Пошукова робота:

Методика розслідування комп’ютерних злочинів

1. Поняття комп’ютерних злочинів

Незважаючи на теоретичну і практичну значимість вже існуючих досліджень
комп’ютерної злочинності, в них, на нашу думку, не приділено достатньої
уваги розглядові проблем, пов’язаних з визначенням напряму розслідування
у справах про злочини у сфері використання електронно-обчислювальних
машин, систем та комп’ютерних мереж, виявленню типових ситуацій і
висуванню типових версій, спрямованих на подолання інформаційного
вакууму на початковому етапі розслідування й одержання необхідної
доказової інформації. Не вирішені також остаточно питання щодо поняття
комп’ютерних злочинів та їхньої криміналістичної характеристики.

У своїй роботі під терміном „комп’ютерні злочини” ми розуміємо злочини у
сфері використання електронно-обчислювальних машин (комп’ютерів), систем
та комп’ютерних мереж, тобто „передбачені кримінальним законом
суспільно-небезпечні дії, при яких електронне опрацювання інформації
було знаряддям їх вчинення та/або предметом посягання”.

Предметом злочинного зазіхання ми вважаємо, є сама комп’ютерна
інформація, що являє собою основну цінність у комплексі засобів
обчислювальної техніки, до якої входять: електронно-обчислювальна
машина; автоматизовані комп’ютерні системи (АКС); комп’ютерні мережі;
носії комп’ютерної інформації.

На нашу думку, до основних структурних елементів криміналістичної
характеристики зазначеного виду злочинів необхідно віднести відомості
про: — вихідну інформацію, в яку входять: поняття злочинів у сфері
використання електронно-обчислювальних машин (комп’ютерів), систем та
комп’ютерних мереж; характеристика машинної інформації; характеристика
носіїв машинної інформації та інших засобів комп’ютерної техніки; —
способи кримінального впливу на комп’ютерну інформацію і їхні типові
сліди (система матеріальних та ідеальних слідів „комп’ютерних”
злочинів); — слідова картина; — особу можливого злочинця, ймовірні
мотиви і цілі його дій; — ймовірну жертву злочину.

До предмету аналізованої групи злочинів законодавством відноситься
комп’ютерна інформація, носії такої інформації та комп’ютерний вірус.

Під комп’ютерною інформацією як предмета „комп’ютерного” злочину ми
розуміємо відомості про об’єктивний світ і процеси, що відбуваються в
ньому, цілісність, конфіденційність і доступність яких забезпечується за
допомогою комп’ютерної техніки та які мають власника і ціну. Виходячи з
даного нами визначення комп’ютерної інформації, такий елемент предмета
„комп’ютерного” злочину як носій інформації, на нашу думку, необхідно
виключити з кримінально-правової норми, оскільки носій інформації
виступає фізичною ознакою комп’ютерної інформації. Комп’ютерний вірус
являє собою комп’ютерну програму, спеціально призначену для знищення або
перекручення комп’ютерної інформації. За своєю суттю він є одним з видів
програмних засобів, призначених для незаконного проникнення в
електронно-обчислювальні машини, системи чи комп’ютерні мережі та
здатних спричинити перекручення або знищення інформації.

Одним з центральних елементів криміналістичної характеристики злочинів є
спосіб вчинення злочину і типові сліди його застосування. Цей елемент
несе основне значеннєве навантаження як у теоретичному, так і
практичному плані, оскільки описання способів вчинення злочинів прямо
пов’язане з описом типових слідів застосування того чи іншого способу,
тобто слідів, які залишаються, а також місць, де ці сліди ймовірніше за
все можуть бути виявлені.

На сьогоднішній день відсутній єдиний підхід до описання способів
вчинення „комп’ютерних” злочинів. Різні варіанти були запропоновані
В.О.Голубєвим, О.М.Юрченком, П.Д.Біленчуком, В.В.Головачем,
В.М.Салтевським, Н.І.Клименком, О.І.Котляревським, М.А.Губанем,
Ю.М.Батуріним, О.М.Жодзинським, В.Б.Веховим, М.О.Селівановим,
К.С.Скоромніковим, В.Ю.Рогозіним, Б.Х.Толеубековою. Непогодженість
теорії приводить до складнощів у правозастосуванні. Так, проведене нами
опитування виявило, що лише 34% практичних працівників орієнтуються на
яку-небудь класифікацію. Вітчизняний і закордонний досвід розслідування
„комп’ютерних” злочинів показує, що практичне застосування працівниками
правоохоронних органів теоретичних знань про способи їх вчинення
поєднано зі складністю розуміння системи дій злочинців і необхідністю
використання для цього спеціальних знань у сфері інформаційних
технологій. При подоланні цих труднощів необхідно враховувати те, що
будь-який „комп’ютерний” злочин є неправомірним впливом на машинну
інформацію. У зв’язку з цим, прийнявши за основу думку В.М. Бикова про
те, що не для всіх видів злочинів може бути використана одна структура
криміналістичної характеристики [1], нами пропонується в криміналістичну
характеристику злочинів у сфері використання електронно-обчислювальних
машин (комп’ютерів), систем та комп’ютерних мереж замість традиційного
елемента – „спосіб вчинення злочину” включити інший елемент – „спосіб
впливу на комп’ютерну інформацію при вчиненні злочину”.

Проведений нами аналіз кримінальних справ показав, що виявлення способу
впливу на комп’ютерну інформацію в більшості випадків не викликає
ускладнень, і, тим самим, може стати базою для висування версій,
визначення напряму розслідування і вирішення інших питань розкриття і
розслідування „комп’ютерних” злочинів.

Підкріпимо вищезазначене прикладом з практики роботи прокуратури
Чернігівської області. 1 березня 1999 року нею була порушена кримінальна
справа за фактом незаконного втручання в роботу системи ЕОМ. В ході
розслідування було встановлено, що декілька громадян отримали рахунки за
послуги мережі Internet (які надавало місцеве ЗАТ „СИНЕТ”), якою вони не
користувались. Для входу в мережу ними використовувалась спеціалізована
програма з кодами для доступу. Аналіз вихідної інформації дозволив
слідчому висунути версію, що інформація, яка забезпечує роботу з
мережними ресурсами, була незаконно скопійована. Проведені
оперативно-розшукові заходи і слідчі дії підтвердили факт копіювання. В
той же час спосіб вчинення злочину був досить складним і носив
комплексний характер. Організатором була створена спеціальна (шкідлива)
програма для копіювання конфіденційних даних, підібрані співучасники з
числа знайомих осіб, розроблена легенда для доступу до комп’ютера й
спланований відволікаючий маневр для отримання можливості маніпуляцій з
інформацією [2]. У даному прикладі відслідковується важливіша роль
способу впливу на комп’ютерну інформацію, ніж способу вчинення злочину,
що підтверджує нашу точку зору з елементного складу криміналістичної
характеристики „комп’ютерних” злочинів.

Спосіб впливу на комп’ютерну інформацію багато в чому визначає типові
сліди вчинення „комп’ютерного” злочину, іншими словами – слідову
картину.

Слідами злочину з гносеологічної точки зору будуть будь-які зміни
середовища, які відбулися внаслідок вчинення в цьому середовищі
злочинів. Загальновизнано, що такі зміни можуть бути двох видів:
матеріальні (на предметах і в обстановці) та ідеальні (у свідомості
людей).

