Гаврилин Ю.В. 2003 – Преступления в сфере компьютерной информации.
Квалификация и доказывание
ПРЕДИСЛОВИЕ
В настоящее время появилось большое количество работ, посвященных
отдельным аспектам расследования преступлений в сфере компьютерной
информации. Все они подготовлены на высоком учебно-методическом и
научно-теоретическом уровне. Тем не менее, представляется, что и
настоящая работа имеет право на существование. В ней впервые предпринята
попытка в систематизированном виде представить методику расследования
всех составов преступлений, которые законодатель вынес в главу 28 УК РФ
«Преступления в сфере компьютерной информации».
Перед авторским коллективом данного учебного пособия была поставлена
задача не только изложить позитивный материал (определения,
классификации и т. п.), но и дать более глубокий анализ существующей
законодательной базы, обобщение передового отечественного и зарубежного
опыта расследования новой категории преступлений – преступлений в сфере
компьютерной информации.
В условиях стремительной компьютеризации, захватившей практически все
стороны жизни нашего общества, роста количества ЭВМ, используемых в
России, недостаточного уровня защищенности компьютерной информации от
противоправных посягательств, не исключено, что в скором времени
проблема информационной безопасности станет в один ряд с такими
глобальными проблемами современности, как экологический кризис,
организованная преступность, коррупция, отсталость развивающихся стран и
др.
Сегодня можно констатировать, что в криминалистической методике
формируется новое направление – расследование преступлений в сфере
высоких технологий, отдельные положения которой будут предметом
рассмотрения данной работы.
Предлагаемое пособие представляет собой результат разработки
методических рекомендаций по расследованию преступлений в сфере
компьютерной информации с учетом реалий сегодняшнего дня. Книга написана
на базе обширного научного материала, в том числе и зарубежного. В
основе изложенных в работе выводов и рекомендаций лежат результаты
изучения современной практики расследования рассматриваемого вида
преступлений.
Настоящая работа тем более интересна, что авторский коллектив включает в
себя представителей крупнейших вузов страны и центрального аппарата МВД
России – специалистов в области расследования преступлений в сфере
высоких технологий.
Издание в большей степени нацелено на интересы учебных заведений, где
готовят сотрудников органов дознания и следователей. Авторы наиболее
полно и подробно излагают материал в главах, посвященных
уголовно-правовой и криминалистической характеристике преступлений в
сфере компьютерной информации, а также особенностям тактики отдельных
следственных действий.
В пособии приведен максимально полный перечень способов совершения и
сокрытия преступлений в сфере компьютерной информации, рассмотрен
механизм совершения неправомерного доступа к охраняемой законом
компьютерной информации в сети Интернет, показана следовая картина
рассматриваемой категории преступлений. Методика расследования строится
с учетом исходных следственных ситуаций.
Помимо так называемого позитивного материала, который содержится во всех
подобного рода работах, в пособии даны список литературы, рекомендуемой
для самостоятельного изучения, а также извлечения из важнейших
нормативных актов, регулирующих общественные отношения в области
обращения компьютерной информации.
Пособие является хорошим подспорьем не только для студентов, слушателей
и курсантов, изучающих проблемы борьбы с преступлениями в сфере высоких
технологий, но и для практических работников правоохранительных органов,
а также научных работников.
ГЛАВА 1. Уголовно-правовая характеристика преступлений в сфере
компьютерной информации
§ 1. Общие положения
Уголовный кодекс РФ 1996 г. в гл. 28 впервые в отечественном
законодательстве предусмотрел ответственность за совершение преступлений
в сфере компьютерной информации. Данная глава включает в себя три
статьи: 272 (Неправомерный доступ к компьютерной информации), 273
(Создание, использование и распространение вредоносных программ для
ЭВМ), 274 (Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети).
Глава помещена в разд. 9 «Преступления против общественной безопасности
и общественного порядка».
Появление в уголовном законе данной главы – несомненный шаг вперед не
только в борьбе с компьютерной преступностью, но и вообще в сфере борьбы
с преступностью в области высоких технологий. Необходимость в ее
появлении вызвана тем, что наряду с бесспорными положительными сторонами
компьютеризации, охватившей практически все сферы нашего общества, она
имеет и негативные стороны, в частности появление новых видов
преступлений – преступлений в сфере компьютерной информации.
Одной из важнейших детерминант феномена преступлений в сфере
компьютерной информации явилось информационно-технологическое
перевооружение предприятий, учреждений и организаций, насыщение их
компьютерной техникой, программным обеспечением, базами данных.
Научно-технический прогресс, создав новые информационные технологии, в
короткие сроки на рубеже 90-х годов революционно трансформировал
процессы сбора, обработки, накопления, хранения, поиска и
распространения информации. Эти изменения привели к формированию
информационной сферы деятельности мирового сообщества, связанной с
созданием, преобразованием и потреблением информации, и во многом
предопределяют дальнейшее развитие общественных и экономических
отношений во всем мире. Сегодня можно констатировать, что если раньше
темпы развития человечества определялись доступной ему энергией, то
теперь – доступной ему информацией.
Россия начала входить в информационное пространство в начале 90-х годов,
когда, во-первых, были сняты многочисленные существовавшие ранее
ограничения на использование информационной техники; а во-вторых, цены
на эту технику стали доступны для ее приобретения не только учреждениям
и предприятиям, но и отдельным гражданам. Сегодня индустрия аппаратного
и программного обеспечения компьютеров – один из наиболее динамично
растущих секторов российской экономики. Десять лет назад персональные
компьютеры в России были редкостью, теперь же только в Москве они служат
более чем миллиону пользователей. Мировое же производство на сегодняшний
день составляет порядка 73 миллионов персональных компьютеров в год.
И, как не раз случалось в истории человечества, когда научные достижения
использовались не только во благо, но и во вред людям, так и новая сфера
деятельности не стала исключением. Развитие и совершенствование
информационных технологий, расширение производства технических средств и
сферы применения компьютерной техники, доступность подобных устройств, а
главное, наличие человеческого фактора в виде удовлетворения собственных
амбиций или жажды наживы породили новый вид общественно опасных деяний,
в которых неправомерно использовалась компьютерная информация, либо она
сама становилась объектом посягательства.
Однако не только само по себе массовое распространение компьютеров
формирует информационную сферу. Значительную, если не главную, роль в
этом процессе играют различные постоянно совершенствующиеся виды
коммуникационных устройств – устройств связи.
Таким образом, естественной причиной возникновения и существования
феномена компьютерных преступлений является совершенствование
информационных технологий, расширение производства их поддерживающих
технических средств и сферы их применения, а также все большая
доступность подобных устройств.
Необходимость установления уголовной ответственности за причинение вреда
в связи с использованием компьютерной информации вызвана возрастающим
значением и широким применением ЭВМ во многих сферах деятельности и
наряду с этим повышенной уязвимостью компьютерной информации.
Первые преступления с использованием компьютерной техники появились в
России в 1991 г., когда были похищены 125,5 тыс. долларов США во
Внешэкономбанке СССР (далее – ВЭБ). Преступная группа, имея доступ к
компьютерным программам учета, ведения и оформления банковских операций
отдела текущих счетов, в ходе автоматической переоценки банком остатков
средств на счетах типа «В», открытых в финляндских марках, проводившейся
в связи с введением коммерческого курса рубля, умышленно завысили
начисленную курсовую разницу, перечислив всю сумму валютных средств на
действующие счета граждан -клиентов банка.
Создав таким образом резерв для последующего хищения, сотрудник отдела
автоматизации неторговых операций вычислительного центра ВЭБ В.А.
Богомолов путем внесения изменений в компьютерные программы ЭВМ
паспортам его соучастником, который и произвел съем наличной валюты.
Весь мир облетело уголовное дело по обвинению Левина и др., совершивших
хищение денег с банковских счетов на большом расстоянии с использованием
ЭВМ.
Статистика по преступлениям в сфере компьютерной информации выглядит
следующим образом. По данным ГИЦ МВД России, в 1997 г. было
зарегистрировано 7 преступлений в сфере компьютерной информацией, в том
числе возбуждено уголовных дел по ст.272 УК РФ – 6, по ст.273 -1. В 1998
г. было зарегистрировано 66 преступлений в сфере компьютерной
информации, в том числе по ст.272 УК РФ – 53, по ст.273 – 12, по ст.274
– 1. В 1999 г. зарегистрировано 294 преступления в сфере компьютерной
информации из них по ст.272 – 209, по ст.273 – 85. В 2000 г.
зарегистрировано 800 преступлений в сфере компьютерной информации из них
по ст.272 – 584, по ст.273 – 172, по ст. 274 – 44.
Как следует из представленных данных, количество регистрируемых
преступлений в сфере компьютерной информации представляет собой
стабильно неуклонно растущую кривую, динамика роста которой превосходит
практически любой из вновь введенных в 1997 г. составов преступлений и
составляет порядка 400% ежегодно. Однако подобные цифры свидетельствуют
не столько о росте количества совершаемых преступлений, сколько о
снижении их латентности.
Оценка сложившейся ситуации показывает, что наблюдаемый рост количества
преступлений в сфере компьютерной информации сохранится и дальше, что
объясняется непосредственным влиянием следующих факторов.
Ростом количества ЭВМ, используемых в России, и, как следствие этого,
ростом количества их пользователей, увеличением объемов информации,
хранимой в ЭВМ. Этому способствует снижение цен на сами компьютеры и
периферийное оборудование (принтеры, сканеры, модемы и др.), а также то
обстоятельство, что отечественными фирмами налажена самостоятельная
сборка компьютеров (делают это и отдельные граждане).
Информация становится предметом преступления, дающего высокую прибыль.
Недостаточностью мер по защите ЭВМ и их систем, а также не всегда
серьезным отношением руководителей к вопросу обеспечения информационной
безопасности и защите информации.
Использованием в преступной деятельности современных технических
средств, в том числе и ЭВМ.
Низким уровнем специальной подготовки должностных лиц правоохранительных
органов, в том числе и органов внутренних дел, которые должны
предупреждать, раскрывать и расследовать преступления в сфере
компьютерной информации.
При этом важно отметить, что по своему механизму, способам совершения и
сокрытия эти преступления имеют определенную специфику, характеризуются
высочайшим уровнем латентности и низким уровнем раскрываемости. Их
появление застало врасплох правоохранительные органы, которые оказались
не вполне готовы к адекватному противостоянию и борьбе с этим новым
социально-правовым явлением, в частности, по причине явной
недостаточности научно обоснованных рекомендацией по расследованию
преступлений в сфере компьютерной информации и соответствующей
подготовки следователей.
Меры по борьбе с компьютерной преступностью принимаются на национальном
и межнациональном уровнях. Об этом свидетельствует принятый 27 апреля
2000 г. Советом Европы рабочий вариант Конвенции о преступлениях в
компьютерной сфере. Данная Конвенция предусматривает ответственность за
следующие преступления в сфере компьютерной информации:
Неправомерный доступ к информации – умышленный доступ ко всей
компьютерной системе или ее части без имеющегося на то права. Данное
преступление может быть связано с нарушением мер безопасности с целью
изменения компьютерной информации или с иной недобросовестной целью.
Перехват информации – умышленный неправомерный перехват информации, не
предназначенной для публичного распространения, совершенный техническими
средствами непосредственно из компьютерной системы или из вне ее, за
счет снятия электромагнитных излучений, несущих такую информацию.
Модификация данных – умышленное неправомерное повреждение, удаление,
изменение или подавление компьютерных данных.
Системная модификация – умышленное неправомерное создание серьезных
препятствий для функционирования компьютерной системы путем ввода,
передачи, повреждения, удаления, ухудшения, изменения или подавления
компьютерных данных.
Создание неправомерных устройств – неправомерное изготовление, продажа,
использование, распространение: а) устройств, включающих компьютерные
программы, созданные или приспособленные для целей совершения
неправомерного доступа к компьютерной информации; б) компьютерных
паролей, кодов доступа или подобных данных, дающих право доступа к
компьютерной системе или ее части, с целью совершения неправомерного
доступа к информации, ее перехвата, модификации данных или системной
модификации.
«Международное обозрение деятельности криминальной полиции –руководство
по предотвращению и контролю над преступлениями, совершенными с
использованием компьютеров», подготовленное ООН, признает компьютерные
преступления глобальной международной проблемой. Как отмечается в
обозрении, «законодательство и судебная система не успевают за развитием
технического прогресса. Только незначительное количество государств
имеют адекватное законодательство в указанной сфере, но и они не лишены
правовых и правоприменительных недостатков».
Одной из главных проблем появившегося в последние годы так называемого
компьютерного права является определение компьютерных преступлений.
Наиболее распространенное определение, понимающее под компьютерным
преступлением – преступление, совершенное с использованием компьютерной
техники или направленное против безопасности компьютерной информации, не
отвечает потребностям науки и практики сегодняшнего дня и нуждается в
уточнении.
К вопросу криминализации компьютерных правонарушений сегодня в мире
существует три подхода. Первый заключается в отнесении к преступлениям
несанкционированного доступа в защищенные компьютерные системы,
заражения вирусами, противоправного использования компьютерных систем и
информации. Он характерен для таких стран, как Норвегия, Сингапур,
Словакия, Филиппины, Южная Корея. Второй подход заключается в признании
компьютерными преступлениями лишь тех деяний, которые связаны с
причинением ущерба имуществу и электронной обработке информации (Дания,
Швеция, Швейцария, Япония). Третий подход характерен для стран с высоким
уровнем компьютеризации, значительной компьютерной преступностью (США,
Великобритания, Франция, Германия, Нидерланды) и развитой правовой
базой. Он состоит в криминализации деяний, связанных не только с
имущественным ущербом, но и с нарушением прав личности, с угрозой
национальной безопасности и т.д. Данный подход в основном принят и в
России, поскольку существует, несмотря на определенные слабости и
декларативность, достаточно развитая нормативная база по информационной
безопасности, включающая вопросы борьбы с компьютерными
правонарушениями, которую составляют законы: от 23 сентября 1992 г. «О
правовой охране программ для электронных вычислительных машин и баз
данных»; от 22 октября 1992 г. «О правовой охране топологий интегральных
микросхем»; от 9 июля 1993 г. с изменениями и дополнениями «Об авторском
праве и смежных правах»; от 21 июля 1993 г. «О государственной тайне»;
от 29 декабря 1994 г. «Об обязательном экземпляре документов»; от 16
февраля 1995 г. «О связи»; от 20 февраля г. «Об информации,
информатизации и защите информации»; от 4 июля г. «Об участии в
международном информационном обмене»; от 13 декабря 2001 г. «Об
электронной цифровой подписи». Уголовный кодекс РФ объединил
рассматриваемые преступления в одну главу, предусматривающую
ответственность за неправомерный доступ к компьютерной информации (ст.
272), создание, использование и распространение вредоносных программ для
ЭВМ (ст. 273), нарушение правил эксплуатации ЭВМ, системы ЭВМ или их
сети (ст. 274). Широкие возможности информационных технологий можно
использовать в качестве эффективного и доступного средства для
совершения ряда умышленных преступлений, предусмотренных Уголовным
кодексом РФ. Предметом посягательства последних является компьютерная
информация, т.е. информация, содержащаяся на машинном носителе,
электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети. К их
числу можно отнести нарушение неприкосновенности частной жизни (ст.137
УК РФ), нарушение тайны переписки, телефонных переговоров, почтовых,
телеграфных или иных сообщений (ст. 138 УК РФ), нарушение авторских и
смежных прав (ст. 146 УК РФ), разглашение тайны усыновления (удочерения)
(ст.155 УК РФ), незаконные получение и разглашение сведений,
составляющих коммерческую или банковскую тайну (ст.183 УК РФ),
незаконный экспорт технологий, научно-технической информации и услуг,
используемых при создании оружия массового поражения, вооружения и
военной техники (ст.189 УК РФ), создание, использование и
распространение вредоносных программ для ЭВМ (ст.273 УК РФ),
государственную измену (ст.275 УК РФ), шпионаж (ст.276 УК РФ),
разглашение государственной тайны (ст.283 УК РФ) и др. Несомненно,
данный перечень не является исчерпывающим, однако важно другое:
необходимо различать преступления в сфере компьютерной информации и так
называемые компьютерные преступления. К сожалению, последний термин
настолько прочно вошел в обиход научных и практических работников как в
России, так и за рубежом, что стал уже традиционным, и некоторые авторы
полагают, что вряд ли стоит его менять, «поскольку многие названия со
временем приобретают условный характер».
Однако, между понятиями «преступления в сфере компьютерной информации» и
«компьютерные преступления» существуют большие различия, которые не
позволяют использовать их как синонимы. На наш взгляд, различие между
компьютерными преступлениями и преступлениями в сфере компьютерной
информации следует проводить по объекту преступного посягательства. Если
таковым выступают, допустим, отношения собственности, то деяние подлежит
квалификации по соответствующей статье гл. 21 УК РФ, если объектом
являются отношения по защите конституционных прав и свобод человека и
гражданина, то деяние квалифицируется по соответствующей статье гл. 19
УК РФ и т.п. И только если таковым выступают отношения в сфере
нормального оборота компьютерной информации, то деяние подлежит
квалификации в соответствии со статьями гл. 28. Таким образом, понятие
компьютерных преступлений шире понятия преступлений в сфере компьютерной
информации и охватывает все преступления, способом совершения которых
является неправомерный доступ к компьютерной информации, создание,
использование и распространение вредоносных программ для ЭВМ, нарушение
правил эксплуатации ЭВМ, их системы или сети. Соответственно к
преступлениям в сфере компьютерной информации относятся лишь три
состава, предусмотренные гл. 28 УК РФ. Более того, «дефиниция
«компьютерные преступления» должна употребляться не в уголовно-правовом
аспекте, где это затрудняет квалификацию деяния, а в криминалистическом,
поскольку связана не с квалификацией, а именно со способом совершения и
сокрытия преступления и, соответственно, с методикой его раскрытия и
расследования».
Итак, составы преступлений в сфере компьютерной информации объединяет
единый родовой объект. Исходя из того, что гл. 28 расположена в разд. 9
УК РФ, им выступают общественные отношения, составляющие содержание
общественной безопасности и общественного порядка. Н.В. Ветров под
родовым объектом данных преступлений понимает «общественные отношения в
сфере обеспечения безопасности использования автоматизированных систем
обработки данных, нормальных прав и интересов лиц, общества и
государства, активно пользующихся электронно-вычислительной техникой».
Кроме того, преступления в сфере компьютерной информации имеют общий
предмет преступного посягательства. Им, по мнению подавляющего
большинства ученых, является компьютерная информация. Последняя, как вид
информации вообще, представляет собой сведения, знания или набор команд
(программа), предназначенные для использования в ЭВМ или управления ею,
находящиеся в ЭВМ или на машинном носителе -идентифицируемый элемент
информационной системы, имеющий собственника, установившего правила ее
использования.
Компьютерная информация имеет специфику, которую можно свести к
следующему:
данная информация, как правило, очень объемна и быстро обрабатываема.
Например, компьютер с процессором Pentium (еще достаточно
распространенный в настоящее время) с жестким диском 1 Гигабайт может
хранить информацию, равную тысяче 500-страничных томов;
эта информация очень легко и, как правило, бесследно уничтожаема. Для
уничтожения компьютерной информации, равной 500 страницам текста
необходимы два нажатия клавиши клавиатуры, – через секунду вся она будет
стерта. В то время как для сжигания 500 страниц машинописного или
рукописного текста необходимы специальные условия и значительный
промежуток времени;
компьютерная информация обезличена, т.е. между ней и лицом, которому она
принадлежит, нет жесткой связи;
данный вид информации может находиться лишь на машинном носителе
(дискете, магнитной ленте, лазерном диске, полупроводниковых схемах и
др.), в самой ЭВМ (оперативной памяти – ОЗУ);
рассматриваемый вид информации может создаваться, изменяться,
копироваться, применяться (использоваться) только с помощью ЭВМ при
наличии соответствующих периферийных устройств чтения машинных носителей
информации (дисководы, устройства чтения лазерных дисков (CD-ROM),
стримеры, устройства чтения цифровых видеодисков и др.);
эта информация легко передается по телекоммуникационным каналам связи
компьютерных сетей, причем практически любой объем информации можно
передать на любое расстояние.
Кроме того, можно отметить относительную простоту в пересылке,
преобразовании, размножении компьютерной информации; при изъятии
информации, в отличие от изъятия вещи, она легко сохраняется в
первоисточнике; доступ к одному и тому же файлу, содержащему информацию,
могут иметь одновременно несколько пользователей.
Компьютерную информацию, которую также можно определить и как
информацию, зафиксированную на машинном носителе или передаваемую по
телекоммуникационным каналам в форме, доступной восприятию ЭВМ, можно
классифицировать по следующим основаниям:
по ее носителям: зафиксированная на магнитной ленте, дискетах (Floppy
Disk), лазерных дисках, на жестком диске ЭВМ (Hard Disk), в памяти ЭВМ,
системы ЭВМ или сети;
по виду: текстовая, графическая, звуковая, программная, файлы данных и
пр.;
по атрибутам файлов: архивная, только для чтения, системная, скрытая.
