечением иностранно­го капитала (различные совместные предприятия), имею­щие устойчивые связи с аналогичными зарубежными фир­мами, поддерживающими устойчивые деловые отношения

/с ближним и дальним зарубежьем. Зарубежные исследова­тели называют предприятия, созданные с участием иност-

\ранного капитала, «зоной повышенной криминальной опас­ности».

Пятые — предприятия, организации, учреждения, фир­мы, компании, где в силу различных обстоятельств царит ненормальный морально-психологический климат, к при­меру, из-за обид лиц, находящихся внизу социальной лест­ницы, по поводу своего приниженного положения по срав­нению с другими (оплата труда, предоставление льгот). Это относится и к случаям, когда в самом руководстве фирмой, компанией нет единства взглядов, в силу чего управляющие высокой квалификации принимают решение оставить фир­му и открыть собственный бизнес.

По причине специфичности компьютерной информа­ции и средств компьютерной техники место совершения преступления может, как уже отмечалось, не совпадать с

⁸¹ Черных Э., Черных А. Компьютерные хищения: как их предотвратить? // Юстиция, 1993, № 3.— С. 21.

⁸² Черных Э., Черных А. Там же.

местом наступления вредных последствий. Это происходит при опосредованном (удаленном) доступе к компьютерной информации через компьютерную сеть или путем электро­магнитного перехвата. В этой связи можно говорить о том, что компьютерная преступность приобретает транснацио­нальный характер, когда преступление совершается в од­ной стране, а негативные последствия наступают в другой. Например, имели место случаи проникновения российских «электронных взломщиков» через компьютерную сеть Internet в базы данных министерства обороны США, ряд крупнейших банков и пр. В Нижнем Новгороде местные хакеры «взломали» компьютерные терминалы телефонных компаний города. Это позволило им без оплаты пользовать­ся сотовой связью, в течение продолжительного времени ве­сти междугородные переговоры, беспрепятственно звонил» в любые точки планеты. При этом, если попытки неправо­мерного доступа предпринимаются одновременно с не­скольких компьютеров, то мест совершения преступления может быть несколько (соответственно числу используемых при этом компьютеров).

Следует отметить, что неправомерный доступ к ком­пьютерной информации, как правило, осуществляется в двух местах: 1) в помещении самого предприятия (органи­зации), где установлен компьютер или группа компьюте­ров в случае непосредственного доступа к компьютерной информации; 2) во внеслужебных помещениях, которыми могут быть жилые помещения, помещения других пред­приятий или организаций, заранее арендованные поме­щения, специально оборудованные автомобили и т. п. при осуществлении опосредованного (удаленного) доступа к компьютерной информации.

Данные о следах

Неправомерного доступа

К компьютерной информации

Следы (см. приложение 7) неправомерного дос­тупа к компьютерной информации, в силу специфики рас­сматриваемого вида преступлений, редко остаются в виде изменений внешней среды. Однако это не означает, что ма­териальных следов не остается вообще. Прежде всего они остаются на магнитных носителях информации и отра-

| хают изменения в хранящейся в них информации (по | сравнению с исходным состоянием). Речь идет о следах • модификации информации (баз данных, программ, тек-

стовых файлов), находящейся на жестких дисках ЭВМ, | дискетах, магнитных лентах, лазерных и магнитоопти­ческих дисках. Кроме того, магнитные носители могут нести следы уничтожения или модификации информа­ции (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей).

Следами могут являться какие-либо рукописные запи­си, распечатки и т. п., свидетельствующие о приготовлении и совершении преступления. Следы могут остаться и на са­мой вычислительной технике (следы пальцев рук, микроча-стицы на клавиатуре, дисководах, принтере и т. д.), а также на магнитных носителях и CD-ROM дисках. Следами, кро­ме того, являются результаты работы антивирусных и тес­товых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных про­грамм⁸³, а также программного обеспечения. Для выявления подобных следов необходимо участие специалистов.

Следы могут оставаться и при опосредованном (удален­ном) доступе через компьютерные сети, например, через ^\ Internet. Они возникают в силу того, что система, через ко­торую производится доступ, обладает некоторой информа­цией, которую она запрашивает у лица, пытающегося соеди­ниться с другим компьютером. Система определяет элект­ронный адрес, используемое программное обеспечение и его версию. Кроме того, при доступе в сеть обычно запрашива­ется адрес электронной почты, реальное имя и другие дан­ные. Эту информацию запрашивает системный админист­ратор (провайдер) для контроля обращений на его сервер, и это также позволяет идентифицировать личность лица, проникающего в сеть.

Следами, указывающими на посторонний доступ к ин­формации, могут являться:

переименование каталогов и файлов;

изменение размеров и содержимого файлов;

⁸³ Например, результаты работы широко распространенной антивирусной программы «DrWeb» отражаются в файле «report.web», содержимое которого можно легко просмотреть.

изменение стандартных реквизитов файлов⁸⁴, даты и времени их создания;

появление новых каталогов, файлов и пр. Перечисленное может свидетельствовать об изменени­ях в заданной структуре файловой системы, а также об из­менении содержимого файлов.

Кроме того, на неправомерный доступ к компьютерной информации могут указывать изменения в заданной ранее конфигурации⁸⁵ компьютера, в том числе:

изменение картинки и цвета экрана при включении;

изменение порядка взаимодействия с периферийным оборудованием (принтером, модемом и др.);

появление новых и удаление прежних сетевых устройств. На неправомерный доступ к компьютерной информа­ции могут указывать и необычные проявления в работе ЭВМ, как-то:

замедленная или неправильная загрузка операционной системы⁸⁶;

замедленная реакция машины на ввод с клавиатуры;

замедленная работа машины с дисковыми накопителя­ми при записи и считывании информации;

неадекватная реакция ЭВМ на команды пользователя;

появление на экране нестандартных символов, знаков и пр.

⁸⁴ Например, изменение статуса файла (только чтение, ар­хивный, скрытый, системный).

⁸⁵ Под конфигурацией компьютера понимается сочетание свойств отдельных устройств ЭВМ. Программным обеспечени­ем может предусматриваться возможность изменения конфигу­рации. К примеру, «в системе Windows может быть изменена кон­фигурация экрана (цвет, разрешение, расположение пиктограмм и т. п.), конфигурация клавиатуры (изменение значения и фун­кций клавиш и их сочетаний) и др. В системах Windows и MS-DOS существуют специальные файлы настройки конфигурации, считываемые операционной системой при загрузке и восстанав­ливающие «рабочую среду» пользователя, а также «запоминаю­щие» сделанные пользователем в ходе сеанса работы изменения в конфигурации устройств». См.: Крылов В. В. Информацион­ные компьютерные преступления,— М., 1997.— С. 108.

⁸⁶ «Операционная система — специальная программа, обес­печивающая взаимодействие всех устройств ЭВМ между собой и с оператором (пользователем). Это единственная программа, которая хранится в ОЗУ компьютера в течение всего времени ра­боты с ним до выключения питания». См. там ж е.— С. 95.