Не можна не помітити, що при вчиненні „комп’ютерних” злочинів ідеальні
сліди найчастіше мають вирішальне значення, оскільки нерідко є єдиними і
відіграють важливу роль при діагностичних дослідженнях, дозволяючи
встановити причинний зв’язок між подією і наслідками, що настали, і на
цій основі розібратися в динаміці подій, які відбулися. Як приклад можна
привести дію комп’ютерного вірусу в автоматизованій системі. Наслідками,
які в ній настали, є знищення чи пошкодження інформації. Подія теж може
бути зафіксована в пам’яті персоналу, який обслуговує ЕОМ, у вигляді
відомостей про неординарну роботу комп’ютерної системи, тобто в образі
повідомлень, які нестандартно видаються, чи видимих порушень нормального
функціонування пристроїв. Саме збої в роботі комп’ютерної системи на
одному з підприємств у м. Одеса, дозволили виявити шкідливі програми в
системі управління комп’ютера [3].

Першим способом злочинного впливу на комп’ютерну інформацію є її
копіювання, тобто незаконне перенесення комп’ютерної інформації з одного
носія на інший зі збереженням вихідних даних без змін. Як показує
практика, близько 40% „комп’ютерних” злочинів вчиненні копіюванням.
Ґрунтуючись на організаційних і технічних умовах, які мають бути
дотримані при даному способі впливу на інформацію, можна припустити, що
в свідомості персоналу на об’єкті, де мало місце копіювання, можуть
залишитися відомості, що мають значення для розслідування (ідеальні
сліди злочину), а саме:

а) наявність у кого-небудь необґрунтовано великої кількості дискет чи
носіїв комп’ютерної інформації великої ємності, пристроїв збереження
інформації, переносного комп’ютера чи інших технічних засобів, на які чи
за допомогою яких може бути переписана інформація і які не
застосовуються при нормальному функціонуванні системи;

б) випадки використання цих пристроїв, тобто підключення технічних
засобів до комп’ютерної системи і копіювання на них інформації;

в) факти блокування системи протягом більшого проміжку часу, ніж при
звичайній роботі доступу до інформації чи до якого-небудь пристрою
системи, викликані процесами копіювання;

г) відомості про доступ до комп’ютерів сторонніх осіб чи персоналу, до
функціональних обов’язки яких не входить робота за засобами оперативної
техніки;

д) прояв зацікавленості до розташування якої-небудь інформації в масиві
даних, можливості доступу до неї й умовам її копіювання тими, хто не
уповноважений її обробляти;

е) тимчасова відсутність носіїв інформації чи пристроїв, які містять
дані носії (під видом ремонту чи профілактики).

До матеріальної складової слідової картини при копіюванні інформації
відносяться: 1. Сліди людини: — відбитки пальців рук, поява яких
сполучена з неможливістю обійтися без маніпулювання з ЕОМ у процесі
копіювання інформації. Місцями їх найбільш ймовірного перебування є
клавіатура комп’ютера, маніпулятори типу «миша», вимикачі живлення й
інші елементи керування засобами обчислювальної техніки (кнопки, важелі
пристрою подачі паперу принтера й ін.), мережні шнури і розетки; — інші
сліди, до яких відносяться сліди зубів, губ, ділянок тіла людини і його
одягу і ін., можуть бути виявлені в тих випадках, коли злочинець під час
роботи курив, пив чай, каву й ін. чи страждає шкідливими звичками,
такими, як гризти олівець і ін.

2. Сліди знарядь злочину, якими в даному випадку є носії інформації, на
які відбувалось копіювання. Вони можуть бути представлені мікрочастинами
цих носіїв на пристроях для зчитування, слідами, які утворюються при
підключенні до ЕОМ, системи чи мережі ЕОМ апаратури, на якій чи за
допомогою якої здійснюється копіювання інформації.

3. Сліди копіювання у вигляді машинної інформації, до яких відносяться:
а) скопійована інформація на носіях у злочинця; б) програмне
забезпечення, за допомогою якого вчинялось копіювання; в) проміжна
інформація, яка утворюється при копіюванні. Це тимчасові файли і
каталоги, які може створити злочинець на жорсткому диску комп’ютера з
метою забезпечити чи прискорити свою роботу, файли помилок, що виникають
при збоях роботи програм копіювання. г) інформація про несанкціонований
доступ в автоматизованих журналах обліку у випадках встановлення
спеціального програмного забезпечення, яке фіксує процеси при доступі до
комп’ютера.

Наступним способом злочинного впливу на комп’ютерну інформацію є її
знищення. Аналіз слідчої практики показав, що подібним способом
скоюється приблизно 10% злочинів. При знищенні відбувається „приведення
інформації у такий стан, який виключає можливість використання всієї
інформації чи значної її частини [4].

Ідеальна частина слідоутворення при знищенні комп’ютерної інформації
формується з таких елементів: а) відомостей про доступ чи роботу за
комп’ютером осіб, в чиї обов’язки не входять такі дії; б) фактів збоїв у
роботі обчислювальної системи, викликаних програмними і технічними
причинами (наприклад, короткочасним відключенням напруги); в) інформації
про роботу шкідливих програм (це можуть бути візуально сприйняті екранні
заставки і повідомлення чи звукові фрагменти під час видалення
інформації.

Матеріальна складова системи слідоутворення при знищенні комп’ютерної
інформації складається з традиційних слідів людини, що виникають при
роботі за комп’ютером.

Наступним способом злочинного впливу на комп’ютерну інформацію, яка
знаходиться на пристроях тривалого зберігання, є її перекручення. Аналіз
емпіричного матеріалу показує, що до 50% злочинів відбувається
зазначеним способом.

Під перекрученням розуміється будь-яка зміна такої інформації за
відсутності можливості відновити ті її фрагменти, які зазнали змін, в їх
первісному вигляді [5]. Перекручення може проводитись вручну,
автоматично або шляхом підміни.

Ідеальна складова слідової картини перекручення комп’ютерної інформації
представлена наступними відомостями: а) про зацікавленість кого-небудь з
персоналу, до чиїх службових обов’язків не входить обслуговування
програм і баз даних, змістом інформації, її розташуванням у масиві й
умовами доступу; б) про роботу з програмним забезпеченням, призначеним
для коректування інформації (відладчиками, спеціальними утилітами, тощо)
особами, які не спеціалізуються на цьому, чи за обставин, що не
вимагають такого втручання; в) про розробку нових програм чи
вдосконалення вже існуючих, якщо дане завдання перед конкретним
програмістом не ставилася. Такі роботи можуть свідчити про підготовку
шкідливої програми чи тренування по внесенню змін у діюче ПЗ чи бази
даних.

Слідами перекручення інформації у вигляді збереженої після вчинення
злочину комп’ютерної інформації будуть: а) сама перекручена інформація,
за якою можна буде встановити зміст змін, а іноді дату й час їхнього
внесення; б) програмне забезпечення, що дозволяє здійснювати
перекручення інформації в комп’ютерній системі чи на носіях інформації в
підозрюваного; в) носії з інформацією, що свідчать про підміну даних чи
поширення шкідливих програм; г) наявність у підозрюваного комп’ютера з
відповідним програмним забезпеченням для створення шкідливих програм чи
підготовки інформації для перекручення; збережені на ньому чи інших
носіях інформації копії такої інформації, в тому числі, інформації, яка
свідчить про розробку шкідливих програм (вихідні модулі, результати
трансляції, тощо); д) збережені в комп’ютерах чи на інших носіях
інформації підозрюваного копії програмного забезпечення, яке піддали
впливу чи декількох його модифікованих варіантів.

Наступним способом впливу на комп’ютерну інформацію на пристроях
довгострокового зберігання є її вилучення разом з її носієм.

Ідеальна складова слідової картини при вилученні інформації разом з її
носієм складається з відомостей про інтерес персоналу, до чиїх
обов’язків не входить робота з інформацією, про її розташування на
носіях і можливостях заволодіння даними носіями.