Возможны классификации и по другим основаниям.
Особенностью предмета преступного посягательства при неправомерном
доступе к компьютерной информации и при нарушении правил эксплуатации
ЭВМ, системы ЭВМ или их сети является то, что здесь предметом
преступного посягательства выступает охраняемая законом компьютерная
информация. Более подробно данный признак будет проанализирован в
параграфе 2 настоящей главы.
В описании предмета преступного посягательства при совершении
преступлений в сфере компьютерной информации уголовный закон использует
три различных формулировки, относящиеся к термину информация:
«охраняемая законом компьютерная информация» (ст.272 УК РФ);
«информация» (ст.273 УК РФ); «охраняемая законом информация ЭВМ»
(ст.274).
Анализ текста ст. 273 УК РФ, где при упоминании термина «информация»
снято указание на ее охраняемость законом, показывает, что, когда
осуществляются действия с вредоносным программами для ЭВМ,
уголовно-правовой защите подлежит любая информация, независимо от того,
документирована она или нет, имеет ли она собственника или предназначена
для использования неограниченным кругом лиц. Тем самым подчеркивается
общественная опасность манипулирования вредоносными программами.
При совершении же двух других преступлений в сфере компьютерной
информации (ст.272, 274 УК РФ) уголовно-правовой защите подлежит
документированная информация и программные средства, способ
использования которых установлен собственником. На наш взгляд,
законодатель термины «компьютерная информация» и «информация ЭВМ»
использует как синонимы.
§ 2. Неправомерный доступ к компьютерной информации
В России, по данным ГИЦ МВД РФ, в 1998 г. по ст. 272 УК РФ
«Неправомерный доступ к компьютерной информации» было возбуждено 55
уголовных дел, окончены расследованием 47. Это более чем в 10 раз
превышает аналогичный показатель 1997 г. За 1999 г. возбуждено 135
уголовных дел, из них 114 направлены в суд с обвинительным заключением.
В 2000 г. было возбуждено 584 уголовных дела, из которых 230 направлены
в суд с обвинительным заключением. По итогам 2001 г. число возбужденных
по ст. 272 УК РФ уголовных дел превысило тысячу.
Уголовный закон (ст. 272 УК РФ) не дает определения неправомерного
доступа к охраняемой законом компьютерной информации, он раскрывает лишь
его последствия: уничтожение, блокирование, модификацию либо копирование
информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Непосредственным объектом анализируемого преступления являются
общественные отношения по обеспечению безопасности компьютерной
информации и нормальной работы ЭВМ, системы ЭВМ или их сети.
Дополнительный объект неправомерного доступа к компьютерной информации
факультативен. Его наличие зависит от вида вреда, причиненного правам и
законным интересам потерпевшего. Дополнительным объектом может
выступать, например, право собственности, авторское право, право на
неприкосновенность частной жизни, личную и семейную тайну, общественные
отношения по охране окружающей среды, внешняя безопасность Российской
Федерации и др.
Предметом преступного посягательства при неправомерном доступе к
компьютерной информации является охраняемая законом компьютерная
информация, которая с уголовно-правовых позиций характеризуется
следующими обязательными признаками: во-первых, она всегда является
интеллектуальной собственностью; во-вторых, она не обладает натуральными
физическими параметрами (вещными свойствами); в-третьих, она охраняется
законом; в-четвертых, она содержится на машинном носителе, в
электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети.
Рассмотрим названные признаки более подробно.
Согласно ст. 3 Закона РФ «О правовой охране программ для электронных
вычислительных машин и баз данных» авторское право распространяется на
любые программы для ЭВМ и базы данных, как выпущенные, так и не
выпущенные в свет, представленные в объективной форме, независимо от их
материального носителя, назначения и достоинства. Базы данных охраняются
независимо от того, являются ли данные, на которых они основаны или
которые они включают, объектами авторского права.
При этом указанный Закон содержит определения таких ключевых терминов,
как:
программа для ЭВМ – это объективная форма представления совокупности
данных и команд, предназначенных для функционирования электронных
вычислительных машин (ЭВМ) и других компьютерных устройств с целью
получения определенного результата. Под программой для ЭВМ
подразумеваются также подготовительные материалы, полученные в ходе ее
разработки, и порождаемые ею аудиовизуальные отображения;
база данных – это объективная форма представления и организации
совокупности данных (например, статей, расчетов), систематизированных
таким образом, чтобы эти данные могли быть найдены и обработаны с
помощью ЭВМ.
Закон «Об информации, информатизации и защите информации» регулирует
отношения, возникающие при формировании и использовании информационных
ресурсов на основе создания, сбора, обработки, накопления, хранения,
поиска, распространения, и предоставления потребителю документированной
информации; создания и использования информационных технологий и средств
их обеспечения; защите информации, прав субъектов, участвующих в
информационных процессах и информатизации.
Закон определяет документированную информацию (документ) как
зафиксированную на материальном носителе информацию с реквизитами,
позволяющими ее идентифицировать.
Раскрывая такой признак компьютерной информации, как охраняемость
законом, отметим следующее. Конституция РФ закрепила базовые принципы,
регулирующие общественные отношения в сфере оборота компьютерной
информации. Часть 2 ст. 23 закрепляет право каждого на тайну переписки,
телефонных переговоров, почтовых, телеграфных и иных сообщений.
Ограничение этого права допускается только на основании судебного
решения. Согласно ч.1 ст. 24 сбор, хранение, использование и
распространение информации о частной жизни лица без его согласия не
допускаются.
Каждый имеет право свободно искать, получать, передавать, производить и
распространять информацию любым законным способом. Перечень сведений,
составляющих государственную тайну, определяется федеральным законом
(ч.4 ст. 29).
Согласно ч.1 ст. 44 интеллектуальная собственность охраняется законом.
Гражданский кодекс РФ в ст. 128 к объектам гражданских прав относит
вещи, включая деньги и ценные бумаги, иное имущество, включая
имущественные права, работы и услуги; информацию; результаты
интеллектуальной деятельности, в том числе и исключительные права на них
(интеллектуальная собственность); нематериальные блага.
Согласно ст. 139 ГК РФ информация составляет служебную и (или)
коммерческую тайну в случае, когда информация имеет действительную или
потенциальную коммерческую ценность в силу неизвестности ее третьим
лицам, к ней нет свободного доступа на законном основании и обладатель
информации принимает меры к охране ее конфиденциальности. Сведения,
которые не могут составлять служебную или коммерческую тайну,
определяются законом и иными правовыми актами.
Лица, незаконными методами получившие информацию, которая составляет
служебную или коммерческую тайну, обязаны возместить причиненные убытки.
Такая же обязанность возлагается на работников, разгласивших служебную
или коммерческую тайну вопреки трудовому договору, в том числе
контракту, и на контрагентов, сделавших это вопреки гражданско-правовому
договору.
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 содержит
перечень сведений конфиденциального характера, к которым он относит:
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его личность (персональные данные), за
исключением сведений, подлежащих распространению в средствах массовой
информации в установленных федеральными законами случаях.
Сведения, составляющие тайну следствия и судопроизводства.
Служебные сведения, доступ к которым ограничен органами государственной
власти в соответствии с Гражданским кодексом Российской Федерации и
федеральными законами (служебная тайна).
Сведения, связанные с профессиональной деятельностью, доступ к которым
ограничен в соответствии с Конституцией Российской Федерации и
федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна
переписки, телефонных переговоров, почтовых отправлений, телеграфных или
иных сообщений и так далее).
Сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской Федерации и
федеральными законами (коммерческая тайна).
Сведения о сущности изобретения, полезной модели или промышленного
образца до официальной публикации информации о них.
Статья 2 Закона РФ «Об авторском праве и смежных правах» относит к
законодательству РФ об авторском праве и смежных правах Закон «О
правовой охране программ для электронных вычислительных машин и баз
данных». Статья 4 повторяет определение базы данных и программы для ЭВМ,
данное названным Законом. Статья 7 относит программы для ЭВМ к
произведениям, являющимся объектами авторского права. Охраняются все
виды программ для ЭВМ (в том числе на операционные системы), которые
могут быть выражены на любом языке и в любой форме, включая исходный
текст и объектный код.
Следующим признаком компьютерной информации как предмета преступного
посягательства рассматриваемого состава преступления является то, что
она содержится на машинном носителе, в электронно-вычислительной машине
(ЭВМ), системе ЭВМ или их сети.
Вопрос об отнесении конкретного электронного устройства к категории
электронно-вычислительной машины является не таким простым, как кажется
на первый взгляд. Законодательство не содержит определения того, что
представляет собой ЭВМ, однако широко использует этот термин. Вместе с
тем, отсутствие законодательного закрепления определения данного понятия
на практике вызывает определенные сложности. В частности, можно ли
считать ЭВМ электронный контрольнокассовый аппарат, сотовый телефон,
электронный органайзер, электронные терминалы для оформления платежа по
пластиковой карте, иные микропроцессорные устройства. А соответственно,
как квалифицировать неправомерные действия с рассматриваемыми объектами?
Рассмотрим данный вопрос более подробно.
Толковый словарь по вычислительной технике и программированию
утверждает, что ЭВМ есть цифровая вычислительная машина, основные узлы
которой реализованы средствами электроники. Авторы Комментария к
Уголовному кодексу РФ, подготовленному коллективом кафедры уголовного
права Юридического института МВД России, вообще ушли от определения
понятия ЭВМ. В комментарий к УК РФ под редакцией Ю.И. Скуратова и В.М.
Лебедева ЭВМ определяется как вычислительная машина, преобразующая
информацию в ходе своего функционирования в числовую форму. В
комментарии к УК РФ под ред. С.И Никулина и содержится следующее
определе-ние: ЭВМ представляет собой совокупность аппаратно-технических
средств и средств программирования, позволяющих производить операции над
символьной и образной информацией. Наконец, в научно-практическом
комментарии к УК РФ под редакцией О.В.Шишова ЭВМ определяется как
устройство или система, способная выполнить заданную, четко определенную
последовательность операций по преобразованию или обработке данных.
Последнее определение вызывает наибольшие возражения, поскольку в нем с
правовой точки зрения не отграничиваются понятия ЭВМ и системы ЭВМ.
Для полноты освещения вопроса о понятии ЭВМ следует рассмотреть их
классификации.
В кибернетике принятая за основу следующая классификация:
Супер-ЭВМ. Уникальные по цели создания, быстродействию, объему памяти
ЭВМ и вычислительные системы, предназначенные для решения особо сложных
задач.
Большие ЭВМ. Стационарные вычислительные комплексы с большим количеством
разнообразных периферийных устройств, которыми оснащались вычислительные
центры.
Мини-ЭВМ, микро-ЭВМ, персональные ЭВМ. В настоящее время по этим
параметрам ЭВМ разных видов существенно сблизились, и поэтому не всегда
есть возможность для данного разделения.
По размеру ЭВМ подразделяются на:
а) стационарные, т.е. установленные в конкретном помещении и имеющие
возможность работать только в данном помещении;
б) “настольные” малогабаритные, т.е. для установки которых требуется
лишь стол и которые могут быть легко перемещены из помещения в помещение
в зависимости от потребности пользователя;
в) портативные (или «ноутбуки»), т.е. малогабаритные переносные,
размером от портфеля до блокнота, обеспечивающие за счет компактных
батарейных источников питания возможность работы с ними в любом месте;
г) малогабаритные, включенные в механические и (или) технологические
системы (управляющие полетами, движением, производственным процессом и
т.п.).
По местонахождению и основной решаемой в сетях задачи среди ЭВМ можно
выделить:
а) машина конечного пользователя;
б) машина администратора сети или системного оператора;
в) машина, работающая как «хранилище» базы данных;
г) машина, управляющая в автономном режиме технологическим
процессом;
д) машина, работающая как почтовый сервер.
Кроме того, возможны классификации ЭВМ по наличию или отсутствию у них
периферийных устройств; средств связи или включения в сеть ЭВМ и другим
признакам.
Исходя из вышеизложенного, можно дать следующее определение. ЭВМ –
электронное устройство, производящее заданные управляющей программой
операции по хранению и обработке информации и управлению периферийными
устройствами.
Это определение дает возможность утвердительно ответить на вопрос об
отнесении к ЭВМ так называемых интегрированных систем (компьютеров в
нетрадиционном понимании – пейджеров, сотовых телефонных аппаратов,
электронных контрольно-кассовых машин, электронных банкоматов и
терминалов работы с пластиковыми расчетными картами).
Понятие «система ЭВМ», введенное законодателем, также неоднозначно
трактуется в юридической литературе.
А.В.Пушкин под системой ЭВМ понимает «распределение систем обработки
данных, включающих в свой контур как мощные вычислительные комплексы,
так и персональные компьютеры, удаленные на определенное расстояние друг
от друга для организации коммуникационных локальных, отраслевых,
общегосударственных или межгосударственных сетей». Исходя из данного
определения фактически не следует принципиальных различий между
понятиями «система ЭВМ» и «сеть ЭВМ», поэтому с данным подходом нельзя
согласиться. Авторы комментария к УК РФ под редакцией В.М.Лебедева и
Ю.И.Скуратова справедливо отмечают, что система ЭВМ предназначена для
совокупного решения задач.
Видимо, наиболее корректным в данной ситуации будет буквально трактовать
законодателя и исходить из того, что понятие «система» предполагает
определенную совокупность объектов, элементы которой находятся в
упорядоченной взаимосвязи и взаимозависимости.
Итак, под системой ЭВМ следует понимать упорядоченную совокупность
взаимосвязанных и взаимодействующих как единое целое ЭВМ, обеспечивающих
выполнение единой функции. Примерами систем ЭВМ могут являться системы
сотовой телефонной связи. Вся система работы сотовой сети основана на
компьютерной технике и обмене информацией между центральным компьютером
(контроллером, коммутатором) и периферийным установками (абонентским
оборудованием). Отличием самого сотового телефонного аппарата от
центрального компьютера является то, что первый несет информацию о
конкретном абоненте, а последний информацию обо всех абонентах сотовой
телефонной сети. Абонентское оборудование несет в своей базе данных
информацию о самом телефонном аппарате, в том числе о его личном и
абонентском номере. При осуществлении вызова с сотового телефона другого
абонента или самого этого телефона другим абонентом между центральным
компьютером и абонентским оборудованием осуществляется обмен данной
информацией. В связи с тем, что данная информация в любой компании
сотовой телефонной связи представляет коммерческую тайну, то получение
данной информации посторонним лицом с центрального или периферийного
оборудования будет неправомерной.
Информация о телефонах абонентов компании сотовой телефонной связи
считается базой данных, занесенной в компьютерную систему, так как
центральный компьютер и периферийное оборудование (сотовые аппараты)
действуют в единой компьютерной системе, являясь взаимно необходимыми
друг другу.
В вопросе о понимании термина «сеть ЭВМ» также существуют различные
подходы.
Так, в Комментарии к УК под редакцией С. И. Никулина, сеть ЭВМ
определяется как совокупность двух или более ЭВМ, соединенных между
собой каналом связи и имеющих программное обеспечение, позволяющее
осуществлять эту связь. Думается, что такое определение больше подходит
к понятию «система ЭВМ».
Вместе с тем в основе понятия «сеть» лежит техническая задача по
установлению связи между различными ЭВМ. Участники сети (абоненты,
пользователи) получают техническую возможность доступа со своих рабочих
мест к информации, составляющей информационные ресурсы сети и
находящейся в связанных компьютерной сетью ЭВМ. Это не исключает
дифференциации возможностей пользователей по доступу к различным
категориям информационных ресурсов, установления иерархии возможностей
доступа.
Таким образом, сеть ЭВМ можно определить как способ организации связи
между несколькими самостоятельными ЭВМ с целью получения доступа к
совместными информационным ресурсам или оборудованию.
Под объективной стороной состава преступления в теории уголовного права
понимается совокупность существенных, достаточных и необходимых
признаков, характеризующих внешний акт общественно опасного
посягательства, причиняющего вред (ущерб) объекту, охраняемому уголовным
законом. Объективная сторона преступления, предусмотренного ч.1 ст.272
УК РФ, выражается в неправомерном доступе к охраняемой законом
компьютерной информации, если это деяние повлекло уничтожение,
блокирование, модификацию либо копирование информации, нарушение работы
ЭВМ, системы ЭВМ или их сети. Исходя из данного законодателем
определения, можно выделить три обязательных признака неправомерного
доступа к компьютерной информации, характеризующие это преступление с
его внешней, объективной стороны. Такими признаками являются:
общественно опасное действие, к которому законодатель относит
неправомерный доступ к охраняемой законом компьютерной информации;
общественно опасные последствия в виде уничтожения, блокирования,
модификации или копирования компьютерной информации, нарушения работы
ЭВМ, системы ЭВМ или их сети;
причинная связь между совершенным деянием и наступившими последствиями.
Отсутствие хотя бы одного из перечисленных признаков означает и
отсутствие уголовной ответственности по ст.272 УК РФ.
К объективным признакам анализируемого преступления относится
общественно опасное деяние, которое всегда проявляется в активной форме
поведения виновного. Совершить неправомерный доступ к компьютерной
информации путем бездействия невозможно.
Одним из необходимых оснований для привлечения виновного к уголовной
ответственности по ст.272 УК РФ будет являться установление
неправомерности действий лица. Иными словами, оно не имело права
вызывать информацию, знакомиться с ней и распоряжаться ею.
Неправомерность доступа к информации – обязательный признак,
характеризующий рассматриваемое преступление с объективной стороны.
В диспозиции статьи указывается на неправомерный доступ именно к
компьютерной информации, а не к носителям, на которых информация
содержится. В силу этого положения очевидно, что физическое повреждение
компьютера, повлекшее уничтожение информации, хранящейся в нем, не
отвечает правовому содержанию общественно опасного действия, присущего
преступлению, предусмотренному ст.272 УК РФ и, следовательно, не
образует основания уголовной ответственности за его совершение. Речь в
этом случае может идти об умышленном либо неосторожном уничтожении или
повреждении имущества, если умысел виновного не был направлен именно на
уничтожение информации.
Вторым обязательным признаком объективной стороны неправомерного доступа
к компьютерной информации являются общественно опасные последствия в
виде уничтожения, блокирования, модификации или копирования компьютерной
информации, нарушения работы ЭВМ, системы ЭВМ или их сети.
Под уничтожением информации следует понимать такое изменение ее
первоначального состояния (полное либо частичное удаление информации с
машинных носителей), при котором она перестает существовать в силу
утраты основных качественных признаков. При этом не имеет значения,
имелась ли у потерпевшего копия уничтоженной виновным информации или
нет.
Блокирование компьютерной информации представляет собой закрытие
информации, характеризующееся недоступностью ее использования по прямому
назначению со стороны законного пользователя, собственника или
владельца.
Модификация заключается в изменении первоначального состояния информации
(например, реструктурирование или реорганизация базы данных, удаление
или добавление записей, содержащихся в ее файлах, перевод программы для
ЭВМ или базы данных с одного языка на другой), не меняющей сущности
объекта.
Под копированием понимают перенос информации или части информации с
одного физического носителя на другой. В отношении содержания данного
термина в юридической литературе мнения разделились. Можно выделить два
подхода к его толкованию. В рамках первого подхода понятие копирование
трактуется весьма широко: как распространение и разглашение компьютерной
информации. Авторы, придерживающиеся более узкого определения
копирования считают, что использование понятий «воспроизведение» и
«распространение», заимствованных из авторского права, для раскрытия
содержания используемого в Уголовном кодексе понятия «копирование»
необоснованно, так как объекты ст. 146 УК РФ «Нарушение авторских и
смежных прав» и гл. 28 УК РФ «Преступления в сфере компьютерной
информации» различны. Вторая позиция представляется более обоснованной.
Российским законодательством предусмотрен случай, когда копирование
программного обеспечения не носит противоправного характера. В
соответствии с п. 1 ст. 25 Закона РФ «Об авторском праве и смежных
правах», лицо, правомерно владеющее экземпляром программы для ЭВМ или
базы данных, вправе без получения разрешения автора или иного обладателя
исключительных прав на использование произведения и без выплаты
дополнительного вознаграждения изготовить копию программы для ЭВМ или
базы данных при условии, что эта копия предназначена для архивных целей
и для замены правомерно приобретенного экземпляра в случаях, когда
оригинал программы для ЭВМ или базы данных утерян, уничтожен или стал
непригодным для использования. При этом копия программы для ЭВМ или базы
данных должна быть уничтожена в случае, если владение экземпляром этой
программы для ЭВМ перестанет быть правомерным. Как указывается в п. 3
этой же статьи, применение ее положений не должно наносить
неоправданного ущерба нормальному использованию программы для ЭВМ или
базы данных и не должно ущемлять необоснованным образом законные
интересы автора или иного обладателя исключительных прав на программу
для ЭВМ или базы данных.
Сам по себе факт вызова или просмотра компьютерной информации,
хранящейся на машинном носителе, состава анализируемого преступления не
образует. Необходимо, по крайней мере, установить факт переноса
указанной информации на другой машинный носитель. Между тем
несанкционированное ознакомление с охраняемой законом компьютерной
информацией может выступать в качестве приготовления или покушения на
совершение иного умышленного преступления, например, вымогательства (ст.