Традиційна матеріальна складова складається з: а) слідів доступу на
об’єкт і слідів доступу до носія, про які ми вже говорили вище, тому не
будемо їх перелічувати; в) самих носіїв чи їх частин, виявлених поза
місцями звичайного їх зберігання (це варто враховувати при проведенні
слідчих дій і оперативно-розшукових заходів).

Окрім того, можливий вплив на комп’ютерну інформацію комплексними
методами, заснованими на застосуванні різних комбінацій з перерахованих
вище способів. При цьому один використовується як основний, а інші —
носять допоміжний характер.

Детальне вивчення способів впливу на комп’ютерну інформацію, а так само
слідів на місці події, дозволяє з високим ступенем ймовірності визначити
необхідні професійні навички, якими має володіти суб’єкт злочину, і
можливості його доступу до інформації.

Як висновок хотілося зазначити, що при вивченні „комп’ютерних” злочинів
варто враховувати те, що сучасний період характеризується безупинним
розвитком, як апаратних, так і програмних складових обчислювального
комплексу. Відповідно, це обумовлює появу нових способів вчинення
злочинів у класичному розумінні цього терміна. Як підсумок, їх
дослідження закономірно приречене на неповне висвітлення проблеми.

2. Види вихідних ситуацій. Слідчі версії і засоби їх перевірки на
початковому етапі розслідування „комп’ютерних” злочинів Під вихідною
ситуацією ми розуміємо об’єктивну реальність, фактичну обстановку, що
склалася в конкретний момент розслідування.

Проаналізувавши вітчизняний і зарубіжний досвід розслідування справ
вказаної категорії, ми можемо виділити відомості, якими часто володіє
слідчий на початковому етапі розслідування, на їх основі можна визначити
вихідні ситуації.

До них відносяться дані про: — зовнішній прояв злочинного діяння; —
способи доступу до комп’ютерної системи і безпосередньо до носіїв
інформації; — вид інформації, що зазнала впливу; — суб’єкта, який вчинив
злочин.

У своїй сукупності, як показало дослідження, вони можуть утворювати
наступні типові вихідні ситуації. 1. Встановлені факти перекручення
комп’ютерної інформації, циркулюючої в кредитно-фінансовій сфері, при
цьому відомості про спосіб доступу до неї і осіб, що вчинили дане
діяння, відсутні – виявляється приблизно у 60 % випадків. 2. Встановлені
факти злочинного заволодіння комп’ютерною інформацією, при цьому
відомості про спосіб доступу до неї і осіб, що вчинили дане діяння,
відсутні – 10%. 3. Встановлені факти злочинного заволодіння комп’ютерною
інформацією, для доступу до неї застосовувався механічний вплив, при
цьому відомості про осіб, що вчинили дане діяння, відсутні – 10%.

4. Встановлені факти перекручення комп’ютерної інформації, при цьому
відомості про спосіб доступу до неї і осіб, що вчинили дане діяння,
відсутні –10%. 5. Встановлені факти знищення інформації в комп’ютерній
системі, при цьому відомості про спосіб доступу до неї і осіб, що
вчинили дане діяння, відсутні – 5%. 6. Встановлені факти злочинного
впливу на комп’ютерну інформацію (заволодіння, перекручення або
руйнування), при цьому є відомості про спосіб доступу і осіб, що вчинили
дане діяння, – 5 %.

Названі типові слідчі ситуації покликані допомогти слідчому правильно
провести аналіз реальних обставин, які складаються з самого початку
розслідування „комп’ютерних” злочинів. Результатом стане висунення
слідчих версій і планування розслідування, тобто розробка переліку
початкових слідчих дій, оперативно-розшукових і організаційних заходів,
тактики і послідовності їх проведення.

На основі вихідних слідчих ситуацій на початковому етапі розслідування
злочинів у сфері використання електронно-обчислювальних машин
(комп’ютерів), систем та комп’ютерних мереж можна виявити типові версії,
що найбільш загально пояснюють подію, коли інформації про неї дуже мало,
вона суперечлива і не цілком достовірна.

Основою виділення типових версій можна визнати мету вчинення
„комп’ютерного” злочину. Аналіз емпіричного матеріалу, чисельних
наукових джерел за темою (вітчизняних і зарубіжних) дозволяє виділити
такі основні цілі вчинення „комп’ютерних” злочинів: а) прагнення
отримання матеріальної вигоди від заволодіння чужою власністю у вигляді:
грошових коштів, інших матеріальних цінностей, конфіденційної
інформації; б) порушення авторських прав; в) порушення алгоритму
проходження інформації, знищення або пошкодження комп’ютерних програм і
баз даних, а також їх носіїв.

На основі типових вихідних ситуацій на початковому етапі розслідування
злочинів у сфері використання електронно-обчислювальних машин
(комп’ютерів), систем та комп’ютерних мереж можна виявити типові версії,
що найбільш загально пояснюють подію, коли інформації про неї дуже мало,
вона суперечлива і не цілком достовірна.

Проведений докладний аналіз ознак, що виявляються з кожної визначеної
нами типової мети вчинення злочинів у сфері використання
електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних
мереж, дозволив виділити такі основні типові версії на початковому етапі
розслідування: I. „Комп’ютерний” злочин вчинений з метою отримання
матеріальної вигоди. 1.1. „Комп’ютерний” злочин є посяганням на
розкрадання грошових коштів. Версія 1.1.1. Комп’ютерний злочин вчинено з
метою розкрадання грошових коштів групою осіб за попередньою змовою або
організованою групою за участю співробітника даної установи; один з
суб’єктів добре володіє навичками роботи з комп’ютерною технікою. Версія
1.1.2. Комп’ютерний злочин вчинено з метою розкрадання грошових коштів
співробітником даної установи, що володіє навичками роботи з
комп’ютерною технікою. Версія 1.1.3. Комп’ютерний злочин з метою
розкрадання грошових коштів вчинено без участі співробітників даної
установи злочинцями, один з яких володіє навичками роботи з комп’ютерною
технікою.

1.2. „Комп’ютерний” злочин вчинено з метою заволодіння інформацією з
обмеженим доступом. Версія 1.2.1. „Комп’ютерний” злочин вчинено з метою
заволодіння інформацією з обмеженим доступом особою (особами), що мають
вільний доступ до комп’ютерної техніки. Версія 1.2.2. „Комп’ютерний”
злочин вчинено з метою заволодіння інформацією з обмеженим доступом
особою (особами), що не має вільного доступу до комп’ютерної техніки.

1.3. Комп’ютерний злочин вчинено з метою підготовки до розкрадання
матеріальних цінностей. Версія 1.3.1. „Комп’ютерний” злочин вчинено з
метою розкрадання матеріальних цінностей особою (особами), що має
вільний доступ до комп’ютерної техніки. Версія 1.3.2. „Комп’ютерний”
злочин вчинено з метою розкрадання матеріальних цінностей особою
(особами), що не мають вільного доступу до комп’ютерної техніки.

II. „Комп’ютерний” злочин вчинено з метою порушення авторських прав.
Версія 2.1. „Комп’ютерний” злочин вчинено з метою порушення авторських
прав особою (-ами), що має вільний доступ до комп’ютерної техніки.
Версія 2.2. „Комп’ютерний” злочин вчинено з метою порушення авторських
прав особою (-ами), що не має вільного доступу до комп’ютерної техніки.

III. „Комп’ютерний” злочин вчинено з метою порушення алгоритму обробки
інформації, знищення або пошкодження комп’ютерних програм і баз даних, а
так само їх носіїв. Версія 3.1. „Комп’ютерний” злочин вчинено з метою
порушення алгоритму обробки, знищення або пошкодження інформації особою,
що має доступ до комп’ютерної техніки. Версія 3.2. „Комп’ютерний” злочин
вчинено з метою порушення алгоритму обробки, знищення або пошкодження
інформації особою, що не має доступу до комп’ютерної техніки. Версія
3.3. Знищення, пошкодження або порушення алгоритму обробки інформації
сталося внаслідок збою або несправності в автоматизованій системі і не є
„комп’ютерним” злочином.

IV. Вплив на комп’ютерну інформацію є наслідком вчинення злочину проти
власності. Версія 4.1. Заволодіння або знищення комп’ютерної інформації
сталося з необережності, що є не „комп’ютерним” злочином, а протиправним
посяганням на власність.

Необхідність висунення і перевірки тієї або іншої версії залежить від
вихідної ситуації, що склалася. На основі аналізу емпіричного матеріалу,
вітчизняної і зарубіжної літератури, присвяченої проблемам злочинності у
сфері використання електронно-обчислювальних машин (комп’ютерів), систем
та комп’ютерних мереж, нами встановлена кореляційна залежність між
виявленими типовими вихідними ситуаціями на початковому етапі
розслідування „комп’ютерних” злочинів і типовими версіями. Це знайшло
відображення в таблиці №1.

Дані пропозиції носять рекомендаційний характер і слугують для
полегшення організаційної роботи слідчого на початковому етапі
розслідування „комп’ютерних” злочинів, зокрема, при складанні плану
розслідування. Кількість і зміст версій корегуються залежно від
інформації, отриманої при аналізі реальної слідчої ситуації.

Для успішної перевірки слідчих версій, висунених на основі
запропонованих нами типових версій, потрібно виявити ряд умов, у яких
вчинено „комп’ютерний” злочин. Частину з них складають предмет
доказування по даній кримінальній справі, інші носять допоміжних
характер і служать для створення об’єктивних умові успішному і
своєчасному проведенню розслідування.

Нами визначені основні обставини, що підлягають встановленню при
розслідуванні злочинів у сфері використання електронно-обчислювальних
машин (комп’ютерів), систем та комп’ютерних мереж: 1. Час вчинення
злочину. 2. Місце вчинення злочину. 3. Особливості і характеристика
об’єкта, де вчинено злочин. 3.1. Форма власності об’єкта і функції, що
ним виконуються. 3.2. Характеристика об’єкта: — технічні і конструктивні
особливості будівлі: поверхня; характеристика будівельного матеріалу
(дерев’яна, цегляна, з бетонних блоків); матеріал покрівлі; форма
будівлі; наявність дверей; вікон, огорож; інші особливості; — його
розташування на місцевості по відношенню до сторін світу; наявність
інших об’єктів, доріг, їх призначення; — технічні і конструктивні
особливості приміщень, пов’язані з установкою і експлуатацією
обчислювальної техніки (спеціальне обладнання підлоги, стель, вікон;
канали кабельних і вентиляційних шахт, встановлення і фактичний стан
пристроїв кондиціонування повітря, система електроживлення засобів ЕОТ);
— особливості встановлення засобів комплексу обчислювальної техніки
(зосереджені в одному місці або розташовані в різних приміщеннях); —
режим роботи; — режим доступу до засобів обчислювальної техніки; — умови
зберігання дистрибутивних пакетів, архівів і резервних списів (копій); —
режим і фактичний стан охорони (відомча, позавідомча, спеціальна); —
наявність і технічна характеристика охоронної сигналізації, вид
охоронної техніки, що використовується (централізована, автономна
хімічна пастка).

4. Особливості побудови і організації експлуатації засобів
обчислювальної техніки. 4.1. Склад обчислювального комплексу: — тип,
модель та інші характеристики комп’ютерів; — наявність і типи
периферійних пристроїв; — склад і апаратура локальної обчислювальної
мережі; — наявність, модель і характеристика пристроїв телекомунікації;
— топологія мережі; — програмне забезпечення, що використовується; —
використання програмно-апаратних засобів захисту. 4.2. Організація
роботи з засобами обчислювальної техніки: — наявність служби безпеки
інформації; — розмежування доступу до засобів обчислювальної техніки і
машинним носіям; — організація доступу до ресурсів ЕОМ, системи ЕОМ або
їх мережі; — організація доступу до кодів, паролів і іншої
ідентифікуючої інформації; — періодичність створення резервних списів
(копій); — організація контролю за використанням дискового простору
користувачами; — організація антивірусного захисту; — організація
доступу до ЕОМ, системи ЕОМ і їх мережі ззовні – через пристрої
телекомунікації; — наявність розроблених правил експлуатації ЕОМ і
документації про ознайомлення з ними; — ведення обліку користувачів.

5. Спосіб злочинного впливу на інформацію: — несанкціоноване копіювання;
— вилучення разом з носієм; — перекручення; — знищення.

6. Характеристика інформації, що зазнала злочинного впливу. 6.1. Зміст і
назва інформації, що зазнала впливу. 6.2. Кількісні і якісні
характеристики інформації (обсяг, приблизний об’єм архіву, можливість
використання без інсталяції ключових дискет і апаратних ключів-паролів).
6.3. Кількісні і якісні характеристики викрадених пристроїв
обчислювальної техніки і машинних носіїв: найменування, номер, обсяг,
вага, індивідуальні особливості, час і місце придбання (надходження),
вартість на момент придбання (в гривнях, у валюті), вартість на момент
викрадення (з урахуванням зносу, амортизації і зростання цін).

7. Засоби, які використовувались при вчинені злочину: — технічні засоби;
— програмні засоби, в тому числі, програми-пастки і комп’ютерні віруси;
— інші засоби. 8. Спосіб подолання програмного і апаратного захисту: —
підбір ключів і паролів; — попереднє розкрадання ключів і паролів; —
відключення засобів захисту; — використання недосконалості засобів
захисту; — руйнування засобів захисту; — використання спеціальних
програмних засобів; — інші.

9. Можливість вчинення злочину ззовні приміщення через мережі
телекомунікації і ЛОС та наявність слідів у вигляді протоколів обміну й
іншої комп’ютерної інформації.

10. Наявність можливості проникнення на місце злочину і відходу від
нього через вікно, двері, пролом, сходи, а також способи відходу (пішки
або з використанням транспортного засобу).

11. Наявність на об’єкті, шляхах підходу і відходу слідів злочину і
злочинця.

12. Знаряддя злочину (використане для проникнення на об’єкт і (або)
застосоване для розкриття і демонтажу пристроїв обчислювальної техніки),
його частини і сліди (їх характеристика, індивідуальні ознаки, спосіб
виготовлення, місце придбання, виготовлення, зберігання і минулого
використання).

13. Наявність слідів підготовчих дій до вчинення злочину: 13.1. Факти
попереднього вивчення об’єкта, в якому вчинено злочин. 13.2. Спроби
встановити контакт з співробітниками установи. 13.3. Підбір
співучасників. 13.4. Розробка плану вчинення злочину. 13.5. Підготовка
знарядь злочину, в тому числі, розробка спеціального апаратного і
програмного забезпечення. 13.6. Попередня підготовка місць зберігання і
збуту викраденого.

14. Цілі і мотиви вчинення злочину.

15. Наявність кваліфікуючих ознак злочину у сфері використання
електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних
мереж: — вчинений групою осіб за попередньою змовою або організованою
групою; — вчинений особою з використанням свого службового становища, а
також особою, що має доступ до ЕОМ, системи ЕОМ або їх мережі; —
спричинило з необережності тяжкі наслідки.