163 УК РФ), незаконного получения и разглашения сведений, составляющих
коммерческую или банковскую тайну (ст. 183 УК РФ), шпионажа (ст. 276 УК
РФ) и др. В этом случае дополнительной квалификации по ст.272 УК РФ не
требуется.
Нарушение работы ЭВМ, системы ЭВМ или их сети включает в себя сбой в
работе ЭВМ, системы ЭВМ или их сети, препятствующий нормальному
функционированию вычислительной техники при условии сохранения ее
физической целостности и требований обязательного восстановления
(например, отображение неверной информации на мониторе, нарушение
порядка выполнения команд, разрыв сети и др.).
В том случае, когда неправомерный доступ к компьютерной информации
приводит к серьезным повреждениям компьютерной техники и тем самым
причиняет значительный ущерб собственнику или владельцу, действия
виновного, наряду со ст.272 УК РФ, подлежат дополнительной квалификации
по ст. 167 УК РФ (умышленное уничтожение или повреждение имущества).
Анализ ч.1 ст.272 УК РФ позволяет признать, что неправомерный доступ к
компьютерной информации относится к материальным составам преступления
и, следовательно, считается оконченным с момента наступления общественно
опасных последствий, альтернативно перечисленных в диспозиции статьи
закона. В случае отсутствия указанных последствий состав анализируемого
преступления не считается полным. Поэтому действия лица, хотя и
связанные с неправомерным доступом к компьютерной информации, но не
повлекшие за собой уничтожения, блокирования, модификации либо
копирования компьютерной информации, нарушение работы ЭВМ, системы ЭВМ
или их сети по не зависящим от этого лица обстоятельствам, образуют
предварительную преступную деятельность и квалифицируются со ссылкой на
ст.30 УК РФ.
Третьим необходимым признаком объективной стороны неправомерного доступа
к компьютерной информации является причинная связь между
противозаконными действиями виновного и наступившими вредными
последствиями. Ответственность по ст.272 УК РФ наступает только в том
случае, если преступные последствия, альтернативно отраженные в ее
диспозиции, явились именно необходимым следствием, закономерно вызванным
неправомерным доступом лица к охраняемой законом компьютерной
информации, а не наступили в силу иных причин.
Действующее уголовное законодательство не выделяет квалифицированные
составы преступлений по признаку использования электронной техники.
Поэтому в тех случаях, когда неправомерный доступ к компьютерной
информации выступает способом совершения другого умышленного
преступления, а электронно-вычислительная техника используется в
качестве орудия для достижения преступной цели, содеянное виновным
квалифицируется по совокупности преступлений.
Определенную сложность вызывают вопросы, связанные с установлением
времени и места совершения неправомерного доступа к компьютерной
информации. Дело в том, что стремительное развитие компьютерной техники
уже сегодня вышло на качественно новый уровень. Созданы мировые
информационные сети, объединившие пользователей практически всех
развитых стран. Поэтому время и место совершения общественно опасного
деяния (место происшествия) может не совпадать с местом и временем
реального наступления общественно опасных последствий. В практике борьбы
с компьютерной преступностью насчитывается немало случаев, когда сам
факт неправомерного доступа сохраняемой информации фиксировался в одной
стране, а преступные последствия наступали на территории другого
государства.
Местом совершения неправомерного доступа к компьютерной информации
следует признавать территорию того государства, где это преступление
было окончено, что соответствует положениям ст.8 УК РФ об основании
уголовной ответственности, которым является совершение деяния,
содержащего все признаки состава преступления, предусмотренного
Уголовным кодексом.
Действующее уголовное законодательство России временем довершения любого
преступления признает время совершения общественно опасного действия
(бездействия) независимо от времени наступления последствий (ч.2 ст.9 УК
РФ). Очевидно, данное правило должно распространяться и на вопрос о
времени совершения неправоверного доступа к компьютерной информации.
К признакам, характеризующим субъективную сторону любого преступления,
относятся вина, мотив и цель общественно опасного и противоправного
поведения субъекта. Все эти признаки дают представление о том внутреннем
процессе, который происходит в психике лица, совершающего преступление,
и отражают связь сознания и воли индивида с осуществляемым им
поведенческим актом.
Применительно к неправомерному доступу к компьютерной информации
уголовно-правовое значение признаков субъективной стороны не
равнозначно. Вина – необходимый признак субъективной стороны каждого
преступления. Мотив и цель совершения неправомерного доступа к
компьютерной информации законодатель отнес к числу факультативных
признаков данного состава.
Раскрывая содержание вины, следует исходить из общепринятого в
российской уголовно-правовой доктрине положения о том, что вина
представляет собой психическое отношение лица к совершенному общественно
опасному деянию и его общественно опасным последствиям. Она выражается в
форме умысла или неосторожности.
Несмотря на то, что диспозиция ст.272 УК РФ не дает прямых указаний о
субъективной стороне анализируемого преступления, можно с уверенностью
говорить об умышленной форме вины в виде прямого или косвенного
(эвентуального) умысла. В литературе высказывалась и другая точка
зрения, согласно которой неправомерный доступ к охраняемой законом
компьютерной информации может быть совершен только с прямым умыслом.
Между тем закон вовсе не ограничивает привлечение лица к уголовной
ответственности по ст.272 УК РФ в случае совершения этого преступления с
косвенным умыслом. Как показывает практика, преступник не всегда желает
наступления вредных последствий. Особенно это характерно при совершении
данного преступления из озорства или так называемого спортивного
интереса.
В силу этого положения становится очевидным, что интеллектуальный момент
вины, характерный для состава анализируемого преступления, заключается в
осознании виновным факта осуществления неправомерного доступа к
охраняемой законом компьютерной информации. При этом виновный понимает
не только фактическую сущность своего поведения, но и его социально
опасный характер. Кроме того, виновный предвидит возможность или
неизбежность реального наступления общественно опасных последствий в
виде уничтожения, блокирования, модификации либо копирования информации,
нарушения работы ЭВМ, системы ЭВМ или их сети. Следовательно, субъект
представляет характер вредных последствий, осознает их социальную
значимость и причинно-следственную зависимость.
Волевой момент вины отражает либо желание (стремление) или сознательное
допущение наступления указанных вредных последствий, либо как минимум
безразличное к ним отношение.
Неправомерный доступ к охраняемой законом компьютерной информации,
совершенный по неосторожности, исключает правовое основание для
привлечения лица к уголовной ответственности. Указанное положение
полностью соответствует ч.2 ст.24 УК РФ: «Деяние, совершенное по
неосторожности, признается преступлением только в том случае, когда это
специально предусмотрено соответствующей статьей Особенной части
настоящего Кодекса». О неосторожности в диспозиции ст.272 УК РФ не
сказано. Следовательно, деяние может быть совершено лишь умышленно. В
силу этого обстоятельства трудно согласиться с мнением авторов одного из
научно-практических комментариев к Уголовному кодексу Российской
Федерации, в котором утверждается, что неправомерный доступ к информации
может совершаться как с умыслом, так и по неосторожности. «Неосторожная
форма вины, – пишет С.А.Пашин, – может проявляться при оценке лицом
правомерности своего доступа к компьютерной информации, а также в
отношении неблагоприятных последствий доступа, предусмотренных
диспозицией данной нормы уголовного закона». Признание этой точки зрения
противоречит законодательному положению, закрепленному в ч.2 ст.24 УК
РФ, что, в свою очередь, ведет к возможности необоснованного привлечения
лица к уголовной ответственности за неосторожное поведение.
Таким образом, при совершении неправомерного доступа к компьютерной
информации интеллектуальный и волевой моменты вины всегда наполнены
определенным содержанием, выяснение которого является предпосылкой
правильной юридической оценки содеянного.
Мотивы и цели неправомерного доступа к охраняемой законом компьютерной
информации могут быть самыми разнообразными. Обязательными признаками
состава рассматриваемого преступления они не являются и, следовательно,
на квалификацию преступления не влияют. Однако точное установление
мотивов и целей неправомерного доступа к охраняемой законом компьютерной
информации позволяет выявить не только причины, побудившие лицо
совершить данное преступление, но и назначить виновному справедливое
наказание.
Как правило, побуждающим фактором к совершению неправомерного доступа к
охраняемой законом компьютерной информации является корысть, что,
естественно, повышает степень общественной опасности указанного
преступления. Проведенное нами исследование показывает, что корыстные
мотивы наблюдаются в 67% изученных нами уголовных дел. В качестве
иллюстрации корыстного доступа к компьютерной информации может служить
пример, когда лицо путем подбора идентификационного кода (пароля)
внедряется в компьютерную сеть, обслуживающую банковские операции, и
незаконно перечисляет определенную сумму денежных средств на свой
текущий счет.
Наряду с корыстью анализируемое преступление может совершаться из
чувства мести, зависти, хулиганства, желания испортить деловую репутацию
конкурента, «спортивного интереса» или желания скрыть другое
преступление и т.д.
Согласно ст.20 УК РФ субъектом преступления, предусмотренного ч.1 ст.272
УК РФ, может быть любое физическое лицо, достигшее к моменту преступной
деятельности шестнадцатилетнего возраста. Обязательным условием
привлечения лица к уголовной ответственности за совершенное общественно
опасное и противоправное деяние является вменяемость. Невменяемые лица
не могут подлежать уголовной ответственности (ст. 21 УК РФ).
В ст. 272 УК РФ предусмотрены обстоятельства, отягчающие ответственность
за его совершение, при наличии которых преступление признается более
опасным и поэтому влечет более строгое наказание. К числу отягчающих
законодатель относит следующие обстоятельства:
а) неправомерный доступ к компьютерной информации, совершенный группой
лиц по предварительному сговору;
б) неправомерный доступ к компьютерной информации, совершенный
организованной группой лиц;
в) неправомерный доступ к компьютерной информации, совершенный лицом с
использованием своего служебного положения;
г) неправомерный доступ к компьютерной информации, совершенный лицом,
имеющим доступ к ЭВМ, системе ЭВМ или их сети.
Таким образом, признаки квалифицированного состава рассматриваемого
преступления характеризуют либо объективную сторону посягательства, либо
субъект преступления.
Анализ отечественного законодательства в сфере компьютерной информации
позволяет отметить ряд недостатков, затрудняющих расследование
неправомерного доступа к компьютерной информации:
Сложность конструкций правовых норм (ст. 272 УК РФ), наличие в них
технических понятий и специальных терминов. Общение со следователями,
оперативными уполномоченными органов внутренних дел показывает, что
одной из проблем выявления и расследования данного преступления является
отсутствие у сотрудников правоохранительных органов минимально
необходимых познаний в области компьютерной техники. Значительная
сложность возникает в уяснении терминологии, назначении составных частей
ЭВМ, системы ЭВМ и их сети, понимании общего режима их функционирования
в различных технологических процессах. В.В.Крылов считает, что подход,
согласно которому в законодательстве следует отражать конкретные
технические средства себя исчерпал, поскольку ЭВМ является лишь
разновидностью информационного оборудования и не охватывает всего
разнообразия информационной техники.
Обилие и порой противоречивость нормативных актов, определяющих правовой
статус и специфику компьютерной информации. Это приводит к тому, что
многие нормативные документы, регламентирующие правовой режим
функционирования средств компьютерной техники, остаются неизвестными и
соответственно не учитываются в процессе проведения проверочных
мероприятий и первоначальных следственных действий. На сегодняшний день
отношения в сфере компьютерной информации регулируются как минимум
следующими законами: «О правовой охране программ для
электронно-вычислительных машин и баз данных», «Об авторском праве и
смежных правах», «О государственной тайне», «Об обязательном экземпляре
документов», «О связи», «Об информации, информатизации и защите
информации», «Об участии в международном информационном обмене»,
Гражданским кодексом РФ и Уголовным кодексом РФ.
Отсутствие обобщений следственной и судебной практики, которые могли бы
быть ориентиром в правильной квалификации преступлений.
Мягкость санкций ст. 272 – 274 УК РФ. Максимальное наказание за эти
преступления предусмотрено ст. 273 УК РФ – лишение свободы до трех лет.
Сложности разграничения смежных составов преступлений. При Квалификации,
например, неправомерного доступа к компьютерной информации могут
возникнуть вопросы, касающиеся отграничения этого преступления от иных
видов преступных посягательств, связанных с уничтожением, блокированием,
модификацией либо копированием информации, нарушением работы ЭВМ,
системы ЭВМ или их сети, а равно преступлений, предметом которых
является какая-либо информация, находящаяся на машинном носителе, в
электронно-вычислительной машине, системе ЭВМ или их сети. К таким
преступлениям следует отнести:
а) преступления в сфере компьютерной информации: создание, использование
и распространение вредоносных программ для ЭВМ (ст.273 УК РФ); нарушение
правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ);
б) иные противоправные деяния, предметом посягательства которых может
являться компьютерная информация, содержащаяся на машинном носителе, в
ЭВМ, системе ЭВМ или их сети: нарушение неприкосновенности частной жизни
(ст. 137 УК РФ), нарушение авторских и смежных прав (ст. 146 УК РФ),
незаконные получение и разглашение сведений, составляющих коммерческую
или банковскую тайну (ст.183 УК РФ), и некоторые другие.
В следственной практике нередко совершаются ошибки при квалификации
незаконного подключения к сети Интернет. Следователи зачастую
необоснованно отказывают в возбуждении уголовного дели или прекращают
производство по делу в связи с тем, что информация в сети Интернет
общедоступна, не имеет конкретного владельца, следовательно, не является
охраняемой законом, т.е. не может выступать предметом преступного
посягательства.
Так, З. осуществил незаконное проникновение в компьютерную сеть Интернет
с использованием сервера фирмы «Эликом» под именем и паролем фирмы
«Микст» и произвел копирование файлов, на основании чего следователем
было обоснованно возбуждено уголовное дело по ч.1 ст.272.
В процессе расследования в действиях 3. не было установлено признаков
состава преступления, предусмотренного ст.272 УК РФ, поскольку
информация, содержащаяся в незащищенных файлах компьютерной сети
Интернет, доступ к которой осуществил 3., не является охраняемой законом
компьютерной информацией и не имеет конкретного владельца. В связи с
этим, производство по данному делу было прекращено за отсутствием
состава преступления.
Представляется, что производство по данному делу прекращено
необоснованно, поскольку следователем не была до конца отработана версия
о неправомерном доступе к охраняемой законом компьютерной информации,
находящейся на сервере фирмы «Эликом», повлекшее ее блокирование, что
также подпадает под признаки уголовно наказуемого деяния.
Информация, находящаяся на сервере фирмы «Эликом», предоставляющей
доступ к сети «Интернет», содержит списки зарегистрированных
пользователей, получающих доступ через этот сервер, и их пароли.
Подобная информация на основании п. 5 Указа Президента РФ «Об
утверждении перечня сведений конфиденциального характера», п.1 ст. 139
Гражданского кодекса РФ является коммерческой тайной и охраняется
законом.
Механизм доступа в обобщенном виде выглядит следующим образом:
Пользователь запускает программу связи с коммуникационным сервером, на
котором имеются списки зарегистрированных пользователей.
После установления соединения сервер предлагает ввести идентификационное
имя пользователя.
Пользователь вводит имя, программа проверяет наличие этого имени в
файле, содержащем список пользователей, после чего в случае его
соответствия выдает приглашение ввести пароль. Таким образом, уже в этот
момент происходит доступ к охраняемой законом информации. Более того,
уже в этот момент официально зарегистрированный под этим же именем
пользователь лишается возможности входа (в случае монопольного режима
доступа).
Пользователь вводит пароль, программа проверяет идентичность пароля и в
случае совпадения предоставляет доступ в соответствии с полномочиями
данного пользователя.
Таким образом, при входе в Интернет происходит доступ к информации,
обеспечивающей этот вход, а при использовании чужого имени этот доступ
является неправомерным. Информация, обеспечивающая вход в Интернет,
является охраняемой законом. Взлом пароля (его подбор) является
копированием – снятием копии с оригинальной информации при сохранении ее
неповрежденности и возможности использования по назначению, поскольку
копия этой информации (копия имени и соответствующего ему пароля)
необходима для входа в Интернет.
Неправомерный доступ к информации, обеспечивающей вход в Интернет,
приводит к блокированию – созданию недоступности, невозможности ее
использования при сохранности самой информации, так как официально
зарегистрированный пользователь лишался возможности ее использования для
входа в Интернет.
Изложенное свидетельствует о наличии достаточных данных, указывающих на
совершение З. действий, содержащих признаки преступления,
предусмотренного ч.1 ст.272 УК РФ, – неправомерный доступ к охраняемой
законом информации, повлекший ее блокирование.
Неоднозначно в следственной практике разрешается вопрос и о квалификации
деяний, совершаемых в отношении компьютерной информации, находящейся в
ЭВМ, не являющейся компьютером в классическом понимании этого слова
(таких, как пейджер, сотовый телефон, кассовый аппарат и т.п.).
Сотовая телефонная сеть представляет собой сеть ЭВМ (микропроцессорных
устройств), в качестве компонентов которой выступают: абонентское
оборудование (сотовые телефонные аппараты), базовые станции, коммутатор,
контроллер. Абонентское оборудование, являясь микропроцессорным
устройством, т.е. устройством, способным обрабатывать информацию,
имеющуюся в эфире, и отвечать на нее в случае передачи и приема
информации с контроллера, который является компьютером с базой данных об
абонентском оборудовании и всем оборудовании базовой станции. Данная
информация хранится на жестком диске, но она также используется при
обработке процесса вызова, в связи с чем возникает техническая
возможность наблюдать ее часть в эфире в момент общения базовой станции
с абонентским оборудованием. И в случае, когда указанная информация
стала доступной для посторонних лиц, это считается доступом к
компьютерной информации, хранящейся на машинном носителе, и копированием
данной информации.
Вся система работы сотовой сети основана на компьютерной технике и
обмене информацией между центральным компьютером (контроллером,
коммутатором) и периферийными установками (абонентским оборудованием).
Отличием самого сотового телефонного аппарата от центрального компьютера
является то, что первый несет информацию о конкретном абоненте, а
последний – информацию обо всех абонентах сотовой телефонной сети.
Абонентское оборудование несет в своей базе данных информацию о самом
телефонном аппарате, в том числе о его личном и абонентском номере. При
осуществлении вызова с сотового телефона другого абонента или самого
этого телефона другим абонентом между центральным компьютером и
абонентским оборудованием осуществляется обмен данной информацией. В
связи с тем что данная информация в любой компании сотовой телефонной
связи представляет коммерческую тайну, то получение данной информации
посторонним лицом с центрального или периферийного оборудования будет
неправомерным. Информация о телефонах абонентов компании сотовой
телефонной связи считается базой данных, занесенной в компьютерную
систему, так как центральный компьютер и периферийное оборудование
(сотовые аппараты) действуют в единой компьютерной системе, являясь
взаимно необходимыми друг другу.
Таким образом, сотовую сеть можно рассматривать как компьютерную, при
этом сам сотовый аппарат является удаленным рабочим местом беспроводной
сети, а центральный контроллер – файловым и коммуникационным сервером.
Аналогично можно рассматривать и пейджинговую сеть, с той лишь разницей,
что пейджер является удаленным терминалом. В силу этого на информацию,
находящуюся в сотовых и пейджинговых сетях распространяются как законы,
ее охраняющие, так и диспозиции соответствующих статей 28-й главы УК
Российской Федерации.
Рассмотрим положительный опыт следователей ГСУ при ГУВД Московской
области, впервые применивших ст. 272 УК РФ при расследовании уголовного
дела о неправомерном доступе в контрольно-кассовые аппараты одного из
частных предприятий области.
В ноябре 1998 г. УРОПД ГУВД Московской области было возбуждено уголовное
дело по факту совершения неправомерного доступа к охраняемой законом
компьютерной информации в кассовых аппаратах частного предприятия г.
Павловский Посад.
Проведенным по делу расследованием установлено, что в период с июля по
ноябрь 1998 г. руководитель ЧП города Павловский Посад Московской
области Т. по предварительному сговору в группе с К., действуя с ней с
единым умыслом в целях сокрытия доходов от налогообложения, ежедневно с
17 до 19 часов в торговых палатках ЧП подключали в гнезда двух
контрольно-кассовых аппаратов, являющихся разновидностью
электронно-вычислительной машины, специально изготовленный самодельный
прибор в виде микрокомпьютера, осуществляя доступ к компьютерной
информации о проведенных через контрольно-кассовые аппараты финансовых
операциях в течение текущей смены. После подключения прибора к
контрольно-кассовым аппаратам и совершения неправомерного доступа к
охраняемой законом компьютерной информации в буферной памяти
контрольно-кассовых аппаратов уничтожалась вся информация о
предшествующих финансовых операциях, выполненных в течение текущей
смены, в том числе информация о номере покупки и общей сумме выручки за
текущую смену. Уничтожив и модифицировав информацию в буферной памяти
контрольно-кассовых аппаратов в течение указанного времени, обе торговые
точки ЧП продолжали свою работу, накапливая информацию в буферной памяти
о производимых финансовых операциях до окончания текущей смены, то есть
до 21 часа, после чего в фискальную память контрольно-кассовых аппаратов
заносились измененные, заниженные данные о сумме выручки за смену.