16. Відомості про суб’єкта (суб’єктів) злочину: — анкетні та інші
характеризуючі дані; — фізичні: зріст, стать, фізична сила, ознаки
зовнішності; — фізіологічні характеристики групи крові, слини, тощо; —
психолого-психічні характеристики, навички, інтереси, схильності,
професійні вміння, стан сп’яніння, наркотичного збудження в момент
вчинення злочину, хронічний алкоголік, потребуючий примусового
лікування; — зовнішність: одяг, взуття, інші деталі;

17. Наявність співучасників: — їх анкетні дані; — їх роль у злочині
(виконавець, організатор, підбурювач, пособник); — конкретні дії кожного
співучасника; — злочин вчинений у групі дорослих; тільки неповнолітніх;
змішаній групі.

18. Ознаки організованої групи: — стійкість функціонування; — корислива
спрямованість; — розподіл ролей в середині групи; — наявність процесів
управління всередині угруповання: збір і переробка інформації, прийняття
рішень, у тому числі, планування злочинів, організація виконання рішень,
контроль за виконанням і їх коректування; — згуртованість; — наявність
міжрегіональних злочинних зв’язків; — спільні грошові і матеріальні
кошти; — озброєність.

19. Наявність на одязі особи, яка вчинила злочин, при ньому або в
помешканні слідів і знарядь злочину або його частин (інструменти,
аналоги матеріалів, з яких виготовлялося знаряддя злочину, мікрочастинки
з місця вчинення злочину, тілесні пошкодження, отримані при проникненні
на об’єкт).

20. Наявність у особи, що вчинила злочин, її родичів і знайомих
викрадених засобів обчислювальної техніки, інформації на машинних носіях
або інших слідів (документів і частин викраденого, що залишились при
зберіганні, грошей, цінностей і документів отриманих при збуті).

21. Факти збуту викраденого даною особою, його родичами або знайомими.
22. Наявність у цих осіб транспортних засобів для перевезення
викраденого. 23. Вид і розмір збитку (фізичного, матеріального,
морального), кому заподіяний і обставини його відшкодування. 24.
Винність особи, яка вчинила злочин. 25. Причини і умови, що сприяли
вчиненню злочину. 26. Дані, що впливають на характер і міру
відповідальності.

У випадках коли особа, яка вчинила злочин невідома, додатково необхідно
встановити: 27. Відомості про злочини даної категорії, вчинених раніше
аналогічним способом в даному та інших районах. 28. Відомості про осіб,
„які проходять” по цих злочинах. 29. Факти антигромадської поведінки
(протиправні способи задоволення потреб) серед осіб: — з числа родичів і
знайомих потерпілого, які працюють або працювали на об’єкті або їх
зв’язки; — інших осіб, які опинились на місці злочину, в тому числі, й
неповнолітніх. 30. Факти, які вказують на невдоволення деяких осіб з
числа працюючих на об’єкті, обстановкою, що там склалася: — невизнання
наукових, професійних або організаторських здібностей; — конфлікти на
ґрунті особистої неприязні; — невдоволення зарплатою, часом відпустки; —
затримка з просуванням по службі; — інші обставини. 31. Збіг або
неспівпадання відомостей про вищезгаданих осіб з наявними відомостями
про особу злочинця. 32. Місцезнаходження особи (осіб), які викликають
зацікавленість, в момент вчинення злочину (причини відсутності за місцем
роботи, навчання і вдома). З’ясування даних обставин здійснюється шляхом
проведення слідчих дій і оперативно-розшукових заходів, про організацію
проведення яких піде мова в наступному розділі.

3. Особливості проведення окремих слідчих дій та взаємодії їх учасників
при розслідуванні „комп’ютерних” злочинів Найважливішими інструментами
встановлення обставин розслідуваної події у справах даної категорії на
початковому етапі розслідування є слідчий огляд, обшук і виїмка, допит
свідків і підозрюваного.

Особливості провадження названих слідчих дій визначаються самою
специфікою використання, накопичення і зберігання комп’ютерної
інформації на різних носіях. Варто наголосити і зупинитися на тих із
них, які містять максимальну інформативність, з точки зору отримання
найбільшого обсягу доказової інформації.

Слідчий огляд. Організація та технологія слідчого огляду у справах про
„комп’ютерні” злочини відрізняються від аналогічної слідчої дії при
розслідуванні традиційних злочинів. Це обумовлено не тільки небезпекою
навмисного знищення інформації, яка має доказове значення, з боку ще не
виявлених учасників злочину, інших зацікавлених осіб, але і необережним
поводженням слідчого й інших членів слідчо-оперативної групи, які можуть
зашкодити інформації, знищити сліди в результаті неправильного,
некваліфікованого поводження з програмно-апаратними засобами.

Однією з найважливіших умов проведення огляду є суворе дотримання
встановлених правил поводження з комп’ютерною технікою і носіями
інформації, технічно грамотне проведення пошуку доказів, потрібної
інформації.

Особливості підготовчого етапу проведення огляду полягають у виконанні
наступних заходів: 1) щодо забезпечення цілісності та охорони місця
проведення огляду (відмова від допомоги осіб з числа співробітників
постраждалої організації, блокування й охорона приміщень тощо); 2) щодо
одержання інформації про комп’ютерну систему, яка підлягає огляду
(одиночний комп’ютер, робоча станція, сервер; яке програмне забезпечення
використовується). А також: а) про те, яким чином комп’ютерна техніка
була використана при вчиненні злочину (як знаряддя, засоби вчинення
злочину або об’єкт злочинного посягання); б) яке програмне забезпечення
і які носії інформації необхідно вилучати; в) про особу (особи),
підозрювану у вчиненні злочину, її (їх) професійні навички з володіння
комп’ютерною технікою з урахуванням засобів вчинення злочину і способів
подолання інформаційного захисту, можливих дій зі знищення інформації та
приховання слідів злочину; г) про кількість та розташування приміщень,
наявності мережі в місці, де має бути проведено огляд; д) про види
електронної інформації, яка зберігається, і її місцезнаходження; 3)
запросити спеціалістів – фахівців з експлуатації програмних засобів,
фахівців зі створення програм для ЕОМ, інженерів з технічної
експлуатації і ремонту ЕОМ. 4) запросити понятих. Як понятих слід
запрошувати людей, які розуміються у комп’ютерній техніці; 5)
підготувати відповідну комп’ютерну техніку, яка буде використовуватися
для зчитування та збереження вилученої інформації; 6) провести
інструктаж членів слідчо-оперативної групи. При цьому особливу увагу
приділити їх діям під час огляду: стежити за поведінкою всіх осіб, які
знаходяться в приміщенні, де проводиться огляд; виявляти особливу
обережність при поводженні з комп’ютерною технікою, створюючи умови для
роботи з нею спеціалісту.

Особливість початкового етапу огляду полягає в тому, що на цьому етапі
проводиться: — перевірка ефективності блокування й охорони приміщень,
виведення сторонніх осіб; — з’ясування кількості приміщень з
комп’ютерною технікою, розташування і розподіл її в різних приміщеннях;
— опитування очевидців, осіб, які виявили наслідки комп’ютерного
злочину, або співробітників служби комп’ютерної безпеки (якщо такі є); —
планування огляду (визначення послідовності і порядку власних дій і дій
учасників огляду). Робочий етап характеризується такими особливостями:
1. Усі дії з комп’ютерною технікою проводяться в присутності
спеціаліста. 2. У першу чергу оглядові підлягає комп’ютерна техніка, яка
знаходиться в робочому (увімкненому) стані. 3. Необхідно встановити
наявність у комп’ютера зовнішніх пристроїв віддаленого доступу до
системи (підключення до локальної мережі, наявність модему). 4. По
можливості необхідно зробити точну інформаційну копію машинного носія.
Європейські фахівці в галузі комп’ютерно-технічних технологій не
рекомендують при проведенні слідчих дій безпосередньо перевіряти зміст
інформації на комп’ютерному носієві, тому що завжди існує ризик
пошкодження та зміни інформації [6]. Цілком вірно зазначено, що
інформація, яка міститься в комп’ютерних засобах та на носіях, повинна
залишатися незмінною. Тому й рекомендується зняти точну копію і всі
дослідницькі процедури проводити з цією копією. 5. Використання в
протоколі cлідчої дії огляду комп’ютерної термінології. 6. Усі дії з
комп’ютерною технікою фіксуються за допомогою фото- та/або відеотехніки.

До особливостей огляду та попереднього дослідження носіїв комп’ютерної
інформації слід віднести: 1. Усі виявлені носії машинної інформації
(особливо змінні) вилучаються, упаковуються і направляються на
експертизу. 2. Фіксацію в протоколі серії та номерів пристроїв, що
вилучаються, наявні на них сліди впливу, дефекти, інші індивідуальні
ознаки. 3. В разі необхідності безупинного функціонування комп’ютерної
системи (наприклад, для керування виробництвом, здійснення банківських
операцій), і (чи) якщо її зупинка на час проведення розслідування може
спричинити значні збитки, інформація, яка піддалась впливу, копіюється
на резервний носій (носії).

Обшук. Особливостями проведення обшуку, пов’язаного з комп’ютерною
технікою є: 1. Використання принципу раптовості при прибутті та
входженні до приміщення, в якому буде проводитись обшук або в якому
знаходиться комп’ютерна техніка, що підлягає обшукові. 2. Неможливість
використання у процесі пошуку тайників з магнітними носіями
металопошукувачів або рентгенівської установки, оскільки їх застосування
може призвести до знищення інформації на цих носіях. 3. Необхідність
швидко проаналізувати великий обсяг інформації, яку було виявлено при
проведенні обшуку з метою встановлення її цінності для досудового
слідства. 4. Проведення обшуку лише на одному або декількох комп’ютерах,
які входять до складу локальної комп’ютерної мережі.

Допит свідків. При розслідуванні „комп’ютерного” злочину на початковому
етапі виникає необхідність допитувати в якості свідків громадян різних
категорій, для кожної з яких існує своя специфіка. Так, на думку Ю.В.
Гавриліна, допит операторів ЕОМ має свою специфіку, пов’язану з
особливим використанням в процесі їх професійної діяльності засобів
комп’ютерної техніки. Тому виникає необхідність з’ясувати у цієї
категорії свідків наступне: правила ведення журналів операторів, порядок
прийому-здачі змін, режим роботи операторів; порядок ідентифікації
операторів; правила експлуатації, зберігання, знищення комп’ютерних
роздруківок (лістинг), категорію осіб, що мають до них доступ; порядок
доступу до приміщення, де знаходиться комп’ютерна техніка, категорію
працівників допущених до роботи з нею і ін. [7].

До кола питань, які необхідно з’ясувати у програмістів, на думку Ю.В.
Гавриліна, належить: перелік програмного забезпечення, що
використовується, і його класифікація (ліцензійне, власне); паролі
захисту програм, окремих пристроїв комп’ютера, частота їх змін; технічні
характеристики комп’ютерної мережі (при її наявності), хто є
адміністратором мережі; порядок придбання і супроводу програмного
забезпечення; існування ідентифікаційних програм, наявність в робочих
програмах спеціальних файлів, протоколів, які реєструють входження в
комп’ютер користувачів, який їх зміст.

У свою чергу, О.І. Увалов і А.В. Куценко зазначають, що до осіб, які
можуть бути свідками у справі зазначеної категорії відносяться і
співробітники, які відповідають за інформаційну безпеку або
адміністратори комп’ютерної мережі (при її наявності). В коло питань,
які необхідно з’ясувати у цих осіб, дослідниками пропонується віднести
такі: наявність спеціальних технічних засобів захисту інформації;
порядок доступу користувачів до комп’ютерної мережі; порядок
ідентифікації користувачів комп’ютерів; розпорядок робочого дня
користувачів комп’ютерної мережі; порядок доступу співробітників до
комп’ютерної техніки у позаробочий час; порядок привласнення і зміни
паролів користувачів; характеристика заходів із захисту інформації [8].

Вивчення кримінальних справ дозволило нам виділити ще одну категорію
свідків – начальника обчислювального центру або керівника підприємства
(організації). На нашу думку при допиті цих осіб потрібно з’ясувати: чи
діють в установі спеціальні служби з експлуатації мереж і служби
безпеки, їх склад і обов’язки; чи сертифіковані програми системного
захисту; організаційну структуру обчислювального центру; чи
сертифіковані технічні пристрої обчислювальної техніки; чи діють
внутрішньовідомчі правила експлуатації ЕОМ і мережі, який порядок
ознайомлення з ними і контролю за їх виконанням; які співробітники
установи (організації) були звільнені протягом відрізка часу, що
цікавить працівників правоохоронних органів, і з яких мотивів; чи були
раніше випадки незаконного проникнення до приміщення, де встановлена
комп’ютерна техніка, несанкціонованого доступу до комп’ютерної
інформації і ін.

Перед допитом вищезазначених свідків слідчий має продумати і скласти
комплекс запитань (у тому числі і технічного характеру), який буде
варіюватися залежно від конкретного свідка і способу вчинення
„комп’ютерного” злочину.

При підготовці до допиту, при складанні переліку запитань слідчий у
більшості випадків використовує допомогу спеціаліста для правильного і
точного їх формулювання.

Як показало вивчення кримінальних справ з розслідування „комп’ютерних”
злочинів, при проведенні допитів у більшості випадків присутній
спеціаліст, який в процесі слідчої дії надає допомогу слідчому,
роз’яснюючи останньому показання допитаної особи, які містять відомості
технічного характеру.

Допит підозрюваного. Особливість проведення допиту підозрюваного полягає
в тому, що на першому допиті підозрюваний може спробувати пояснити факт
порушення роботи ЕОМ, її системи або комп’ютерної мережі некримінальними
причинами (випадковістю, збігом певних обставин, стороннім впливом і
т.п.). Може розповісти і про вчинення таких дій при відсутності
злочинного наміру.

Для викриття таких осіб добрі результати дає правильна реалізація
інформації про злочинну діяльність цієї особи, отриману при проведенні
оперативно-розшукових заходів, а так само пред’явлення предметів і
документів, що належать підозрюваному і використовувалися при вчиненні
„комп’ютерного” злочину. Уміле використання вказаних відомостей
спричиняє певний вплив на підозрюваного, дозволяє отримати правдиве
свідчення на першому допиті.