Таким образом, Т. и К. совершили неправомерный доступ к охраняемой
законом компьютерной информации, т.е. информации на машинном носителе, в
электронно-вычислительной машине (в соответствии с техническим паспортом
контрольно-кассовый аппарат считается ЭВМ), и это деяние, совершенное
группой лиц по предварительному сговору, повлекло уничтожение,
модификацию информации.
§ 3. Создание, использование и распространение вредоносных программ для
ЭВМ
Согласно ч. 1 ст. 273 УК РФ создание, использование и распространение
вредоносных программ для ЭВМ представляет собой создание программ для
ЭВМ или внесение изменений в существующие программы, заведомо приводящих
к несанкционированному уничтожению, блокированию, модификации либо
копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а
равно использование или распространение таких программ.
По данным ГИЦ МВД России, в 1997 году было возбуждено 1 уголовное дело
по ст. 273 УК РФ. В 1998 г. было зарегистрировано 12 преступлений по
ст.273 УК РФ. В 1999 г. зарегистрировано 85 преступлений по ст. 273 УК
РФ, из которых направлено в суд 42. В 2000 г. по ст. 273 УК РФ
возбуждено 172 уголовных дела. Из них окончены расследованием 162, в том
числе направлено в суд 57.
Непосредственным объектом рассматриваемого преступления являются
общественные отношения по безопасному использованию ЭВМ, ее программного
обеспечения и информационного содержания.
С объективной стороны анализируемое преступление предусматривает
совершение хотя бы одного из следующих действий:
создание вредоносных программ для ЭВМ;
внесение изменений в существующие программы для ЭВМ;
использование вредоносных программ для ЭВМ;
распространение вредоносных программ для ЭВМ.
Совершить создание, использование или распространение вредоносных
программ для ЭВМ путем бездействия невозможно.
Некоторые авторы предлагают дополнить указанный перечень использованием
машинных носителей с вредоносными программами, однако, на наш взгляд,
указанное действие охватывается понятием «использование вредоносных
программ». Рассмотрим указанные действия более подробно.
1. Создание вредоносных программ для ЭВМ. Для наступления уголовной
ответственности данная программа должна являться вредоносной. Одно из
наиболее удачных определений вредоносной программы предложено Ю.И.
Ляпуновым и А.В. Пушкиным. Под вредоносной программой названные авторы
понимают специально написанную (созданную) программу, которая, получив
управление, способна совершать несанкционированные пользователем
действия и вследствие этого причинять вред собственнику или владельцу
информации, а также иным лицам в виде уничтожения, блокирования,
модификации или копирования информации, нарушения работы ЭВМ, системы
ЭВМ или их сети.
Под созданием вредоносной программы понимается комплекс операций,
состоящих из подготовки исходных данных, предназначенных для управления
конкретными компонентами системы обработки данных в целях, указанных в
диспозиции ст. 273 УК РФ. Создание вредоносных программ –
целенаправленная деятельность, включающая (в общем виде): 1) постановку
задачи, определение среды существования и цели программы; 2) выбор
средств и языков реализации программы; 3) отладку программы; 4) запуск и
работу программы. Все эти действия при постановке задачи создания
вредоносной программы и наличии объективных следов их выполнения могут
быть признаны наказуемыми в уголовном порядке.
Вредоносность или полезность соответствующих программ для ЭВМ
определяется не в зависимости от их назначения, способности уничтожать,
модифицировать, копировать информацию (это вполне типичные функции
вполне легальных программ), а в связи с тем, предполагает ли их
действие, во-первых, предварительное уведомление собственника
компьютерной информации или другого законного пользователя о характере
действия программы, а во-вторых, получение его согласия (санкции) на
реализацию программой своего назначения. Нарушение одного из этих
требований делает программу вредоносной.
2. Внесение изменений в существующие программы – это несанкционированная
законным пользователем или собственником программы ее модификация
(переработка программы путем изменения, добавления или удаления ее
отдельных фрагментов) до такого состояния, когда эта программа способна
выполнить новые, изначально незапланированные функции и приводить к
последствиям, предусмотренным ч. 1 ст. 273 УК РФ. При этом Закон РФ «О
правовой охране программ для электронных вычислительных машин и баз
данных» уточняет, что модификация (переработка) программы для ЭВМ – это
любые ее изменения, не являющиеся адаптацией.
3. Под использованием вредоносной программы согласно ст. 1 Закона РФ «О
правовой охране программ для электронных вычислительных Машин и баз
данных» понимается ее непосредственный выпуск в свет, распространение и
иные действия по ее введению в хозяйственный оборот (в том числе в
модифицированной форме). Не признается использованием программы для ЭВМ
передача средствами массовой информации сообщений о выпущенной в свет
программе для ЭВМ. Однако, данная трактовка является слишком широкой, и
нам представляется более верным определение, предложенное А.В.Пушкиным,
указывающим, что «под использованием вредоносных программ следует
понимать их введение (установку) в электронную память компьютера».
Отметим, что уголовная ответственность по этой статье возникает уже в
результате создания программы независимо от того, использовалась
программа или нет. По смыслу ст.273 УК наличие исходных текстов вирусных
программ уже является основанием для привлечения к ответственности.
Однако следует учитывать, что в ряде случаев использование подобных
программ не будет являться уголовно наказуемым. Это относится к
деятельности организаций, осуществляющих разработку антивирусных
программ и имеющих соответствующую лицензию. Также очевидно, что
собственник информационного ресурса вправе в необходимых случаях
(например, исследовательские работы по созданию антивирусных средств)
использовать вредоносные программы. Естественно, что для квалификации
действий как использования вредоносных программ необходимо доказать, что
лицо заведомо знало о свойствах используемой программы и последствиях ее
применения.
Под использованием машинного носителя с вредоносной программой следует
понимать всякое его употребление для целей использования записанной на
нем программы для ЭВМ.
4. Распространение программы для ЭВМ – это предоставление доступа к
воспроизведенной в любой материальной форме программе для ЭВМ, в том
числе сетевыми и иными способами, а также путем продажи, проката, сдачи
внаем, предоставления взаймы, включая импорт для любой из этих целей.
Распространение вредоносных программ может осуществляться
непосредственно путем их копирования на компьютер потерпевшего,
например, с дискеты, а также опосредовано, путем передачи по электронной
почте, по линии связи законного пользователя через компьютерную сеть.
Состав преступления, предусмотренного ч. 1 ст. 273 УК РФ, сконструирован
законодателем как усеченный, или, как он еще именуется в юридической
литературе, состав опасности. Особенность его в том, что в уголовном
законе содержится описание признаков не только объективной стороны, но и
реальной возможности наступления вреда, в данном случае в форме
несанкционированного законным пользователем уничтожения, блокирования,
модификации либо копирования информации, нарушения работы ЭВМ, системы
ЭВМ или их сети.
Под несанкционированным уничтожением, блокированием, модификацией,
копированием информации понимаются не разрешенные законом, собственником
информации или другим компетентным пользователем указанные действия.
Следует обратить внимание, что большинство авторов отождествляют понятия
вредоносной программы и компьютерного вируса. Так, С.В.Полубинская в
соавторстве с С.В.Бородулиным в учебнике «Российское уголовное право.
Особенная часть» прямо указывают, что в ст. 273 УК РФ «…речь идет о
разработке и распространении так называемых компьютерных вирусов как
путем создания подобного рода компьютерных программ, так и путем
внесения изменений в уже существующие программы». С подобным подходом
вряд ли можно согласиться.
Представляется, что многообразие вредоносных программ только лишь
компьютерными вирусами не ограничивается. Любая вредоносная программа,
чтобы являться таковой, должна обладать как минимум следующими
признаками: во-первых, она должна совершать несанкционированные
пользователем действия, и, во-вторых, результатом этих действий должно
быть уничтожение, блокирование, модификация или копирование компьютерной
информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Вирус же, отвечая названным условиям, обладает дополнительной функцией –
он способен самовоспроизводиться, то есть размножаться, присоединяться к
другим программам и пр. Программу – вирус, таким образом, можно
определить как специально созданную программу, способную к
самовоспроизведению, выполняющую незапланированные законным
пользователем функции. Эти функции могут быть различными: порча файлов,
приводящая к блокированию, модификации или уничтожению находящейся в них
информации; засорение памяти компьютера, влекущее Замедление его работы;
вывод на экран посторонних сообщений и пр.
Таким образом, понятие «вредоносная программа» является родовым по
отношению к понятию «программа – вирус». Помимо программ-вирусов к
категории вредоносных программ относятся: программы-эмуляторы
Электронных ключей, программы-взломщики парольной защиты, программы типа
«троянский конь», программы – «черви» и др.
Программа «троянский конь» представляет собой не запланированные
разработчиком программного обеспечения блоки команд, самоликвидирующиеся
по окончании исполнения своей задачи. Найти после этого данные
программные модули практически невозможно. Во втором случае в алгоритм
программы, наряду с ее основными функциями, закладывается алгоритм
действий, осуществляющих саморазмножение, автоматическое
самовоспроизводство указанного «троянского коня». В результате подобные
программы-черви автоматически копируют себя в памяти одного или
нескольких компьютеров (при наличии компьютерной сети). Из зарубежной
следственной практики интересен факт использования «троянского коня»
одним американским программистом. Он вставил в программное обеспечение
персонального компьютера по месту своей работы команды, которые
позволяли не отражать в итоговом отчете определенные поступления
денежных средств. Эти суммы особым образом шифровались и циркулировали
только в информационной среде компьютера. Похитив бланки выдачи денег,
преступник заполнял их с указанием своего шифра, а затем проставлял в
них определенные суммы денег. Поскольку соответствующие операции по их
выдаче также не отражались в отчетности, то они не могли быть
подвергнуты документальной ревизии. Кстати, в 2001 г. «троянские кони» –
программы, предназначенные для перехвата данных на чужом компьютере или
получения контроля над ним, оказались наиболее распространенными среди
всех вредоносных программ. Так, британская антивирусная компания Sophos
сообщила, что в 25% случаев ее клиенты обращались за помощью именно
из-за проникновения в компьютеры троянских программ. При этом в Sophos
особо отметили, что на долю вирусов разных типов приходилось меньшее
число обращений.
Практически все эксперты по вопросам компьютерной безопасности сходятся
на мнении, что в будущем троянские программы будут получать все более
широкое распространение. Этому очень способствуют особенности троянских
программ, которые, попав на компьютер, глубоко проникают в систему,
маскируются и ведут себя не совсем так, как другие типы вирусов. Как
правило, троянца сложнее обнаружить и удалить. Особенно остро проблема
стоит перед домашними пользователями, подключенными к Интернету по
высокоскоростным каналам. Постоянное подключение делает компьютер более
уязвимым для злоумышленников, а малая распространенность брандмауэров и
антивирусов на домашних компьютерах только усугубляет ситуацию.
Также вредоносные программы в отдельных случаях могут производить
модификацию программ законного пользователя путем тайного встраивания в
них набора команд, которые должны сработать при определенных условиях
через определенное время. Например, как только программа незаконно
перечислит денежные средства на так называемый подставной счет, она
самоуничтожится и при этом уничтожит всю информацию о проделанной
операции.
Кроме того, вредоносные программы могут основываться на использовании
ошибок в логике построения определенной программы законного пользователя
и обнаружении так называемых «брешей». При этом программа «разрывается»
и в нее вводится необходимое число определенных команд, которые помогают
ей осуществлять новые, незапланированные функции при одновременном
сохранении прежней ее работоспособности. Именно таким образом можно
переводить деньги на подставные счета, получать информацию о
недвижимости, о персональных данных личности и пр.
Еще одна разновидность вредоносных программ – «логические бомбы» -это
умышленное изменение кода программы, частично или полностью выводящее из
строя программу либо систему ЭВМ при определенных заранее условиях,
например наступления определенного времени.
Принципиальное отличие «логических бомб» от компьютерных вирусов достоит
в том, что они изначально являются частью программы и не переходят в
другие программы, а компьютерные вирусы являются динамичными программами
и могут распространяться даже по компьютерным сетям.
Таким образом, смешение таких понятий как «вредоносная» и «вирусная»
программа ведет к неоправданному сужению признаков объективной стороны
рассматриваемого преступления, что создает возможность для
^безнаказанности за создание, использование и распространение
вредоносных программ для ЭВМ, не являющихся по своим качественным
характеристикам вирусными.
По своей сути вирусы весьма различны: от теоретически безопасных до
настоящих боевых программ, способных привести компьютер в состояние
полной негодности. Само понятие «компьютерный вирус» ввел в обиход в
.начале 80-х годов профессор Лехайского университета Ф. Коэн. Одним из
первых официально зарегистрированных компьютерных вирусов был так
называемый «Пакистанский вирус». Затем появились «Рождественская елка»,
«Вирус Морриса», «I love you» и др. Хорошо известен случай, когда в
начале 1989 г. вирусом, написанным американским студентом Р.Моррисом,
были заражены и выведены из строя тысячи компьютеров, в том числе и
принадлежащих министерству обороны США.
Подобные явления не обошли стороной и Россию. В 1983 г. на Волжском
автомобильном заводе был изобличен программист, который из мести к
руководству предприятия умышленно внес изменения в программу ЭВМ,
управлявшей подачей деталей на конвейер. В результате произошедшего сбоя
заводу был причинен существенный материальный ущерб: не сошло с
конвейера свыше сотни автомобилей. Программист был привлечен к уголовной
ответственности, обвинялся по ч. 2 ст. 98 УК РСФСР «Умышленное
уничтожение или повреждение государственного или общественного имущества
… причинившее крупный ущерб». При этом обвиняемый утверждал, что
ничего натурально повреждено не было – нарушенным оказался лишь порядок
работы, т.е. действия, не подпадающие ни под одну статью действующего в
то время законодательства. С научной точки зрения интересен приговор
суда: «три года лишения свободы условно; взыскание суммы, выплаченной
рабочим за время вынужденного простоя главного конвейера; перевод на
должность сборщика главного конвейера».
В настоящее время квалификация действий программиста должна была бы
производиться по ч.1 ст.273 УК РФ. Он умышленно создал и использовал в
заводском компьютере вредоносную программу, нарушившую технологический
процесс.
С распространением персональных компьютеров вирусы поистине стали их
бедствием. В настоящее время количество вирусов для ЭВМ достигает
нескольких тысяч и их количество постоянно растет. По подсчетам
отдельных специалистов, ежедневно в мире создается от 3 до 8 новых
вирусных программ. И несмотря на создание и совершенствование уникальных
антивирусных программ, опасность создания, использования и
распространения вредоносных программ остается весьма высокой. Уже
сегодня, например, существуют исследования, показывающие, что
вредоносные программы (в частности, так называемый вирус «666») могут
воздействовать через различные цветовые коды – заставки экрана монитора
– непосредственно на психику человека, доводя его до психического
заболевания или смерти.
Таким образом, вредоносность компьютерных вирусов связана с их свойством
самовоспроизводиться и создавать помехи работе на ЭВМ без ведома и
санкции добросовестных пользователей. Вирусные программы обычно включают
команды, обеспечивающие самокопирование и маскировку.
Достаточно часто создание, использование и распространение вредоносных
программ для ЭВМ выступает в качестве способа совершения иного
умышленного преступления, например: воспрепятствование осуществлению
избирательных прав граждан или работе избирательных комиссий (ст. 141 УК
РФ); фальсификация избирательных документов, документов референдума или
неправильный подсчет голосов (ст. 142 УК РФ); мошенничество (ст. 159 УК
РФ); причинение имущественного ущерба путем обмана или злоупотребления
доверием (ст. 165 УК РФ); незаконное получение сведений, составляющих
коммерческую или банковскую тайну (ст. 183 УК РФ); неправомерный доступ
к компьютерной информации (ст. 272 УК РФ); диверсия (ст. 281 УК РФ) и
др. В этом случае содеянное надлежит квалифицировать по совокупности
совершенных виновным преступлений.
Примером подобного преступления может являться следующее. К., являясь
оператором ЭВМ в одной из организаций, на своем личном компьютере
Pentium II, находящемся в его квартире, изготовил электронное почтовое
сообщение с рекламой товаров народного потребления, приложив к нему в
качестве подробного каталога с ценами и условиями поставки составленную
им лично вредоносную программу для ЭВМ в виде файла katalog.exe, и
распространил ее согласно имеющемуся у него списку электронных почтовых
адресов пользователей сети Интернет 350 адресатам. В результате
массового распространения этой вредоносной программы после ее запуска
пользователями сети Интернет, К. несанкционированно получил по своему
электронному адресу 87 учетных имен и паролей для доступа в сеть
Интернет, которые скопировал на жесткий диск своего компьютера и в
дальнейшем использовал для доступа в сеть Интернет.
В приведенном примере налицо несколько составов преступлений.
Во-первых, несомненно, что К. совершил создание, использование и
распространение вредоносных программ для ЭВМ то есть, преступление,
ответственность за которое предусмотрено ч. 1 ст. 273 УК РФ.
Во-вторых, К. совершил мошенничество, то есть хищение чужого имущества,
совершенное путем обмана, поскольку работал в сети Интернет за счет
законных пользователей, не знавших о наличии у программы katalog.exe
неких тайных, незапланированных функций, приводящих к пересылке учетных
данных законных пользователей К., то есть преступление, ответственность
за которое предусмотрена п. «б» ч. 2с. 159 УК РФ.
В – третьих, К. совершил неправомерный доступ к охраняемой законом
компьютерной информации (которой являются учетные данные пользователей),
повлекший ее блокирование (поскольку, в период работы К. законные
пользователи не могли получить доступ к системе), то есть преступление,
ответственность за которое предусмотрена ч. 1 ст. 272 УК РФ.
Субъективную сторону анализируемого состава преступления представляет
вина в форме прямого или косвенного умысла. Иными словами, для
квалификации деяния по ч. 1 или 2 ст. 273 УК РФ необходимо, чтобы
виновное лицо сознавало общественно опасный характер своих действий (то
есть что оно создает, использует или распространяет такую программу,
которая способна уничтожить, блокировать, модифицировать или скопировать
компьютерную информацию, нарушить работу ЭВМ, системы ЭВМ или их сети),
желало или сознательно допускало наступление вредоносных последствий
либо относилось к ним безразлично.
В юридической литературе на данный счет имеются различные точки зрения.
Так, Ю.И. Ляпунов и А.В. Пушкин считают, что данное преступление может
совершаться только с прямым умыслом. Однако как же тогда квалифицировать
действия лица, осуществляющего распространение машинных носителей
информации (дискет, CD-дисков), содержащих вредоносные программы,
достоверно знающего о вредоносных последствиях такой программы (хотя бы
по этикетке компакт-диска), но вместе с тем абсолютно безразлично к ним
относящихся? На наш взгляд, данное лицо совершает распространение
вредоносных программ для ЭВМ именно с косвенным умыслом.
Вместе с тем нельзя согласиться с мнением профессора С.В.Бородина,
считающего возможным совершение анализируемого преступления по
неосторожности в виде легкомыслия. Как минимум, законодатель в
диспозиции ст. 273 дал четкое указание на заведомый характер
деятельности виновного. Уже это не позволяет признать возможным
совершение данного преступления по неосторожности.
Заметим, что в процессе отладки создаваемой программы могут проявиться
случайные результаты, возникшие, например, в из-за ошибок разработчика,
которые могут привести к указанным в ст. 273 последствиям: уничтожению,
блокированию, модификации или копированию информации, нарушению работы
ЭВМ, их системы или сети. При этом подобный результат будет полной
неожиданностью для самого разработчика. Например, знаменитый
саморазмножающийся «червь» Морриса стал знаменитым только потому, что в
работоспособных копиях программы отказал механизм самоуничтожения,
регулирующий количество одновременно работающих копий. Был ли в этом
умысел юного дарования или простая ошибка проектирования программы, суд
так и не разобрался. По российскому законодательству, в подобных
ситуациях лицо не будет нести уголовную ответственность, поскольку
указанные последствия не охватываются его умыслом.
Факультативные признаки субъективной стороны: мотивами совершения
анализируемого деяния чаще всего бывают корысть либо хулиганские
побуждения, но могут быть и соображения интереса, чувство мести; не
исключено совершение их с целью скрыть другое преступление и т.д.
Субъектом анализируемого состава преступления может быть любое
физическое вменяемое лицо, достигшее к моменту совершения преступления
16-летнего возраста. Если создание, использование или распространение
вредоносных программ для ЭВМ совершил представитель юридического лица,
то уголовной ответственности подлежит непосредственный исполнитель.
Рассмотрим механизм совершения создания, использования и распространения
вредоносных программ для ЭВМ на примере хищения с использованием
программных средств.
Большую часть ценных бумаг, в том числе акций, векселей, их владельцы,
не желая подвергать себя дополнительному риску, хранят в регистраторах
или депозитариях (специализированных хранилищах) различных коммерческих
фирм и коммерческих банков. При этом иногда передача ценных бумаг
осуществляется совместно с их предыдущим держателем, получающим таким
образом доступ к информации, которая должна быть конфиденциальной
(количество, номиналы, номера векселей, реквизиты юридической фирмы,
копии документов с оттисками печатей предприятия и подписями должностных
лиц-распорядителей по счетам ценных бумаг).
Такая же служебная информация на рынке ценных бумаг может быть получена
и использована в преступных целях через лиц, обладающих ею в силу своего
служебного положения, трудовых обязанностей или договора, заключенного с
эмитентом. К таким лицам относятся: члены органов управления эмитента
или профессиональные участники рынка ценных бумаг (как юридические, так
и физические лица, аудиторы эмитента или этого участника, служащие
государственных контролирующих органов).
На ценные бумаги (чаще всего акции предприятия-эмитента) составляется
реестр (на бумажном, магнитном носителе, в компьютере и пр.)
представляющий собой список зарегистрированных владельцев с указанием
количества, номинальной стоимости и категории принадлежащих им именных
ценных бумаг, составленный по состоянию на любую установленную дату и
дозволяющий идентифицировать этих владельцев, количество и категорию
принадлежащих им ценных бумаг. Держателем реестра может быть эмитент или
профессиональный участник рынка ценных бумаг, осуществляющий
деятельность по ведению реестра на основании поручения эмитента. В
случае если число владельцев превышает 500, держателем реестра должна
быть независимая специализированная организация, являющаяся
профессиональным участником рынка ценных бумаг. При этом регистратор
имеет право делегировать часть своих функций другим регистраторам,
однако договор на ведение реестра заключается только с одним юридическим
лицом, которое и несет всю ответственность за сохранность ценных бумаг
перед эмитентом.
Используя доступ к необходимой информации преступникам остается войти в
компьютер, в котором хранятся сведения по ценным бумагам, или же
изготовить необходимый набор документов, позволяющих завладеть
находящимися на хранении в регистраторе или депозитарии ценными бумагами
и сбыть их раньше, чем будет установлен факт их похищения.
Одним из способов совершения подобных преступлений является Создание
специальных программ, которые, попадая в информационно-вычислительные
системы, начинают выполнять новые, не планировавшиеся законным
владельцем функции, с одновременным сохранением прежней ее
работоспособности.
С их помощью в систему электронных расчетов (записей) вносится подложная
операция на перечисление (зачисление) денежных средств, ценных бумаг на
определенный счет или счета. Затем из данного кредитно-финансового
учреждения происходит перечисление денежных средств в заранее
подобранные банковские либо иные учреждения, позволяющие произвести их
обналичивание и получение. В целях маскировки суммы перечисляются в
небольших количествах, и накопление происходит за счет большого объема
операций.
Кроме того, эти программы могут работать (или каждый раз срабатывать)
при определенных условиях или по достижении определенного момента
времени. (Например, служащий банка получает похищенные деньги переводом
«от самого себя», находясь при этом в отпуске за границей).
Наглядно иллюстрирует возможности хищения с использованием компьютерной
техники следующий пример. Анализ базы данных одного из депозитариев,
осуществлявших операции с ценными бумагами, показал, что в результате
воздействия на файлы баз данных сторонним программным обеспечением стало
возможным создание ничем не обеспеченного количества акций для
последующего их сбыта. Примерная схема воздействия выглядит следующим
образом:
Выбирался лицевой счет (чаще иногороднего клиента). На этот счет
(назовем его накопительным) с помощью стороннего программного
обеспечения производилось фиктивное списание акций с большой группы
счетов для накопления их значительного количества.
Для обеспечения баланса системы расчетов сторонним программным
обеспечением была создана фиктивная запись, никому не принадлежащая, с
отрицательным количеством акций, равным сумме акций всех накопительных
счетов. В итоге на счете, реально содержащем иное количество акций,
создавался значительный пакет акций, который с точки зрения системы
расчетов имел легальный статус.
Владелец накопительного счета или его доверенное лицо (иногда с
фиктивной доверенностью) оформляли в депозитарии «легальный» перевод со
своего счета на счет другого регионального депозитария. Сотрудники
депозитария оформляли перевод. Таким образом, происходила легализация
фиктивных акций.
На накопительном счете восстанавливалось истинное количество акций, и
уничтожались все следы воздействия сторонним программным обеспечением.
Часть 2 ст. 273 УК РФ в качестве квалифицирующего признака преступления
предусматривает наступление тяжких последствий. Следовательно,
квалифицированный состав рассматриваемого преступления сконструирован по
типу материального состава. В силу этого обстоятельства для признания
лица виновным в совершении преступления, ответственность за которое
наступает по ч.2 ст. 273 УК РФ, необходимо установить, что факт
наступления тяжких последствий является следствием создания,
использования или распространения вредоносных программ для ЭВМ или
машинных носителей с такими программами, то есть действий, образующих
объективную сторону преступления.
Ю.И.Ляпунов и А.В.Пушкин к таким тяжким последствиям относят: причинение
смерти или тяжкого вреда здоровью хотя бы одному человеку, причинение
средней тяжести вреда здоровью двум и более лицам, массовое причинение
легкого вреда здоровью людей, наступление экологических катастроф,
транспортных и производственных аварий, повлекших длительную остановку
транспорта или производственного процесса, дезорганизацию работы
конкретного юридического лица, причинение крупного материального ущерба
и т.п.
Специфика квалифицированного состава преступления заключается в том, что
оно совершается с двумя формами вины, то есть характеризуется умыслом
относительно факта создания, использования или распространения
вредоносной программы для ЭВМ и неосторожностью (легкомыслием либо
небрежностью) относительно наступления тяжких последствий. Это означает,
что причинение тяжких последствий не охватывается умыслом виновного,
однако он предвидит возможность их наступления, но без достаточных к
тому оснований самонадеянно рассчитывает на их предотвращение, либо не
предвидит, хотя должен был и мог предвидеть возможность наступления
тяжких последствий.
§ 4. Нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети
Статья 274 УК РФ устанавливает уголовную ответственность за нарушение
правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к
ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или
модификацию охраняемой законом информации ЭВМ, вели это деяние причинило
существенный вред (ч.1) или повлекло по Неосторожности тяжкие
последствия (ч.2).
Анализируемая статья имеет целью предупреждение невыполнения
пользователями своих профессиональных обязанностей, влияющих на
сохранность хранимой и перерабатываемой информации.
Среди преступлений, предусмотренных гл. 28 УК РФ, данное преступление
является наименее распространенным. Так, по данным ГИЦ МВД России, в
1997 г. в Российской Федерации не было зарегистрировано ни одного факта
нарушения правил эксплуатации ЭВМ, их системы или сети, в 1998 г. – одно
преступление, в 1999 г. – ни одного, в 2000 г. их количество составило
44, а по итогам 2001 г. число фактов нарушения правил эксплуатации ЭВМ
впервые преодолело отметку 100. Вместе с тем количество фактов
неправомерного доступа к охраняемой законом компьютерной информации
(преступления, ответственность за которое предусмотрена ст. 272 УК РФ)
превышает приведенные показатели более чем в 10 раз, а количество фактов
создания, использования и распространения вредоносных программ для ЭВМ
(преступления, ответственность за которое предусмотрена ст. 273 УК РФ) –
более, чем в 3 раза. На наш взгляд, приведенные данные свидетельствуют
прежде всего о недостаточной работе правоохранительных органов, по
выявлению фактов данных преступлений.
Недостаточно разработана и уголовно-правовая характеристика
рассматриваемого преступления.
Уголовный закон (ст. 274 УК РФ) не дает определения нарушения правил
эксплуатации ЭВМ, системы ЭВМ или их сети, он раскрывает лишь его
последствия: уничтожение, блокирование или модификацию охраняемой
законом информации ЭВМ. Таким образом, диспозиция ст. 274 носит
бланкетный (отсылочный) характер. Представляется, что в этом состоит
один из недостатков действующего уголовного законодательства в области
защиты компьютерной информации.
Родовым объектом нарушения правил эксплуатации ЭВМ, системы ЭВМ или их
сети является совокупность общественных отношений, составляющих
содержание общественной безопасности и общественного порядка. Видовым
объектом посягательства выступает совокупность общественных отношений в
части правомерного и безопасного использования компьютерной информации и
информационных ресурсов. Непосредственным объектом анализируемого
преступления являются общественные отношения в сфере соблюдения
установленных правил, обеспечивающих нормальную эксплуатацию ЭВМ,
системы ЭВМ или их сети. Дополнительный объект нарушения правил
эксплуатации ЭВМ, их системы или сети факультативен. Его наличие зависит
от вида вреда, причиненного правам и законным интересам потерпевшего.
Дополнительным объектом может, например, выступать право собственности,
авторское право, право на неприкосновенность частной жизни, личную и
семейную тайну, общественные отношения по охране окружающей среды,
внешняя безопасность Российской Федерации и др.
В диспозиции ст. 274 УК РФ содержится прямое указание на предмет
преступного посягательства. Им является компьютерная информация.
Думается, что текст ст. 274 УК РФ содержит серьезный недостаток,
заключающийся в отсутствии возможности привлечения лица к уголовной
ответственности за нарушение правил обращения с машинными носителями
информации, повлекшее предусмотренные диспозицией статьи последствия.
Объективная сторона преступного нарушения правил эксплуатации ЭВМ,
системы ЭВМ или их сети состоит из общественно опасного деяния в виде
действия или бездействия, наступивших последствий этого деяния, а также
причинной связи между ними.
Действия или бездействия, составляющие объективную сторону состава
рассматриваемого преступления выражаются в нарушении правил эксплуатации
ЭВМ, системы ЭВМ или их сети. Под такими правилами понимаются,
во-первых, гигиенические требования к видеодисплейным терминалам,
персональным электронно-вычислительным машинам и организации работы,
во-вторых, техническая документация на приобретаемые компьютеры,
в-третьих, конкретные, принимаемые в определенном учреждении или
организации, оформленные нормативно и подлежащие доведению до сведения
соответствующих работников правила внутреннего распорядка, в-четвертых,
требования по сертификации компьютерных сетей и оборудования, в-пятых –
должностные инструкции конкретных сотрудников, В-шестых, правила
пользования компьютерными сетям.
Положение о сертификации средств защиты информации, утвержденное
постановлением Правительства РФ от 26 июня 1995 г. № 608, устанавливает
порядок сертификации средств защиты информации в Российской Федерации и
ее учреждениях за рубежом. В соответствии с ним технические,
криптографические, программные и другие средства, предназначенные для
защиты сведений, составляющих государственную тайну, средства, в которых
они реализованы, а также средства контроля эффективности защиты
информации являются средствами защиты информации. Указанные средства
подлежат обязательной сертификации, которая проводится в рамках систем
сертификации средств защиты информации. При этом криптографические
(шифровальные) средства должны быть отечественного производства и
выполнены на основе криптографических алгоритмов, рекомендованных
Федеральным агентством правительственной связи и информации при
Президенте Российской Федерации.
Системы сертификации (то есть совокупность участников сертификации,
осуществляющих ее по установленным правилам) создаются Государственной
технической комиссией при Президенте Российской Федерации, Федеральным
агентством правительственной связи и информации при Президенте
Российской Федерации, Федеральной службой безопасности Российской
Федерации, Министерством обороны Российской Федерации, Службой внешней
разведки Российской Федерации, уполномоченными проводить работы по
сертификации средств защиты информации в пределах Компетенции,
определенной для них законодательными и иными нормативными актами
Российской Федерации.
Сертификация средств защиты информации осуществляется на основании
требований государственных стандартов, нормативных документов,
утверждаемых Правительством Российской Федерации и федеральными органами
по сертификации в пределах их компетенции. Координацию работ по
организации сертификации средств защиты информации осуществляет
межведомственная комиссия по защите государственной тайны (далее
именуется – межведомственная комиссия). В каждой системе сертификации
разрабатываются и согласовываются с межведомственной комиссией положение
об этой системе сертификации, а также перечень средств защиты
информации, подлежащих сертификации, и требования, которым эти средства
должны удовлетворять.
Изготовители: производят (реализуют) средства защиты информации только
при наличии сертификата; извещают орган по сертификации, проводивший
сертификацию, об изменениях в технологии изготовления и конструкции
(составе) сертифицированных средств защиты информации; маркируют
сертифицированные средства защиты информации знаком соответствия в
порядке, установленном для данной системы сертификации; указывают в
сопроводительной технической документации сведения о сертификации и
нормативных документах, которым средства защиты информации должны
соответствовать, а также обеспечивают доведение этой информации до
потребителя; применяют сертификат и знак соответствия, руководствуясь
законодательством Российской Федерации и правилами, установленными для
данной системы сертификации; обеспечивают соответствие средств защиты
информации требованиям нормативных документов по защите информации;
обеспечивают беспрепятственное выполнение своих полномочий должностными
лицами органов, осуществляющих сертификацию, и контроль за
сертифицированными средствами защиты информации; прекращают реализацию
средств защиты информации при несоответствии их требованиям нормативных
документов или по истечении срока действия сертификата, а также в случае
приостановки действия сертификата или его отмены. Изготовители должны
иметь лицензию на соответствующий вид деятельности.
Изготовитель для получения сертификата направляет в орган по
сертификации средств защиты информации заявку на проведение
сертификации, к которой могут быть приложены схема проведения
сертификации, государственные стандарты и иные нормативные и
методические документы, требованиям которых должны соответствовать
сертифицируемые средства защиты информации. Орган по сертификации
средств защиты информации в месячный срок после получения заявки
направляет изготовителю решение о проведении сертификации с указанием
схемы ее проведения, испытательной лаборатории, осуществляющей испытания
средств защиты информации, и нормативных документов, требованиям которых
должны соответствовать сертифицируемые средства защиты информации, а при
необходимости – решение о проведении и сроках предварительной проверки
производства средств защиты информации. Для признания зарубежного
сертификата изготовитель направляет его копию и заявку на признание
сертификата в федеральный орган по сертификации, который извещает
изготовителя о признании сертификата или необходимости проведения
сертификационных испытаний в срок не позднее одного месяца после
получения указанных документов. В случае признания зарубежного
сертификата федеральный орган по сертификации оформляет и выдает
изготовителю сертификат соответствия установленного образца.
Сертификация импортируемых средств защиты информации проводится по тем
же правилам, что и отечественных.
Основными схемами проведения сертификации средств защиты информации
являются: для единичных образцов средств защиты информации – проведение
испытаний этих образцов на соответствие требованиям по защите
информации; для серийного производства средств защиты информации –
проведение типовых испытаний образцов средств защиты информации на
соответствие требованиям по защите информации и последующий
инспекционный контроль за стабильностью характеристик сертифицированных
средств защиты информации, определяющих выполнение этих требований.
Кроме того, допускается предварительная проверка производства по
специально разработанной программе.
Срок действия сертификата не может превышать пяти лет.
Представляет практический интерес вопрос о том, будет ли наступать
уголовная ответственность за нарушение правил пользования глобальными
сетями, например сетью Интернет. Представляется, что на данный вопрос
следует ответить положительно.
Сеть Интернет представляет собой глобальное объединение компьютерных
сетей и информационных ресурсов, принадлежащих множеству различных людей
и организаций. Это объединение является децентрализованным, и единого
общеобязательного свода правил (законов) пользования сетью Интернет не
установлено. Существуют, однако, общепринятые нормы работы в сети
Интернет, направленные на то, чтобы деятельность каждого пользователя
сети не мешала работе других пользователей. Фундаментальное положение
этих норм таково: правила использования любых ресурсов сети Интернет (от
почтового ящика до канала связи) определяют владельцы этих ресурсов, и
только они.
Развитие Сети привело к тому, что одной из основных проблем
пользователей стал избыток информации. Поэтому сетевое сообщество
выработало специальные правила, направленные на ограждение пользователя
от ненужной (незапрошенной) информации (спама). В частности, являются
недопустимыми:
1. Массовая рассылка не согласованных предварительно электронных писем
(mass mailing). Под массовой рассылкой подразумевается как рассылка
множеству получателей, так и множественная рассылка одному получателю.
Здесь и далее под электронными письмами понимаются сообщения электронной
почты, ICQ и других подобных средств личного обмена информацией.
2. Несогласованная отправка электронных писем объемом более одной
страницы или содержащих вложенные файлы.
3. Несогласованная рассылка электронных писем рекламного, коммерческого
или агитационного характера, а также писем, содержащих грубые и
оскорбительные выражения и предложения.
Размещение в любой конференции Usenet или другой конференции, форуме или
электронном списке рассылки статей, которые не соответствуют тематике
данной конференции или списка рассылки (off-topic). Здесь и далее под
конференцией понимаются телеконференции (группы новостей) Usenet и
другие конференции, форумы и электронные списки рассылки.
Размещение в любой конференции сообщений рекламного, коммерческого или
агитационного характера, кроме случаев, когда такие сообщения явно
разрешены правилами такой конференции либо их размещение было
согласовано с владельцами или администраторами такой конференции
предварительно.
Размещение в любой конференции статьи, содержащей приложенные файлы,
кроме случаев, когда вложения явно разрешены правилами такой конференции
либо такое размещение было согласовано с владельцами или
администраторами такой конференции предварительно.
Рассылка информации получателям, высказавшим ранее явное нежелание
получать эту информацию.
Использование собственных или предоставленных информационных ресурсов
(почтовых ящиков, адресов электронной почты, страниц WWW и т.д.) в
качестве контактных координат при совершении любого из вышеописанных
действий вне зависимости от того, из какой точки Сети были совершены эти
действия.
Не допускается осуществление попыток несанкционированного доступа к
ресурсам Сети, проведение или участие в сетевых атаках и сетевом взломе
за исключением случаев, когда атака на сетевой ресурс проводится с
явного разрешения владельца или администратора этого ресурса. В том
числе запрещены:
Действия, направленные на нарушение нормального функционирования
элементов Сети (компьютеров, другого оборудования или программного
обеспечения), не принадлежащих пользователю.
Действия, направленные на получение несанкционированного доступа, в том
числе привилегированного, к ресурсу Сети (компьютеру, другому
оборудованию или информационному ресурсу), последующее использование
такого доступа, а также уничтожение или модификация программного
обеспечения или данных, не принадлежащих пользователю, без согласования
с владельцами этого программного обеспечения или данных либо
администраторами настоящего информационного ресурса.
Передача компьютерам или оборудованию Сети бессмысленной или бесполезной
информации, создающей паразитную нагрузку на эти компьютеры или
оборудование, а также промежуточные участки сети, в объемах, превышающих
минимально необходимые для проверки связности сети и доступности
отдельных ее элементов.
Помимо вышеперечисленного, владелец любого информационного или
технического ресурса Сети может установить для этого ресурса собственные
правила его использования.
Правила использования ресурсов либо ссылка на них публикуются
владельцами или администраторами этих ресурсов в точке подключения к
таким ресурсам и являются обязательными к исполнению всеми
пользователями этих ресурсов. Пользователь обязан соблюдать правила
использования ресурса либо немедленно отказаться от его использования.
Значительная часть ресурсов Сети не требует идентификации пользователя и
допускает анонимное использование. Однако в ряде случаев от пользователя
требуется предоставить информацию, идентифицирующую его и используемые
им средства доступа к Сети. При этом пользователю запрещается:
Использование идентификационных данных (имен, адресов, телефонов и т.п.)
третьих лиц, кроме случаев, когда эти лица уполномочили пользователя на
такое использование. В то же время пользователь должен принять меры по
предотвращению использования ресурсов Сети третьими лицами от его имени
(обеспечить сохранность паролей и прочих кодов авторизованного доступа).
Фальсификация своего IP-адреса, а также адресов, используемых в других
сетевых протоколах, при передаче данных в Сеть.
Использование несуществующих обратных адресов при отправке электронных
писем.
При работе в сети Интернет пользователь становится ее полноправным
участником, что создает потенциальную возможность для использования
сетевых ресурсов, принадлежащих пользователю, третьими лицами. В связи с
этим пользователь должен принять надлежащие меры по такой настройке
своих ресурсов, которая препятствовала бы недобросовестному
использованию этих ресурсов третьими лицами, а также оперативно
реагировать при обнаружении случаев такого использования.
Примерами потенциально проблемной настройки сетевых ресурсов являются:
открытый ретранслятор электронной почты (SMTP-relay);
общедоступные для неавторизованной публикации серверы новостей
(конференций, групп);
средства, позволяющие третьим лицам неавторизованно скрыть источник
соединения (открытые прокси-серверы и т.п.);
общедоступные широковещательные адреса локальных сетей;
электронные списки рассылки с недостаточной авторизацией подписки или
без возможности ее отмены.
Таким образом, нарушения правил эксплуатации ЭВМ могут быть подразделены
на физические (неправильное подключение периферийного оборудования,
отсутствие устройств бесперебойного питания, нарушение теплового режима
в помещении, неправильное подключение ЭВМ к источникам питания,
нерегулярное техническое обслуживание, использование несертифицированных
средств защиты и самодельных узлов и приборов и пр.) и интеллектуальные
(невыполнение процедуры резервного копирования, несанкционированная
замена программного обеспечения, параметров настройки системы ЭВМ или
компьютерной сети и пр.).