Для вирішення основних тактичних задач у процесі допиту підозрюваного,
на думку В.М. Чернишова та В.П. Числіна [9] необхідно отримати відповіді
на такі запитання: 1. Де і ким (яку займав посаду) працював
підозрюваний? 2. До якої комп’ютерної інформації має доступ? Які
операції з інформацією він має право провести? Яка його категорія
доступу до інформації? 3. Чи вміє працювати підозрюваний на комп’ютері,
чи володіє він певним програмним забезпеченням, який рівень його
кваліфікації? 4. Хто навчив його працювати з конкретним програмним
забезпеченням? 5. Які ідентифікаційні коди і паролі закріплені за ним (у
тому числі при роботі в комп’ютерній мережі)? 6. До яких видів
програмного забезпечення має доступ підозрюваний? Яке джерело його
походження? Чи виявлялися підозрюваним програми, джерело походження яких
невідоме? 7. Які види операцій з комп’ютерною інформацією дана особа
виконувала протягом досліджуваного часу? 8. З якого джерела або від кого
конкретно підозрюваний узнав про зміст інформації, до якої вчинив
несанкціонований доступ? 9. Який спосіб використав підозрюваний для
вчинення несанкціонованого доступу до комп’ютерної інформації? 10. Як
підозрюваному вдалося проникнути до комп’ютерної систему (мережі)? 11.
Звідки підозрюваний міг дізнатися пароль (код) доступу до інформації?
12. Чи спостерігались збої в роботі засобів комп’ютерної техніки і
пристроїв захисту інформації, в період роботи даної особи в певний час?
13. Чи виявляв він збої в роботі програм, комп’ютерні віруси та інші
порушення в нормальному функціонуванні програмного забезпечення? 14. Чи
виявляв підозрюваний випадки незаконного проникнення в свій комп’ютер,
незаконного підключення до комп’ютерної мережі? 15. Чи має він обмеження
на допуск до приміщення, де встановлена комп’ютерна техніка і які саме?
16. Чи ознайомлений він з порядком роботи з інформацією, інструкціями
про порядок проведення робіт? 17. Чи не було випадків порушення
підозрюваним розпорядку дня, порядку доступу до комп’ютерної інформації?
18. Чи не поступало до підозрюваного від інших осіб пропозицій про
передачу якої-небудь комп’ютерної інформації, програмного забезпечення?
19. Чи не відомі йому особи, що виявляють цікавість до отримання
ідентифікаційних кодів і паролів?

Призначення експертиз. У справах даного виду в більшості випадків
призначають криміналістичні (трасологічну, почеркознавчу),
судово-бухгалтерську, судову експертизу комп’ютерної техніки і
програмних продуктів і деякі інші види експертиз,
техніко-криміналістичне дослідження документів.

Традиційні трасологічні експертизи призначають з метою ідентифікації
злочинця за слідами, вилученим з місця події, визначення механізму
доступу до комп’ютерної техніки, дій злочинця на об’єкті.

Криміналістичне дослідження документів призначають в разі необхідності
дослідження ліцензійних угод, журналів реєстрації користувачів,
апаратних журналів, роздруківок, записів і інших матеріалів на папері.
Судово-бухгалтерські експертизи призначаються для визначення розмірів
завданого збитку.

Розкриття і розслідування “комп’ютерних” злочинів, коли сучасні
інформаційні технології використовуються як засіб вчинення і приховання
злочинів неможливе без проведення експертизи комп’ютерної техніки і
програмних продуктів. Такі експертизи проводяться з метою дослідження
апаратного забезпечення системи ЕОМ, машинних носіїв, програм для ЕОМ і
баз даних.

У системі МВС України експертизи комп’ютерної техніки і програмних
продуктів проводить Державний науково-дослідний
експертно-криміналістичний центр МВС України.

Для проведення експертиз даного виду можна залучати фахівців навчальних
закладів, науково-дослідних інститутів, що не належать до системи МВС
фірм і організацій, що займаються розробкою програмного й апаратного
забезпечення комп’ютерів, їх експлуатацією і ремонтом. Так, наприкінці
2000 року Головним слідчим управлінням МВС України до суду було
направлено кримінальну справу стосовно групи осіб, які шляхом
несанкціонованого проникнення до комп’ютерної мережі і використання
системи електронних платежів викрали з Вінницького обласного управління
Національного банку України понад 80 млн. грн. По даній справі було
проведено комплексну експертизу комп’ютерної техніки і програмних
продуктів за участю фахівців Національного банку, фірми-розробника
програмного забезпечення, Управління оперативної інформації та ДНДЕКЦ
МВС України [10].

Крім того, експертизи комп’ютерної техніки і програмних продуктів
проводяться в науково-дослідних інститутах судових експертиз (НДІСЕ)
системи Міністерства юстиції. Так, наприклад, у структурі Київського
НДІСЕ виділяється лабораторія комп’ютерних досліджень і математичного
моделювання. Лабораторія створена у 2000 році і одним із основних
напрямків її діяльності є експертна, що включає: експертизу комп’ютерної
техніки, носіїв інформації, периферійного обладнання і програмного
забезпечення та участь у проведенні експертиз інших видів в разі
необхідності застосування математичних і комп’ютерних методів обробки
інформації.

Експертизи комп’ютерної техніки і програмних продуктів проводить також
Харківський НДІСЕ ім. засл. проф. Н.С. Бокаріуса, діяльність якого
розповсюджується на 5 областей України: Харківську, Сумську, Полтавську,
Дніпропетровську і Запорізьку, а також на Автономну Республіку Крим. У
структурі Харківського НДІСЕ створено лабораторію дослідження агрегатів
i програмного забезпечення ЕОМ та електронно-побутової техніки.
Експертна діяльність лабораторії полягає в наступному: оцінка
працездатності комп’ютерної техніки; дослідження інформації, яка
міститься на комп’ютерних носіях; оцінка функцій, які реалізуються
програмним забезпеченням; встановлення авторства програмного
забезпечення; дослідження документів (печаток, грошових знаків),
виготовлених за допомогою комп’ютерної техніки; дослідження банківських
комп’ютерних систем; дослідження касових апаратів; дослідження інших
електронних носіїв інформації; оцінювання програмного забезпечення і
комп’ютерної техніки.

У відповідності з науково-методичними рекомендаціями з питань підготовки
та призначення судових експертиз, затверджених наказом Міністерства
юстиції України від 08.10.98р. № 53/5, основними завданнями експертизи
комп’ютерної техніки і програмних продуктів є: — встановлення технічного
стану комп’ютерної техніки; — виявлення інформації, що міститься на
комп’ютерних носіях, та визначення її цільового призначення; —
встановлення відповідності програмних продуктів певним параметрам; —
встановлення авторства програмного продукту; — визначення вартості
програмного продукту; — визначення вартості комп’ютерної техніки.

Порядок подання об’єктів для дослідження спеціалістом детально
регламентовано вищезазначеними рекомендаціями. Так, п.119 встановлює, що
для дослідження інформації, яка міститься на комп’ютерних носіях,
експертові надається сам комп’ютерний носій, а також комп’ютерний
комплекс, до складу якого входить досліджуваний носій. У деяких випадках
можна обмежитися наданням тільки комп’ютерного носія. Про можливість
проведення такого дослідження слід попередньо проконсультуватися з
експертом (спеціалістом).

Для встановлення відповідності програмних продуктів певним параметрам, а
також вартості програмного продукту експертові надається носій з копією
досліджуваного програмного продукту і еталонна (дистрибутивна) копія
програмного продукту. У разі відсутності дистрибутивної копії
програмного продукту не слід відмовлятися від призначення експертизи,
оскільки в окремих випадках її можна провести за наявності копії
програмного продукту.

Для дослідження технічного стану і визначення вартості комп’ютерної
техніки експертові надається сама комп’ютерна техніка, а також технічна
документація до неї. Для встановлення авторства досліджуваного
програмного продукту експертові надаються самі програми у вигляді
вихідних текстів, бібліотечних та виконуваних модулів, а також програми
(вихідні тексти, бібліотечні та виконувані модулі), що створені особою,
щодо якої перевіряється версія, чи вона є автором досліджуваного
продукту.

Щоб визначити, які саме об’єкти слід надавати експертові в кожному
конкретному випадку, доцільно отримати консультацію експерта
(спеціаліста) в галузі комп’ютерної техніки.