При этом вряд ли можно согласиться с точкой зрения Ю.И.Ляпунова и
B.C.Максимова, отмечавших что «поскольку речь идет о правилах
эксплуатации именно ЭВМ, т.е. аппаратно-технической структуры, то и
нарушение их должно затрагивать только техническую сторону несоблюдения
требований безопасности компьютерной информации, а не организационную
или правовую. К таковым можно отнести: блокировку системы защиты от
несанкционированного доступа, нарушение правил электро- и
противопожарной безопасности, использование ЭВМ в условиях, не
отвечающих тем, которые установлены документацией по ее применению (по
температурному режиму, влажности, величине магнитных полей и т.п.),
отключение сигнализации, длительное оставление без присмотра и многие
другие». Представляется, что пренебрежение организационными мерами
защиты компьютерной информации (предоставление посторонним лицам доступа
в служебное помещение, несанкционированное разглашение сетевого имени и
пароля законного пользователя, уже упомянутое невыполнение процедуры
резервного копирования и пр.) также составляют деяния, подпадающие под
запрет, установленный диспозицией ст. 274 УК РФ.
Следующим элементом объективной стороны состава преступления,
предусмотренного ст. 274 УК РФ являются вредоносные последствия. Их
законодатель предусмотрел в виде уничтожения, блокирования или
модификации охраняемой законом компьютерной информации, если это деяние
повлекло существенный вред (ч. 1 ст. 274) или повлекло по неосторожности
тяжкие последствия (ч.2 ст. 274).
Под уничтожением информации следует понимать такое изменение ее
первоначального состояния (полное либо частичное удаление информации с
машинных носителей), при котором она перестает существовать в силу
утраты основных качественных признаков. При этом не имеет значения,
имелась ли у потерпевшего копия уничтоженной виновным информации или
нет.
Блокирование компьютерной информации представляет собой закрытие
информации, характеризующееся недоступностью ее использования по прямому
назначению со стороны законного пользователя, собственника или
владельца.
Модификация заключается в изменении первоначального состояния информации
(например, реструктурирование или реорганизация базы данных, удаление
или добавление записей, содержащихся в ее файлах, перевод программы для
ЭВМ или базы данных с одного языка на другой), не меняющей сущности
объекта.
Третьим необходимым признаком объективной стороны нарушения правил
эксплуатации ЭВМ, системы ЭВМ или их сети является причинная связь между
противозаконными действиями виновного и наступившими вредными
последствиями. Ответственность по ст.273 УК РФ наступает только в том
случае, если преступные последствия, альтернативно отраженные в ее
диспозиции, явились именно необходимым следствием, закономерно вызванным
неправомерным доступом лица к охраняемой законом компьютерной
инфор-мации, а не наступили в силу иных причин.
Под существенным вредом в ст. 274 УК РФ понимаются утрата важной и
информации, перебои в производственной деятельности, необходимость
сложного или длительного ремонта средств вычислительной техники, их
переналадки, длительный разрыв связи между ЭВМ, объединенных в
компьютерную сеть, причинение значительного материального ущерба
законному пользователю или владельцу информации, причинение морального
вреда личности путем разглашения сведений конфиден-циального характера,
составляющих личную, семейную, нотариальную, адвокатскую, врачебную
тайну. Данное понятие является оценочным и определение объема
причиненного собственнику информационной системы вреда в результате
нарушения правил эксплуатации ЭВМ должно осуществляться с учетом
совокупности всех полученных данных.
Под указанными в ч. 2 ст. 274 УК РФ тяжкими последствиями
(квалифицирующий признак) нарушения правил эксплуатации ЭВМ понимаются
безвозвратная утрата особо ценной информации, выход из строя важных
технических средств (в том числе оборонного значения, авианавигационной
техники), повлекшие аварии, катастрофы, гибель людей.
Субъективную сторону преступления, предусмотренного ч. 1 ст. 274 УК РФ
составляет вина в виде прямого или косвенного умысла. Мотив и цель
нарушения правил эксплуатации ЭВМ имеют факультативное значение.
Преступление, предусмотренное ч. 2 ст. 274, совершается с двойной формой
вины: умышленной (в виде прямого или косвенного умысла) по отношению к
нарушению правил эксплуатации ЭВМ, их системы или сети, и неосторожной
по отношению к наступившим тяжким последствиям.
Субъект анализируемого преступления – специальный. Им может быть любое
физическое вменяемое лицо, достигшее к моменту совершения преступления
16-летнего возраста, которое в силу характера выполняемой трудовой,
профессиональной или иной деятельности, имеет беспрепятственный доступ к
ЭВМ, их системе или сети, на которое в силу закона, иного нормативного
акта возложена обязанность соблюдения правил эксплуатации ЭВМ. Закон не
требует, чтобы это лицо занимало определенную должность, занималось
определенной деятельностью, получило определенное образование. Главное,
чтобы оно имело доступ к ЭВМ.
ГЛАВА 2. Криминалистическая характеристика преступлений в сфере
компьютерной информации
Изучение материалов уголовных дел, опрос сотрудников органов внутренних
дел и других правоохранительных органов, занимающихся расследованием
преступлений в сфере компьютерной информации, личный опыт и наблюдения
позволяют сделать вывод, что практические работники правоохранительных
органов испытывают потребность в научно обоснованной методике
расследования данной категории преступлений. В целях научного осмысления
проблемы, прежде всего, необходимо разработать криминалистическую
характеристику данной группы преступлений. Это, по мнению Н.П.Яблокова,
– обязательный этап разработки методик по расследованию отдельных видов
преступлений.
Н.Г.Шурухнов определяет криминалистическую характеристику преступления
как отражение системы криминалистических черт, свойств, признаков
преступления, отобразившихся в объективной действительности. Она,
отмечает далее указанный автор, содержит данные о типичных способах
совершения и сокрытия преступления, механизме преступного
посягательства, следах, обстановке, в которой готовилось и происходило
преступное событие, предметах преступного посягательства, чертах
личности преступника и потерпевшего, а также обстоятельствах,
способствующих совершению преступлений. Роль этих данных состоит в том,
что они позволяют увидеть связи между различными обстоятельствами
совершения преступления и в условиях недостатка исходной информации
выдвинуть обоснованные версии, выбрать оптимальный путь по установлению
лиц, совершивших преступление. Думается, безусловно, прав В.П.Лавров,
отмечавший, что знание криминалистической характеристики позволяет
делать выводы об оптимальных путях раскрытия и расследования
преступления.
Под криминалистической характеристикой преступлений в сфере компьютерной
информации мы подразумеваем систему обобщенных данных о типичных следах,
способе совершения и механизме преступления, личности преступника и
других существенных чертах, свойствах и особенностях преступления и
сопутствующих ему обстоятельствах, способствующую оптимизации
расследования и практическому применению средств, приемов и методов
криминалистики в раскрытии и расследовании данного преступления. Ее
составляют следующие основные данные: о способах совершения преступления
и механизме противоправного деяния; способах сокрытия преступлений в
сфере компьютерной информации; орудиях (средствах) совершения
противоправного деяния; обстановке и месте совершения преступления;
следах преступления; предмете преступного посягательства; лицах,
совершающих данные преступления. Рассмотрим перечисленные данные более
подробно.
§ 1. Данные о способах совершения преступления
Под способом совершения преступления понимается система объединенных
единым замыслом действий преступника (и связанных с ними лиц) по
подготовке, совершению и сокрытию преступления, детерминированных
объективными и субъективными факторами и сопряженных с использованием
соответствующих орудий и средств.
На сегодняшний день в криминалистике нет единой классификации способов
совершения преступлений в сфере компьютерной информации. Одна из
классификаций предложена А.Н.Родионовым и А.В.Кузнецовым. Согласно ей,
способы совершения компьютерных преступлений можно подразделить: 1) на
«изъятие средств компьютерной техники; 2) неправомерный доступ к
компьютерной информации: преступления, совершенные в отношении
компьютерной информации, находящейся в глобальных компьютерных сетях;
преступления, совершенные в отношении компьютерной информации,
находящейся в ЭВМ, не являющихся компьютером в классическом понимании
этого слова (пейджер, сотовый телефон, кассовый аппарат и т.п.);
3) изготовление или распространение вредоносных программ (вирусы,
программы – взломщики и т.п.); 4) перехват информации: электромагнитный;
непосредственный; 5) нарушение авторских прав (компьютерное пиратство);
6) комплексные методы.
Данная классификация не лишена недостатков. Во-первых, фактически
авторами за основу классификации взят непосредственный объект
преступного посягательства, а не способ совершения преступления.
Во-вторых, неправомерный доступ к компьютерной информации, как показано
нами выше, совершается гораздо большим количеством способов, чем
отметили авторы (в частности, ими не отмечены непосредственные способы).
В-третьих, способы перехвата информации относятся к способам
неправомерного доступа к ней, и выделение их в качестве самостоятельной
группы необоснованно. И в-четвертых, изъятие средств компьютерной
техники представляет собой преступление против собственности, а не в
сфере компьютерной информации.
Поэтому представляется более целесообразным рассмотреть отдельно способы
совершения неправомерного доступа к компьютерной информации; создания,
использования и распространения вредоносных программ для ЭВМ и нарушения
правил эксплуатации ЭВМ, их системы или сети.
Способы совершения неправомерного доступа к компьютерной информации
Способы совершения неправомерного доступа компьютерной информации можно
объединить в три основные группы.
Первая группа – это способы непосредственного доступа. При их реализации
информация уничтожается, блокируется, модифицируется, копируется, а
также может нарушаться работа ЭВМ, системы ЭВМ или их сети путем отдачи
соответствующих команд с компьютера, на котором информация находится.
Непосредственный доступ может осуществляться как лицами, работающими с
информацией (имеющими отношение к этой работе), так и лицами, специально
проникающими в закрытые зоны и помещения, где производится обработка
информации. Например, человек, имеющий умысел на противоправный доступ к
компьютерной информации, держа в руках определенные предметы,
указывающие на его «принадлежность» к работе на компьютере (дискеты,
распечатки и пр.), прохаживается около запертой двери помещения, где
расположен терминал. Дождавшись, когда в названное помещение войдет
работающий в нем сотрудник, он входит туда вслед за ним, а потом через
определенный промежуток времени при благоприятной для этого обстановке
совершает неправомерный доступ к компьютерной информации.
Необходимо отметить, что описанный способ в настоящее время менее
распространен по причине децентрализации обработки информации. Практика
показывает, что преступники компьютерную информацию чаще перехватывают
при ее передаче по телекоммуникационным каналам и компьютерным сетям.
Сделать это им и проще, и безопаснее, чем при непосредственном
проникновении в помещение. Примером совершения неправомерного доступа к
компьютерной информации может являться дело по обвинению К. по ч.1 ст.
272 УК РФ. В ходе расследования было установлено, что он, находясь на
работе в качестве электромеханика Переяславского районного узла
электрической связи, на принесенную с собой дискету скопировал с
компьютера готовящийся к изданию телефонный справочник района им. Лазо.
Эту дискету он принес домой и скопировал полученную информацию на
жесткий диск своего компьютера, а затем на принтере отпечатал 4
экземпляра названного справочника. Таким образом, К. умышленно,
незаконно скопировал информацию, хранившуюся в электронно-вычислительной
машине.
Другой способ непосредственного доступа к компьютерной информации
заключается в неправомочном использовании преступником технических
отходов информационного процесса, оставленных пользователем после работы
с компьютерной техникой. Он осуществляется в двух формах: физической и
электронной.
Физический поиск отходов сводится к обследованию рабочих мест
программистов, содержимого мусорных баков, емкостей для технологических
отходов для сбора оставленных или выброшенных физических носителей
информации, а также обследованию различной документации, оставленной на
рабочем месте: ежедневников, книг рабочих записей, перекидных календарей
и т.п. в целях поиска черновых записей, паролей доступа в систему и пр.
Электронный вариант требует просмотра и последующего исследования
данных, находящихся в памяти компьютера. Он основан на некоторых
технологических особенностях функционирования средств компьютерной
техники. Например, данные, записанные в последний момент работы, не
всегда стираются из оперативной памяти компьютерной системы.
В названных целях могут просматриваться и восстанавливаться стертые
файлы. В данном случае предполагается обязательное использование в
качестве орудия преступления различных программных средств специального
назначения. Одним из них является программный комплекс PC Tools Deluxe,
содержащий универсальную программу восстановления стертых файлов.
Вторая группа способов совершения рассматриваемого преступления включает
способы опосредованного (удаленного) доступа к компьютерной информации.
При этом неправомерный доступ к определенному компьютеру и находящейся
на нем информации осуществляется с другого компьютера, находящегося на
определенном расстоянии, через компьютерные сети. Способы
опосредованного доступа к компьютерной информации, в свою очередь, можно
разделить на две подгруппы: способы преодоления парольной а также иной
программной или технической защиты и последующего подключения к чужой
системе; способы перехвата информации.
К способам первой подгруппы относятся:
Подключение к линии связи законного пользователя (например, к телефонной
линии) и получение тем самым доступа к его системе. Подключившись,
преступник дожидается сигнала, означающего окончание работы,
перехватывает его «на себя», а потом, когда законный пользователь
закончил сеанс работы, осуществляет доступ к его системе. Данный способ
сравним с работой двух параллельных телефонных аппаратов, подключенных к
одному абонентскому номеру: если один телефон находится в активном
режиме (ведется разговор с абонентом) и на другом аппарате поднимается
трубка, то когда разговор по первому телефону закончен и трубка
положена, он может быть продолжен по второму.
Проникновение в чужие информационные сети путем автоматического перебора
абонентских номеров с последующим соединением с тем или иным компьютером
(перебор осуществляется до тех пор, пока на другом конце линии не
«отзовется чужой» компьютер). Поскольку в подобном случае один
несанкционированный пользователь может быть легко обнаружен, подобный
«электронный взлом» осуществляется одновременно с нескольких рабочих
мест: в заданное время несколько (более десяти) персональных компьютеров
одновременно предпринимают попытку несанкционированного доступа. Это
может привести к тому, что несколько «атакующих» компьютеров отсекаются
системой защиты, а остальные получают требуемый доступ. Один из
«прорвавшихся» компьютеров блокирует систему статистики сети, которая
фиксирует все попытки доступа. В результате этого другие «прорвавшиеся»
компьютеры не могут быть обнаружены и зафиксированы. Часть из них
приступает к «взлому» нужного сектора сети, а остальные занимаются
фиктивными операциями в целях дезорганизации работы предприятия,
организации, учреждения и сокрытия преступления.
3. Проникновение в компьютерную систему с использованием чужих паролей,
выдавая себя за законного пользователя. При подобном способе незаконный
пользователь осуществляет подбор пароля для доступа к чужому компьютеру.
Подбор паролей может осуществляться двумя методами.
Первый: подбор паролей путем простого перебора всех возможных сочетаний
символов до тех пор, пока не будет установлена нужная комбинация. Для
реализации такого подбора существуют уже специально разработанные
программы, которые можно приобрести на «черном» компьютерном рынке.
Алгоритм их действия основан на использовании быстродействия современных
компьютеров при переборе всех возможных комбинаций букв, цифр и
автоматического соединения специальных символов, имеющихся на
стандартной клавиатуре персонального компьютера, и в случае совпадения
комбинации символов с оригиналом произведения.
Второй: «интеллектуальный» подбор паролей на основе имеющихся «словарей»
наиболее распространенных паролей, систематизированных по определенным
тематическим группам. Практика показывает, что данным методом вручную
вскрываются более 40% паролей. При этом наиболее распространенными
тематическими группами паролей являются следующие: имена, фамилии и
производные от них (22%); последовательность клавиш компьютера, повтор
символов (14%); даты рождения пользователя и его близких, а также их
комбинации (12%); интересы, хобби (9,5%); адрес, место рождения (5%);
номера телефонов или документов: паспортов, удостоверений личности и
пр.(3,5%).
Подобрав необходимый пароль (для подбора восьмизначного пароля требуется
несколько часов), незаконный пользователь получает доступ к компьютерной
информации и может проводить с ней любые действия под видом законного
пользователя: копировать ее, модифицировать, удалять, заставлять
программы производить требуемые операции, например, по переводу денежных
средств на свои счета, фальсификации платежных документов и пр.
Примером анализируемого способа неправомерного доступа к компьютерной
информации может являться деятельность гр. У., который, находясь в
помещении ТОО «Тройка»,-под предлогом проверки технического состояния
ЭВМ дал указание сотруднику З. произвести копирование компьютерной
информации с ЭВМ неизвестной гр. З. фирмы. С этой целью У. продиктовал
гр. З. номер телефона, к которому была подключена принадлежащая ЗАО
«Вокс» ЭВМ. Гр. З., выполняя указание своего непосредственного
начальника У. и в его присутствии, посредством находившегося в помещении
ТОО «Тройка» компьютера и подключенного к нему модема, а также данного
гр. У телефонного номера, установил компьютерную связь между ЭВМ ТОО
«Тройка» и компьютером ЗАО «Вокс». После этого гр. у, руководя
действиями гр. З., передал ему так называемый универсальный пароль,
позволяющий осуществить доступ к компьютерной информации. Используя этот
пароль, гр. З. произвел копирование содержащейся в компьютере ЗАО «Вокс»
информации в виде базы данных системных параметров 1-го транкового
радиоканала ЗАО «Вокс». В результате произошло копирование и
блокирование этой информации, повлекшее нарушение работы ЭВМ ЗАО «Вокс».
4. Разновидностью способа получения пароля для последующего незаконного
вхождения в компьютерную систему является так называемый социальный
инжиниринг («обратный социальный инжиниринг»). Это метод основан на
недостаточной бдительности пользователей, когда информация получается в
процессе беседы (телефонной, посредством обмена электронными
сообщениями) правонарушителями с пользователями системы. При этом
способе правонарушитель представляется либо системным администратором,
либо сотрудником обслуживающей компьютерной фирмы, либо сотрудником,
вновь поступившим на работу, и запрашивает у собеседника данные о
паролях доступа к системе. Данный способ широко применяется для
получения данных (имя, пароль) в целях подключения к компьютерной сети
Интернет за счет законных пользователей.
Интересен пример из зарубежной практики: преступник, являющийся законным
пользователем компьютерной сети, с рабочей станции передал сообщение
всем пользователям сервера о том, что его номер якобы изменен. В
качестве нового номера был назван номер собственного персонального
компьютера преступника, запрограммированный таким образом, чтобы
ответить аналогично серверу. Пользователи, посылавшие вызов, набирали
при этом свой личный код, что позволило преступнику получить
исчерпывающий список личных кодов пользователей.
Ко второй подгруппе способов опосредованного (удаленного) доступа к
компьютерной информации относятся способы ее непосредственного,
электромагнитного и других видов перехвата.
Непосредственный перехват осуществляется либо прямо через внешние
коммуникационные каналы системы, либо путем непосредственного
подключения к линиям периферийных устройств. При этом объектами
непосредственного «подслушивания» являются кабельные и проводные
системы, наземные микроволновые системы, системы спутниковой связи, а
также специальные системы правительственной связи.
Электромагнитный перехват. Современные технические средства позволяют
получить информацию без непосредственного подключения к компьютерной
системе: за счет перехвата излучений центрального процессора, дисплея,
коммуникационных каналов, принтера и т.д. Все это можно осуществить,
находясь на достаточном удалении от объекта перехвата. Например,
используя специальную аппаратуру, можно «снимать» информацию с
компьютера, расположенного в соседнем помещении, здании.
Впервые дистанционный перехват информации с монитора компьютера был
открыто продемонстрирован в марте 1985 г. в Каннах на международном
конгрессе по вопросам безопасности ЭВМ. Сотрудник голландской
телекоммуникационной РТТ Вим Ван Эк шокировал специалистов тем, что с
помощью разработанного им устройства из своего автомобиля, находящегося
на улице, «снял» данные с экрана монитора персонального компьютера,
установленного на 8-м этаже здания, расположенного в 100 м. от
автомобиля.
Отечественным примером совершения неправомерного доступа к компьютерной
информации подобным способом является дело по обвинению Л. и М. по п.
«а» ч.2 ст. 272 УК РФ. В ходе расследования было установлено, что М.
собственноручно у себя дома произвел демонтаж и переоборудовал заранее
приобретенные им сотовые телефоны фирмы «Моторолла» под микропроцессоры
со специальной программой. Изготовив таким образом два аппарата с
режимом автосканирования и шесть аппаратов с возможностями ввода с
клавиатуры скопированных номеров в электронные записные книжки, он
осуществлял неправомерный доступ к сети ЭВМ компании сотовой телефонной
связи «Вотек-Мобайл». Путем модернизации телефонного аппарата
«Моторолла» гр. М. была получена возможность фиксации в радиусе до 200
м. абонентского и серийного номера аппарата законного пользователя
сотовой телефонной сети с последующим занесением его в память
электронной записной книжки. Это позволяло производить телефонные звонки
с переделанных таким образом сотовых телефонных аппаратов бесплатно, за
счет законных клиентов сотовой сети.
К методам перехвата информации относится также аудиоперехват и
видеооптический перехват.
Аудиоперехват, или снятие информации по вибро-акустическому каналу,
имеет две разновидности: заходовую (заносную) и беззаходовую.
Первая заключается в установке инфинитивного телефона (подслушивающего
устройства – «таблетки», «клопа», «жучка» и т.п.) в аппаратуру средств
обработки информации: в различные технические устройства, на проводные
коммуникационные линии (радио, телефон, телевизионный кабель, кабель
охранно-пожарной сигнализации или электросеть и т.п.), а также в
различные конструкции инженерно-технических сооружений и бытовых
приборов, находящихся на объекте. Делается все это в целях перехвата
разговоров работающего персонала и звуковых сигналов технических
устройств (определение номера вызываемого абонента АТС и т.п.).
Установка «клопа» или иной разведывательной аппаратуры на объект
возможна тремя способами.
При первом необходимо скрытное или легендированное проникновение в
помещение, при втором требуется радиопередающая и звукозаписываю-щая
аппаратура, которая устанавливается во время постройки или ремонта
помещения, при третьем – специальная техника приобретается или заносится
самой потерпевшей стороной, даже не подозревающей об этом, например
монтируется в приобретаемые предметы.
К специальной технике, используемой для этого, относятся: спецмикрофоны
с возможным дистанционным управлением, диктофоны с длительной записью,
цифровые адаптивные фильтры типа АО-512, ОАС-256 и ОАС-1024, позволяющие
проводить обработку зашумленных речевых сигналов.
Обнаружить аппаратуру съема информации крайне трудно, так как она обычно
очень хорошо камуфлируется преступником (под микросхему, зажигалку,
булавочную головку и т. д.).
Вторая разновидность аудиоперехвата – беззаходовая – наиболее опасна.
Заключается она в следующем. Акустические и вибрационные датчики съема
информации устанавливают на инженерно-технические конструкции,
находящиеся за пределами охраняемого помещения, из которого необходимо
принимать речевые сигналы. Выделяют следующие типовые конструкции
инженерно-технических сооружений: несущие стены зданий, перегородки,
перекрытия, окна, оконные рамы, двери и дверные коробки, вентиляционные
воздуховоды, трубопроводы. При этом необязательно проникать в помещение,
достаточно приблизиться к нему снаружи. Датчик устанавливается либо
непосредственно, либо дистанционно. В последнем случае используются
различные выстреливающие устройства, предназначенные для дистанционного
снятия речевой информации через открытые окна, двери и т.п.
Видеооптический перехват заключается в действиях преступника,
направленных на получение информации путем использования различной
видеооптической техники. Этот способ осуществляется как физически, так и
электронно. Физически перехват информации производится с помощью
применения преступником различной бытовой видеооптической аппаратуры –
например подзорной трубы, бинокля, прибора ночного видения, оптического
прицела и т.п. При этом преступник проводит отдаленное наблюдение за
объектом (жертвой) в целях получения необходимой информации, которую в
отдельных случаях фиксирует на физический носитель. В рассматриваемом
случае орудие преступления находится непосредственно в руках
преступника.
Электронный процесс получения информации осуществляется с использованием
преступником специальной техники. В данном случае передающее устройство
находится непосредственно на объекте наблюдения, а приемное – в руках
преступника Может использоваться следующая спецтехника:
спецвидеомагнитофоны с длительной записью; оборудование для скрытой
видеосъемки; цифровые электронные видеокамеры; приборы ночного видения и
т. п.
Третью группу способов совершения анализируемого преступления составляют
смешанные способы, которые могут осуществляться как путем
непосредственного, так и опосредованного (удаленного) доступа. К числу
таких способов относятся:
1. Тайное введение в чужую программу таких команд, которые помогают ей
осуществить новые, незапланированные разработчиком функции при
одновременном сохранении прежней ее работоспособности. Данный способ
может иметь две разновидности. В первом случае программные
модули-фрагменты, которые создают так называемого троянского коня, то
есть не запланированного разработчиком программного блока,
самоликвидируются по окончании исполнения своей задачи. Найти после
этого данные программные модули практически невозможно. Во втором случае
в алгоритм программы, наряду с ее основными функциями, закладывается
алгоритм действий, осуществляющих саморазмножение, автоматическое
самовоспроизводство указанного «троянского коня». В результате подобные
«программы-черви» автоматически копируют себя в памяти одного или
нескольких компьютеров (при наличии компьютерной сети). Из зарубежной
следственной практики интересен факт использования «троянского коня»
одним американским программистом. Он вставил в программное обеспечение
персонального компьютера по месту своей работы команды, которые
позволяли не отражать в итоговом отчете определенные поступления
денежных средств. Эти суммы особым образом шифровались и циркулировали
только в информационной среде компьютера. Похитив бланки выдачи денег,
преступник заполнял их с указанием своего шифра, а затем проставлял в
них определенные суммы денег. Поскольку соответствующие операции по их
выдаче также не отражались в отчетности, то они не могли быть
подвергнуты документальной ревизии.
Модификация программ путем тайного встраивания в программу набора
команд, которые должны сработать при определенных условиях через
определенное время. Например, как только программа незаконно перечислит
денежные средства на так называемый подставной счет, она самоуничтожится
и при этом уничтожит всю информацию о проделанной операции.
Осуществление доступа к базам данных и файлам законного пользователя
путем нахождения слабых мест в системах защиты. При их обнаружении
появляется возможность читать и анализировать содержащуюся в системе
информацию, копировать ее, возвращаться к ней по мере необходимости.
Таким образом, можно обращаться к базам данных конкурирующей фирмы с
тем, чтобы не только иметь возможность анализировать ее финансовое
положение, но и получать упреждающую информацию о перспективах ее
развития. Получение такой информации дает несомненное преимущество в
конкурентной борьбе.
Использование ошибок в логике построения программы и обнаружение
«брешей». При этом программа «разрывается» и в нее вводится необходимое
число определенных команд, которые помогают ей осуществлять новые,
незапланированные функции при одновременном сохранении прежней ее
работоспособности. Именно таким образом можно переводить деньги на
подставные счета, получать информацию о недвижимости, о персональных
данных личности и пр.
Если первая и вторая группа способов более характерна исключительно для
неправомерного доступа к компьютерной информации, то третья группа
способов может быть характерна и для создания, использования и
распространения вредоносных программ для ЭВМ.
Преступники могут получить пароли, коды и идентифицирующие шифры
законных пользователей (путем получения списка пользователей со всей
необходимой информацией, обнаружение документа в организациях, где не
налажен контроль за их хранением, прослушивание телефонных переговоров)
и проникнуть в компьютерную систему, выдавая себя за законного
пользователя. Особенно уязвимы в этом отношении системы, которые не
обладают средствами аутентичной идентификации (например, по
физиологическим характеристикам: по отпечаткам пальцев, по рисунку
сетчатки глаза, голосу и т.п.).
Также следует отметить, что неправомерный доступ к компьютерной
информации может быть связан и с насилием над личностью либо угрозой его
применения в целях получения преступниками сведений о способах
преодоления средств защиты компьютерной информации и иных данных.
Проиллюстрируем способ и механизм совершения неправомерного доступа к
компьютерной информации случаем, описанным в литературе: преступники
подбирали лиц (вербовали путем подкупа или шантажа) из числа сотрудников
определенного банка. Один из них впоследствии и стал потерпевшей
стороной, другие – получателями похищенной суммы, а третьи –
сотрудниками банков, в которых похищенные суммы были обналичены и сняты
со счетов. Для подстраховки преступники завербовали специалиста
телефонной станции того населенного пункта, из которого осуществлялось
общее управление криминальной операцией. В этом населенном пункте на
подставное лицо была снята квартира, в которой преступники установили
необходимое оборудование, включающее в себя сам компьютер, средства
связи и источники бесперебойного питания. В данной квартире работал
главный исполнитель. Помимо него, в разных районах населенного пункта
было задействовано еще примерно 10-12 компьютеров с операторами, так как
один компьютер не обеспечит эффективного проведения операции. Таким
образом, общее число участников преступления составило 30 человек.
Однако об ее истинной цели знали не более 5 человек – главный
исполнитель и его непосредственные помощники. Остальные участники
использовались «втемную» – каждый из них знал лишь о своей конкретной
задаче.
Проникновение в компьютерную сеть банка осуществлялось путем
опосредованного доступа, рассмотренного нами выше.
При осуществлении преступной деятельности главный исполнитель в период
прохождения фиктивных платежных поручений ввел через свой компьютер
основное платежное поручение и поставил его первоочередным на обработку
и отправку по указанным адресам. После этого он ввел фиктивные поручения
в целях сокрытия основной проводки. Сразу же после оплаты основного
платежного поручения, была дезорганизована система взаиморасчетов банка
со своими клиентами, что на некоторое время полностью парализовало ее.
В целях более глубокого понимания механизма совершения преступления в
сети Интернет, рассмотрим его на примере входа в сеть с использованием
сетевых реквизитов (имени и пароля), принадлежащих другим лицам.
Преступление совершается следующим образом. Прежде всего, преступнику
необходимо завладеть чужими сетевыми реквизитами. Обычно это происходит
по одной из следующих схем.
Путем распространения либо предоставления доступа к вредоносной
программе типа «троянский конь», замаскированной под другую программу
либо документ. Пользователь, переписавший и запустивший данный файл,
активизирует «вирус», который самостоятельно собирает информацию о
реквизитах данного пользователя и пересылает на компьютер
злоумышленника.
Злоумышленник сам, либо используя одну из программ (например, Legion),
находит компьютер, работающий в сети, подключается к нему и копирует к
себе на диск файл с расширением pwl, содержащий все используемые данным
компьютером коды доступа в зашифрованном виде, после чего дешифрует их
(например, с помощью программы pwlview.exe).
Приобретает у третьих лиц полученные одним из перечисленных ранее
способов нужные сетевые реквизиты.
Способы совершения создания, использования и распространения вредоносных
программ для ЭВМ
Способы и механизм совершения создания, использования и распространения
вредоносных программ для ЭВМ обладает определенной спецификой, которая
определяется, прежде всего, особенностями вредоносных программ, которые
рассмотрены нами в уголовно-правовой характеристике преступления,
предусмотренного ст. 273 УК РФ.
Для более глубокого анализ способов совершения данного преступления
рассмотрим классификацию вредоносных программ для ЭВМ.
Напомним, что в зависимости от способности самовоспроизводиться,
вредоносные программы подразделяются на программы-вирусы
(самовоспроизводящиеся) и вредоносные программы в узком понимании (не
самовоспроизводящиеся.
Представляется практически значимой классификация вредоносных программ
по способу их действия. По данному основанию они делятся на резидентные
и нерезидентные. Резидентные вредоносные программы при заражении
(инфицировании) компьютера оставляют в оперативной памяти свою
резидентную часть, которая потом перехватывает обращение операционной
системы к объектам заражения (файлам, загрузочным секторам дисков и т.
п.) и внедряется в них. Резидентные вредоносные программы находятся в
памяти и являются активными вплоть до выключения или перезагрузки
компьютера. Нерезидентные вредоносные программы не заражают память
компьютера и являются активными только во время их непосредственной
работы.
Н.Н.Безруков проводит классификацию компьютерных вирусов по следующим
основаниям: среде обитания; способу заражения среды обитания;
воздействию; особенностям алгоритма.
В зависимости от среды обитания вирусы можно разделить на сетевые,
файловые, загрузочные и файлово-загрузочные.
Сетевые вирусы распространяются по различным компьютерным сетям.
Файловые вирусы внедряются главным образом в исполняемые модули
программ, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы
могут внедряться и в другие типы файлов, но, как правило, записанные в
таких файлах, они никогда не получают управление и, следовательно,
теряют способность к размножению.
Рассмотрим схему работы нерезидентного файлового вируса. При запуске
исполняемого файла, содержащего вирус, последний получает управление,
производит некоторые действия и передает управление основной программе.
При этом он ищет новый объект для заражения -подходящий по типу файл,
который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы
получить управление при запуске этого файла.
Если файловый вирус резидентный, то он установится в память и получит
возможность заражать другие файлы и выполнять прочие предусмотренные
создателем действия не только во время работы зараженного файла, а
вообще пока работает компьютер. Заражая исполняемый файл, вирус всегда
изменяет его код, что помогает его обнаружить. При этом не обязательно
вносятся изменения в размер (длину) файла, поскольку им используются
неиспользуемые участки кода, а также не обязательно меняется начало
файла.
Таким образом, при запуске любого файла, вирус получает управление
(операционная система запускает его сама), резидентно устанавливается в
память и передает управление вызванному файлу.
Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор)
или в сектор, содержащий программу загрузки системного диска (Master
Boot Record). Механизм действия загрузочного вируса выглядит следующим
образом.
При включении компьютера управление передается программе начальной
загрузки, которая хранится в постоянном запоминающем устройстве (ПЗУ)
компьютера. Эта программа тестирует оборудование и при успешном
завершении проверок пытается найти дискету в дисководе А.
Всякая дискета размечена на секторы и дорожки. Среди секторов есть
несколько служебных, используемых для нужд операционной системы (в этих
секторах не могут размещаться данные), в том числе и сектор начальной
загрузки (boot-sector). В нем хранится информация о дискете – количество
поверхностей, количество дорожек, количество секторов и пр.
Как только активный резидентный вирусом, действующий в «зараженном»
компьютере, обнаружит, что в дисководе появилась не защищенная от записи
дискета, он производит следующие действия:
выделяет некоторую область диска и помечает ее как недоступную
операционной системе, например помечает занятые вирусом секторы как
сбойные (bad);
копирует в выделенную область диска свой хвост и оригинальный (здоровый)
загрузочный сектор;
замещает программу начальной загрузки в загрузочном секторе (настоящем)
дискеты;
передает управление операционной системе.
Таким образом, при последующем обращении к дискете на «незараженном»
компьютере вирусная программа первой получает управление, вирус
устанавливается в память и передает управление оригинальному
загрузочному сектору.
Следует отметить, что, как правило, вирусы способны заражать не только
загрузочные секторы дискет, но и загрузочные секторы жестких дисков
компьютеров («винчестеров»). При этом в отличие от дискет на винчестере
имеются два типа загрузочных секторов, содержащих программы начальной
загрузки, которые получают управление. При загрузке компьютера с
винчестера первой берет на себя управление программа начальной загрузки
MBR (Master Boot Record – главная загрузочная запись). Если жесткий диск
разбит на несколько разделов, то лишь один из них помечен как
загрузоч-ный (boot). Программа начальной загрузки MBR находит
загрузочный раздел винчестера и передает управление на программу
начальной загрузки этого раздела. Код последней совпадает с кодом
программы начальной загрузки, содержащейся на обычных дискетах, а
соответствующие загрузочные секторы отличаются только таблицами
параметров. Таким образом, на винчестере имеются два объекта атаки
загрузочных вирусов – программа начальной загрузки в MBR и программа
начальной загрузки в бут секторе загрузочного диска.
Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора
дисков. В качестве примера данного вида вирусом, рассмотрим широко
распространенный в последнее время загрузочно-файловый вирус OneHalf,
заражающий главный загрузочный сектор (MBR) и исполняемые файлы.
Основное разрушительное действие – шифрование секторов винчестера. При
каждом запуске вирус шифрует очередную порцию секторов, а зашифровав
половину жесткого диска, сообщает об этом пользователю. Основная
проблема при лечении данного вируса состоит в том, что недостаточно
просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им
информацию, или сделать новую запись в главный загрузочный сектор.
По степени воздействия вирусы можно разделить на следующие виды:
неопасные, не мешающие работе компьютера, но уменьшающие объем свободной
оперативной памяти и памяти на дисках, действия таких вирусов
проявляются в каких-либо графических или звуковых эффектах;
опасные вирусы, которые могут привести к различным нарушениям в работе
компьютера;
очень опасные, воздействие которых может привести к потере программ,
уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы можно классифицировать на следующие.
Простейшие вирусы паразитического характера, они изменяют содержимое
файлов и секторов диска и могут быть достаточно легко обнаружены и
уничтожены.
Вирусы-решикаторы, называемые червями, которые распространяются по
компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по
этим адресам свои копии.
Вирусы-невидимки, называемые стелс-вирусами, которые очень трудно
обнаружить и обезвредить, так как они перехватывают обращения
операционной системы к пораженным файлам и секторам дисков и подставляют
вместо своего тела незараженные участки диска.
Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы
шифровки-расшифровки, благодаря которым копии одного и того же вируса не
имеют ни одной повторяющейся цепочки байтов.
Существуют и так называемые квазивирусные или «троянские» программы,
которые хотя и не способны к самораспространению, но очень опасны, так
как, маскируясь под полезную программу, разрушают загрузочный сектор и
файловую систему дисков.
Следует особо выделить «полиморфный вирус». Этот вид компьютерных
вирусов представляется на сегодняшний день наиболее опасным. Полиморфные
вирусы – вирусы, модифицирующие свой код в зараженных программах таким
образом, что два экземпляра одного и того же вируса могут не совпадать
ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути
шифрования, но и содержат код генерации шифровщика и расшифровщика, что
отличает их от обычных шифровальных вирусов, которые также могут
шифровать участки своего кода, но имеют при этом постоянный код
шифровальщика и расшифровщика.
Полиморфные вирусы – это вирусы с самомодифицирующимися расшифровщиками.
Цель такого шифрования: имея зараженный и оригинальный файлы, вы все
равно не сможете проанализировать его код с помощью обычного
дизассемблирования. Этот код зашифрован и представляет собой
бессмысленный набор команд. Расшифровка производится самим вирусом уже
непосредственно во время выполнения. При этом возможны варианты: он
может расшифровать себя всего сразу, а может выполнить такую расшифровку
«по ходу дела», может вновь шифровать уже отработавшие участки. Все это
делается ради затруднения анализа кода вируса.
Представляется, что рассмотренные классификации вирусов применимы и к
вредоносным программам в узком понимании.
Основными путями проникновения вирусов в компьютер являются съемные
диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого
диска вирусами может произойти при загрузке программы с дискеты,
содержащей вирус. Такое заражение может быть и случайным, например, если
дискету не извлекли из дисковода или вставили в дисковод зараженного
компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы
при ее запуске управление сначала передалось ему, и только после
выполнения всех его команд снова вернулось к рабочей программе. Получив
доступ к управлению, вирус прежде всего переписывает сам себя в другую
рабочую программу и заражает ее. После запуска программы, содержащей
вирус, становится возможным заражение других файлов. Наиболее часто
вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие
расширения EXE, COM, SYS, ВАТ. Крайне редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь
незапланированную законным пользователем операцию, как правило, делая
это скрытно, чтобы не привлечь внимания. Затем, вредоносная программа
передает управление той программе, из которой была запущен. Каждое
выполнение зараженной программы переносит вирус дальше. Таким образом,
заразится все программное обеспечение.
В настоящее время в сети Интернет и на компакт-дисках, имеющихся в
свободной продаже получил определенное распространение программный пакет
«Legion – Open Share Scaner» (производства фирмы «RhinoQ Incorporated»).
Данный программный продукт, как следует из файла-описания, предназначен
для поиска в глобальной компьютерной сети Интернет компьютеров, имеющих
ресурсы (в частности, жесткие диски), предназначенные для совместного
использования (shared) и осуществления доступа к ним. При этом
перебираются заданные IP-адреса компьютеров, у каждого из них
проверяются все доступные TCP-порты. Кроме сканера в составе пакета
имеется программа для подбора паролей с использованием словаря. Поиск
ресурсов и доступ к ним происходит без уведомления об этом обладателя
данных ресурсов. Поиск может производиться по диапазону IP-адресов, то
есть без конкретной цели. Все это свидетельствует об ориентированности
данного пакета на осуществление несанкционированного доступа к
информации на ЭВМ или сети ЭВМ. Таким образом, данную программу можно
отнести к категории вредоносных программ.
§ 2. Данные о способах сокрытия преступлений в сфере компьютерной
информации
Под сокрытием преступления понимается деятельность (элемент преступной
деятельности), направленная на воспрепятствование расследованию путем
утаивания, уничтожения, маскировки или фальсификации следов преступления
и преступника и их носителей.
По содержательной стороне Р.С.Белкин приводит классификацию способов
сокрытия преступления, выделяя утаивание информации и/или ее носителей,
уничтожение информации и/или ее носителей, маскировку информации и/или
ее носителей, фальсификацию информации и/или ее носителей путем заведомо
ложных показаний, сообщений, доносов, создания ложных следов и иных
вещественных доказательств, полной или частичной подделки документов,
подмены, дублирования объекта, частичного уничтожения объекта с целью
изменения его внешнего вида, фальсификации назначения, создания
преступником ложного представления о своем пребывании в интересующий
следствие момент в другом месте.
Способы сокрытия рассматриваемой группы преступлений в значительной
степени детерминированы способами их совершения. При непосредственном
доступе к компьютерной информации сокрытие следов преступления сводится
к воссозданию обстановки, предшествующей совершению преступления, т.е.