Аналіз вітчизняної і зарубіжної практики розслідування „комп’ютерних”
злочинів дозволив сформулювати орієнтовний перелік питань, що ставляться
на вирішення експертизи комп’ютерної техніки і програмних продуктів: 1.
Які технічні несправності має даний комп’ютер або його окремі блоки та
пристрої і як ці несправності впливають на роботу комп’ютера (блока,
пристрою)? 2. Чи міститься на даному носії якась інформація, і якщо так,
то яке її цільове призначення? 3. Чи є на носії інформація, що була
знищена, і чи можна її відновити? 4. Чи можна за допомогою даного
програмного продукту реалізувати функції, передбачені технічним
завданням на його розробку? 5. Чи можливе вирішення певного завдання за
допомогою даного програмного продукту? 6. Чи відповідає стиль
програмування досліджуваного програмного продукту стилю програмування
певної особи? 7. Чи відповідають прийоми і засоби програмування, що
використовувалися при створенні досліджуваного програмного продукту,
прийомам і засобам, які властиві даному програмісту? 8. Яка вартість
програмного забезпечення (на час його придбання, вилучення, проведення
експертизи)? 9. Яка вартість окремих модулів, що входять до складу
програмного продукту? 10. Яка вартість комп’ютерної техніки (окремих
комплектуючих) на час придбання (вилучення, проведення експертизи)?

Наведений вище список питань не є остаточним і може бути розширений,
виходячи з обставин конкретної кримінальної справи. При цьому в
ситуаціях, які викликають труднощі, при формулюванні запитань необхідно
консультуватись з експертом.

Проведене нами дослідження підтверджує необхідність подальшого
продовження науково-емпіричної роботи в області „комп’ютерної”
злочинності, оскільки технічні характеристики комп’ютерних систем, які
постійно змінюються, відкривають не тільки величезні можливості, але й
сприяють виникненню нових злочинних діянь у сфері інформаційних
технологій. Сучасна практика боротьби з такими злочинами пред’являє
більш високі вимоги до рівня професійної підготовки співробітників
органів внутрішніх справ. Уявляється, що вони повинні мати глибокі
юридичні знання і базові поняття інших наук (зокрема, математики,
фізики, інформатики), а так само активніше застосовувати отримані
навички для подальшого підвищення ефективності роботи з розслідування
складних злочинів.

Посилання:

1. Быков В.М. Особенности расследования групповых пре ступлений. –
Ташкент, 1980. – 138 c. 2. Архівна справа № N 1–460/99 Деснянського
райсуду м.Чернігова. 3. Кримінальна справа № 0820030387, порушена
Приморським РВ ВГУ УМВС України в Одеській області 21 березня 2003 року.

4. Науково-практичний коментар до Кримінального кодексу України: За
станом законодавства і Постанов Пленуму Верховного Суду України на 1
грудня 2001 р. / За ред. С.С. Яценка. – К.: А.С.К., 2002. – С.783-784.

5. Науково-практичний коментар до Кримінального кодексу України: За
станом законодавства і Постанов Пленуму Верховного Суду України на 1
грудня 2001 р. / За ред. С.С. Яценка. – К.: А.С.К., 2002. – С. 783-784.

6. Матусовський Г.А., Голубев В.О. Кримінолого-криміналістичні питання
боротьби зі злочинами в сфері використання автоматизованих систем. –
„Держава та регіони”. – Запоріжжя, 2001. — С.137-143.

7. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной
инфорации: Учебное пособие / Под ред. Н.Г. Шурухнова. – М.: ЮИ МВД РФ,
Книжный мир, 2001. – 88 с.

8. Увалов О.І. Куценко А.В. Кваліфікація і доказування незаконного
втручання в роботу ЕОМ // Вісник прокуратури. – 2002. — №4. – С.26-26.

9. Чернышов В.Н., Числин В.П. Особенности методики проведения
следственных действий по обнаружению и фиксации информации при
расследовании компьютерных преступлений // Материалы научно-практической
конференции. – Тамбов, 8-9 февраля 2000г. — С.61-64.

10. Доповідь заступника Міністра внутрішніх справ України
генерал-полковника П.В. Коляди на пленарному засіданні Міжнародної
науково-практичної конференції “Теорія та практика криміналістичного
забезпечення розкриття та розслідування злочинів у сучасних умовах”//
Теорія та практика криміналістичного забезпечення розкриття та
розслідування злочинів у сучасних умовах: Тези доп. Міжнар. наук.-практ.
конференції. — Ч.1 – К.: Національна академія внутрішніх справ України,
2001. – 376 с.

Використані джерела:

1. www.rada.kiev.ua

2. http://www.crime-research.org/

3. http://www.fbi.gov

4. http://www.cybercrime.org

5. http://www.rcfl.org

6. http://www.search.org

7. http://www.usdoj.gov/

8. http://www.cybercrime.gov

9. http://www.usdoj.gov/dea/

10. http://www.customs.ustreas.gov/

11. http://www.ustreas.gov/usss/index.shtml

12. http://www.usdoj.gov/ndic/

13. http://www.fletc.gov/trng.htm

14. http://www.its.bldrdoc.gov/fs-1037/

15. http://www.dmares.com/maresware/resources.htm

16. http://www.nlectc.org/training/techinst.html

17. http://www.encase.com/index.asp

18. http://www.ontrack.com/

19. http://www.accessdata.com

20. http://www.zonelabs.com/store/content/home.jsp

21. http://blackice.iss.net/product_pc_protection.php

22. http://www.cert.org/tech_tips/home_networks.html

23. http://www.ncis.navy.mil/Safekids/home.htm

24. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления.
Руководство по борьбе с компьютерными преступлениями: Пер. с англ. — М.:
Мир, 1999. — 351 с.

25. Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в
сфере компьютерной информации.// М.: ООО Изд. «Юрлитинформ», 2001.

26. Голубєв В.О., Гавловський В.Д., Цимбалюк В.С. Інформаційна безпека:
проблеми боротьби зі злочинами у сфері використання комп’ютерних
технологій. /За заг. ред. д.ю.н., професора Калюжного Р.А. / Запоріжжя:
Просвіта, 2001.-257с.

27. Матусовський Г.А., Голубєв В.О. Кримінолого-криміналістичні питання
боротьби зі злочинами в сфері використання автоматизованих систем. —
„Держава та регіони”. –Запоріжжя, 2001. — С.137-143.

28. Романюк Б.В., Камлик М.І., Гавлорвський В.Д., Хахановський В.Г.,
Цимбалюк В.С. Виявлення та розслідування злочинів, що вчиняються за
допомогою комп`ютерних технологій. Посібник /За ред. Кондратьєва Я.Ю. —
К.: НАВСУ, 2000. — 64с.

29. Сальников В.П., Ростов К.Т., Морозова Л.А., Бондуровский В.В.
Компьютерная преступность: уголовно-правовые и криминологические
проблемы (Международная научно-практическая конференция) // Государство
и право, 2000. — № 9.

30. Скоромников К.С. Расследование преступлений в сфере компьютерной
информации // Руководство для следователей. — М., 1997. — Гл.42.

31. Сорокин А.В. Компьютерные преступления: уголовно — правовая
характеристика, методика и практика раскрытия и расследования // http://
kurgan.unets.ru /~procur/ my_page.htm, 1999.

32. Чернышов В.Н., Дворецкий М.Ю. Особенности назначения экспертиз при
расследовании преступлений в сфере компьютерной информации // Проблемы
назначения и проведения экспертиз на предварительном следствии и в
стадии судебного рассмотрения дела. Материалы научно-практической
конференции по проблемам назначения и проведения экспертиз / Под общ.
ред. прокур. Тамб. обл. Таможника Е.Л., Тамбов: Изд-во Тамб. ун-та,
2001. — С. 77-84.

33. Яковлев А.Н. Использование специальных познаний при расследовании
«компьютерных» преступлений // С.-Петербург: Конфідент, 2000. — № 6.

Похожие записи