уничтожению оставленных следов (следов пальцев рук, следов обуви,
микрочастиц и пр.). При опосредованном (удаленном) доступе сокрытие
заключается в самом способе совершения преступления, который затрудняет
обнаружение неправомерного доступа. Это достигается применением чужих
паролей, идентификационных средств доступа и т.д.
Сейчас актуальна проблема программного сокрытия следов неправомерного
доступа к компьютерной информации, указание ложных телефонных номеров,
паролей и анкетных данных лица, совершающего неправомерный доступ. В то
же время не теряет актуальности и сокрытие физических следов
преступления (например, следов пальцев рук на клавиатуре, кнопках
дисководов и других поверхностях, которых он касался).
Наиболее распространенными способами программного сокрытия следов
преступлений в сфере компьютерной информации являются следующие:
Использование так называемых ремейлеров (Remailers). Ремейлер – это
компьютер, получающий сообщение и переправляющий его по адресу,
указанному отправителем. В процессе переадресовки вся информация об
отправителе уничтожается, так что конечный получатель лишен всякой
возможности выяснить, кто автор сообщения. Ремейлеров в сети Интернет
много, некоторые из них позволяют указывать фиктивный адрес отправителя,
большинство же прямо указывают в заголовке, что электронное сообщение
анонимно.
Использование в программах пересылки электронной почты вымышленного
электронного адреса отправителя.
Использование программ-анонимизаторов. В отличие от ремейлеров, которые
фактически осуществляют переадресацию электронной почты, направляя ее с
другого компьютера, анонимизаторы позволяют изменять данные об обратном
адресе и службе электронной почты отправителя. При этом остается
возможность установить электронный адрес (IP) компьютера отправителя.
Использование второго электронного почтового ящика. В сети Интернет
существует множество сайтов, где свободно и бесплатно можно открыть свой
почтовый ящик, откуда отправлять электронную почту под любыми
вымышленными исходными данными.
Использование разнообразных вредоносных программ. Так, следы
неправомерного доступа к компьютерной информации, в частности файлы
истории, фиксирующие все последние проделанные операции, можно удалить,
используя вредоносную программу, которые незаконно распространяются как
в сети Интернет, так и на компакт-дисках.
Уничтожение информации, находящейся в памяти компьютера и на машинных
носителях, в том числе файлов истории, файлов-отчетов, результатов
работы антивирусных и тестовых программ и других файлов, содержащих
информационные следы преступления (более подробно см. раздел «Данные о
следах преступления»).
Помимо программного сокрытия следов преступления, следует выделить и
физическое сокрытие следов преступлений в сфере компьютерной информации
(стирание следов пальцев рук с клавиатуры и других поверхностей, которых
касался преступник). Крайней формой сокрытия следов преступления можно
предположить попытки физического уничтожения или повреждения
компьютерной техники или ее отдельных узлов (например, жесткого диска).
Специфика сокрытия распространения вредоносных программ проявляется
прежде всего в возможности уничтожения технических носителей такой
информации, маскировки их под разрешенное программное обеспечение.
§ 3. Данные об орудиях и средствах совершения преступлений в сфере
компьютерной информации
Орудиями совершения преступлений в сфере компьютерной информации
являются средства компьютерной техники, в том числе и специальное
программное обеспечение. Следует различать средства непосредственного и
опосредованного (удаленного) доступа.
К орудиям непосредственного доступа можно отнести прежде всего машинные
носители информации, а также все средства преодоления защиты информации.
Причем каждой категории средств защиты (организационно-тактических,
программно-технических) соответствует свой набор орудий неправомерного
доступа к компьютерной информации. Например, при получении информации с
компьютера, находящегося в охраняемом помещении, преступникам необходимо
изготовить пропуск, выяснить пароль входа в систему, при необходимости
применить различные электронные ключи, личные идентификационные коды и
пр. В таких случаях может задействоваться и различное периферийное
оборудование (принтер, CD-ROM-накопитель, стример, дисководы), а также
носители компьютерной информации (дискеты, лазерные диски, кассеты с
магнитной лентой для стримера).
К орудиям опосредованного (удаленного) доступа относится прежде всего
сетевое оборудование (при неправомерном доступе из локальных сетей), а
также средства доступа в удаленные сети (средства телефонной связи,
модем). При этом «взломщикам» необходимы соответствующие пароли и
идентификационные номера законных пользователей.
Одним из орудий неправомерного доступа к компьютерной информации
является сам компьютер. Этим в значительной степени объясняется и
сложность расследования данного вида преступления. Связано это с тем,
что идентифицировать компьютер, с помощью которого был осуществлен
неправомерный доступ, практически невозможно. Да и сам поиск такого
компьютера может привести к разрушению ряда других программ и причинению
крупного материального ущерба. К тому же преступники, будучи
квалифицированными специалистами, продумывают и надежные способы
сокрытия совершаемого преступления.
Другим распространенным средством совершения неправомерного доступа в
последнее время стала глобальная мировая телекоммуникационная сеть
Интернет. Здесь показательно уголовное дело по обвинению гр. Ш. по ст.
ч.1 272 УК РФ, расследованное СУ ГУВД г. Москвы. Гр. Ш., находясь в
своей квартире, с помощью своего компьютера вошел в персональный
компьютер, принадлежащий магазину «PC ПИ СИ ТИЧ», расположенный в
глобальной информационной сети Интернет, выдал себя за держателя
кредитной карты №4254 9331, заказал компьютерное оборудование на общую
сумму 5900 долларов США и получил его на складе представителя
международной курьерской компании «Федерал Экспресс» в г. Москве.
Необходимо отметить, что в современных условиях бурного развития средств
вычислительной техники и периферийного оборудования орудия и средства
совершения неправомерного доступа к компьютерной информации постоянно
модернизируются и совершенствуются.
Кроме того, средствами совершения преступлений в сфере компьютерной
информации являются: сетевое оборудование, телефонная сеть, машинные
носители информации.
§ 4. Данные об обстановке совершения преступления
Обстановка, т.е. все окружающие субъекта условия, в которых
осуществляется преступная деятельность, имеет существенное значение для
анализа преступного деяния. Попытку систематизации этих условий
предпринял В.И.Куликов. Он разделил их на три категории: природные
(природные вещества, явления, условия и процессы), техногенные
(вещества, вещи, предметы, процессы, создаваемые или используемые
человеком в процессе трудовой или иной деятельности, в быту и т.д.),
социально-психологические (отношения в трудовых коллективах, семье и
т.д.). Такой подход в целом поддерживает В.А. Образцов, однако при этом
он отмечает, что с логической точки зрения продукты человеческой
деятельности и социальнопсихологические факторы относятся к частям одной
системы, называемой социальной средой. В соответствии с этим условия,
характеризующие обстановку совершения преступления, он подразделяет на
природно-климатические и условия социальной среды.
Обстановку совершения преступлений в сфере компьютерной информации, на
наш взгляд, составляют вещественные, технические, пространственные,
временные, социальнопсихологические обстоятельства совершения
рассматриваемого преступления. Особенностью данного рода преступлений
является то, что на их совершение практически не оказывают влияние
природно-климатические факторы.
Дополнительными факторами, характеризующими обстановку совершения
неправомерного доступа к компьютерной информации, создания,
использования и распространения программ для ЭВМ а также нарушения
правил эксплуатации ЭВМ, их системы или сети могут являться: наличие и
состояние средств защиты компьютерной техники (организационных,
технических, программных), сложившаяся на объекте дисциплина,
требовательность со стороны руководителей к соблюдению норм и правил
информационной безопасности и эксплуатации ЭВМ и т.п.
Выявление особенностей сложившейся обстановки позволяет быстрее
определить, на что следует обратить особое внимание при осмотре места
происшествия, изучении компьютерного оборудования и документов, вызове и
допросе свидетелей и решении вопросов о необходимости изъятия
определенных документов и т.п.
Особенностью неправомерного доступа к компьютерной информации, а так же
создания, использования и распространения вредоносных программ для ЭВМ
является то, что место непосредственного совершения противоправного
деяния (место, где выполнялись действия объективной стороны состава
преступления) и место наступления вредных последствий (место, где
наступил результат противоправного деяния) могут не совпадать. Причем
это бывает практически при каждом случае опосредованного (удаленного)
доступа к компьютерной информации. При непосредственном же доступе место
совершения противоправного деяния и место наступления вредоносных
последствий совпадают. Такое преступление часто совершают сами работники
предприятия или организации, учреждения или фирмы. В этой связи можно
говорить о том, что компьютерная преступность может иметь
транснациональный характер – преступление совершается в одной стране, а
негативные последствия наступают в другой. При этом если неправомерный
доступ предпринимается одновременно с нескольких компьютеров, то
количество мест совершения преступления соответствует числу используемых
при этом компьютеров.
Местом, где в результате совершения рассматриваемого преступления
наступил преступный результат, являются предприятия, организации,
учреждения различных форм собственности, имеющие информацию на машинном
носителе, в электронно-вычислительной машине, системе ЭВМ или их сети. К
их числу относятся: органы статистики, налоговой инспекции и полиции,
таможни, социального обеспечения, внутренних дел, военкоматы,
администрации различных уровней, коммерческие фирмы, предприятия
различных профилей, преимущественно те, в которых используются высокие
технологии, и др. Значительное количество банков, пенсионных фондов
часто сталкиваются с проблемой защиты персональных данных вкладчиков.
Острой является и проблема защиты сведений, хранящихся в
паспортно-визовой службе, о регистрации по месту жительства отдельных
категорий граждан.
Можно выделить следующие предприятия, учреждения, организации (различных
форм собственности), в которых рассматриваемое преступление может быть
совершено работающими там лицами.
Предприятия, организации, учреждения, фирмы, компании с обширной и
бюрократизированной организационной структурой, где властные полномочия
сконцентрированы, а ответственность обезличена. «В связи с
компьютеризацией все большее участие в управленческой деятельности
принимают люди, имеющие отношение к программному обеспечению и базам
данных автоматизированных информационных систем. Большинство же
руководителей не имеют полного представления о том, как же эти системы
функционируют. Тем самым создаются предпосылки для несанкционированного
их использования теми сотрудниками, которые решили встать на путь
преступления».
Предприятия, организации, учреждения, фирмы, компании, имеющие высокие
темпы развития, за которыми не успевают управленческие функции. В
некоторых случаях сами руководители не знают, с чего начать, какие
организационно-управленческие мероприятия необходимо провести, чтобы
исключить неправомерный доступ к компьютерной информации.
Предприятия, организации, учреждения, фирмы, компании, которые
сворачивают свою деятельность. «Их ресурсы настолько ограничены, что (на
фоне вынужденного отказа нанимателя от услуг целого ряда лиц,
возбуждения при этом негативных эмоций) создает предпосылки
противоправных действий».
Предприятия, организации, учреждения, фирмы, компании, созданные с
привлечением иностранного капитала (различные совместные предприятия),
имеющие устойчивые связи с аналогичными зарубежными фирмами,
поддерживающими устойчивые деловые отношения с ближним и дальним
зарубежьем. Зарубежные исследователи называют предприятия, созданные с
участием иностранного капитала, «зоной повышенной криминальной
опасности».
Предприятия, организации, учреждения, фирмы, компании, где в силу
различных обстоятельств царит ненормальный моральнопсихологический
климат (к примеру, из-за обид лиц, находящихся на самом низу социальной
лестницы, по поводу своего приниженного положения по сравнению с другими
(оплата труда, предоставление льгот). Это относится и к случаям, когда в
самом руководстве фирмой, компанией нет единства взглядов, в силу чего
менеджеры высокой квалификации принимают решение оставить фирму и
открыть собственный бизнес.
Следует отметить, что неправомерный доступ к компьютерной информации,
как правило, осуществляется в: 1) служебных помещениях самого
предприятия (организации), где установлен компьютер или группа
компьютеров (в случае непосредственного доступа к компьютерной
информации); 2) жилых помещениях, помещениях других предприятий или
организаций, заранее арендованных помещениях, специально оборудованных
автомобилях и т.п. (при осуществлении опосредованного – удаленного
доступа к компьютерной информации).
Распространение вредоносных программ преимущественно осуществляется в
сети Интернет, на рынках, в специализированных магазинах и торговых
точках, по месту жительства преступника или потерпевшего или в иных
местах.
Время совершения преступления зависит от способа его совершения и
объекта, где расположена компьютерная техника. Так, при опосредованных и
смешанных способах совершения преступления, связанных с использованием
компьютерных сетей и прежде всего сети Интернет, преступники выбирают
вечерние и ночные часы (с 20.00 до 4.00). Это объясняется тем, что в
указанное время тарифы фирм-провайдеров по доступу в сеть ниже, чем
днем, а также меньше нагрузка на сети, соответственно выше скорость
обмена данными.
При способах совершения преступлений, связанных с непосредственным
доступом к компьютерной информации, время определяется режимом работы
объекта, где расположена компьютерная техника, то есть, это рабочие часы
с 9.00 до 18.00.
§ 5. Данные о следах совершения преступления в сфере компьютерной
информации
Рассматриваемый элемент является одним из важнейших в криминалистической
характеристике преступления.
Следы совершения преступления в сфере компьютерной информации в силу
специфики рассматриваемого вида преступлений редко остаются в виде
изменений внешней среды. Они в основном не рассматриваются современной
трасологией, поскольку в большинстве случаев носят информационный
характер, т.е. представляют собой те или иные изменения в компьютерной
информации, имеющие форму ее уничтожения, модификации, копирования,
блокирования. Как справедливо отмечает А.В. Касаткин, «при современном
развитии вычислительной техники и информационных технологий
«компьютерные следы» преступной деятельности имеют широкое
распространение. Это должно учитываться следователями и оперативными
работниками в их деятельности по собиранию доказательств наряду с
поиском уже ставших традиционными следов».
На основании изложенного представляется целесообразным следы
неправомерного доступа к компьютерной информации разделить на два типа:
традиционные следы (следы-отображения, рассматриваемые трасологией, а
также следы-вещества и следы-предметы) и нетрадиционные – информационные
следы.
К первому типу относятся материальные следы. Ими могут являться
какие-либо рукописные записи, распечатки и т.п., свидетельствующие о
приготовлении и совершении преступления. Материальные следы могут
остаться и на самой вычислительной технике (следы пальцев рук,
микрочастицы на клавиатуре, дисководах, принтере и т.д.), а также на
магнитных носителях и CD-ROM дисках.
Информационные следы образуются в результате воздействия (уничтожения,
модификации, копирования, блокирования) на компьютерную информацию путем
доступа к ней и представляют собой любые изменения компьютерной
информации, связанные с событием преступления. Прежде всего они остаются
на машинных носителях информации и отражают изменения в хранящейся в них
информации (по сравнению с исходным состоянием). Речь идет о следах
модификации информации (баз данных, программ, текстовых файлов),
находящейся на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных
и магнито-оптических дисках. Кроме того, магнитные носители могут нести
следы уничтожения или модификации информации (удаление из каталогов имен
файлов, стирание или добавление отдельных записей, физическое разрушение
или размагничивание носителей). Информационными следами являются также
результаты работы антивирусных и тестовых программ. Данные следы могут
быть выявлены при изучении компьютерного оборудования, рабочих записей
программистов, протоколов работы антивирусных программ, программного
обеспечения. Для выявления подобных следов необходимо участие
специалистов.
Информационные следы могут оставаться и при опосредованном (удаленном)
доступе через компьютерные сети, например через Интернет. Они возникают
в силу того, что система, через которую производится доступ, обладает
некоторой информацией, которую эта система запрашивает у лица,
пытающегося соединиться с другим компьютером. Она определяет электронный
адрес, используемое программное обеспечение и его версию. Кроме того,
при доступе в сеть обычно запрашивается адрес электронной почты,
реальное имя и другие данные. Эту информацию запрашивает системный
администратор (провайдер) для контроля обращений на его сервер, и это
также позволяет идентифицировать личность проникающего в сеть.
Рассмотрим информационные следы в сети Интернет, позволяющие установить
лицо, совершившее неправомерный доступ к компьютерной информации, более
подробно.
Данные о фирме-провайдере. В сети Интернет существует специальная служба
Whois, предназначенная для установления провайдера, через которого
произошел неправомерный доступ, для чего необходимо указать электронный
адрес (IP) интересующего компьютера. Для связи с этой службой для
европейской части сети существует сервис по адресу: www.ripe.net.
Время выхода абонента на связь и продолжительность его работы можно
установить у провайдера по ведущемуся у него специальному лог-файлу.
Номер телефона, с которого была установлена связь с провайдером. Следует
иметь в виду, что не все провайдеры устанавливают устройства
автоматического определения номера на свои телефоны, да и ГТС не всегда
может предоставить подобную информацию, однако пренебрегать этими
возможностями нельзя. Впрочем, не стоит забывать и о том, что существуют
и широко популяризированы через Интернет различные системы маскировки
под другой номер, либо анти-АОНы. Но даже если удалось установить
телефон, с которого был осуществлен звонок, это не всегда дает выход на
конкретное лицо, поскольку к Интернету может быть подключена и локальная
вычислительная сеть. В этом случае установить, с какого рабочего места
был осуществлен сеанс связи, можно по лог-файлу сервера локальной сети с
теми же ограничениями по времени.
Протокол выхода в Интернет с определенного компьютера. Он автоматически
ведется на каждом компьютере, с которого возможен выход во всемирную
сеть (количество дней его хранения определяется пользователем).
Представляется, что совпадение данного протокола с лог-файлом провайдера
может служить неопровержимым доказательством.
Данные о пользователе электронной почты (фамилия, имя, отчество, дата и
место рождения, место жительства, работы и пр). Сам пользователь
заинтересован в предоставлении достоверной информации для получения
электронных сообщений.
Большой информационной ценностью обладают разговоры через Интернет,
поскольку их содержание автоматически сохраняется во временных файлах,
которые даже после стирания могут быть восстановлены (хотя бы частично).
Следует отметить, что многие программы фирмы Microsoft создают резервные
копии файлов, файлы-отчеты, сохраняют информацию о последних проделанных
операциях и выполненных программах, а также содержат иную информацию,
представляющую огромный интерес для расследования. Вот лишь некоторые
примеры:
Microsoft Outlook Express 4.0 – все письма, которые были отправлены,
получены или удалены, хранит в своей базе данных. Эти файлы расположены
в директории \Windows\Aplication\Microsoft\Outlook Express\Mail\ с
расширениями IDX и МВХ.
Microsoft Internet Explorer 4.0 – в директории \Windows\Temporary
Internet Files\ хранит места, которые посетил пользователь, находясь в
сети Интернет.
Microsoft Windows 95 – в директории \Windows\History\ хранит все файлы
истории, то есть данные о ранее выполнявшихся программах; в директории
\Windows\name.pwl хранит имена, телефоны и пароли для соединения с
Интернет, которые с помощью специальных программ расшифровываются.
Следами, указывающими на посторонний доступ к информации, могут
являться: переименование каталогов и файлов; изменение размеров и
содержимого файлов; изменение стандартных реквизитов файлов, даты и
времени их создания; появление новых каталогов, файлов и пр.
Перечисленное может свидетельствовать об изменениях в заданной структуре
файловой системы, а также об изменении содержимого файлов. Кроме того,
на неправомерный доступ к компьютерной информации могут указывать
изменения в заданной ранее конфигурации компьютера, в том числе:
изменение картинки и цвета экрана при включении; изменение порядка
взаимодействия с периферийным оборудованием (принтером, модемом и др.);
появление новых и удаление прежних сетевых устройств.
На неправомерный доступ к компьютерной информации могут указы-вать и
необычные проявления в работе ЭВМ, как то: замедленная или неправильная
загрузка операционной системы; замедленная реакция машины на ввод с
клавиатуры; замедленная работа машины с дисковыми накопителями при
записи и считывании информации; неадекватная реакция ЭВМ на команды
пользователя; появление на экране нестандартных символов, знаков и пр.
Представляется, что данное классификационное построение согласуется с
классификацией следов, описанной выше, и дополняет ее.
Одним из наиболее часто встречающихся в настоящее время видов
преступлений в сфере компьютерной информации является распространение
вредоносных программ типа «троянский конь» (например, рассмотренный нами
ранее Legion, BackOrifice, Dollyl6 и т.п.) с целью несанкционированного
получения информации и паролей с компьютеров «жертв». Данные действия
квалифицируются по двум статьям УК РФ (ст. 272 «Неправомерный доступ к
компьютерной информации» и ст. 273 «Создание, использование и
распространение вредоносных программ для ЭВМ»).
В.А.Мещеряковым на примере данного вида преступлений рассмотрены
особенности механизма образования «виртуальных» следов.
Прежде необходимо отметить, что сущность и опасность вредоносных
программ типа «троянский конь» заключается в том, что они скрытно, путем
обмана (под видом какой-либо полезной прикладной программы или особо
популярной компьютерной игры) доставляются на компьютер жертвы
(например, в качестве прикрепленного к посланию электронной почты
исполняемого файла) и запускаются на нем. После запуска эти программы
могут выполнить какую-либо простенькую отвлекающую функцию (обещанную в
сопроводительном послании или просто выдать сообщение о невозможности
выполнения полезной функции. Кроме этого они записывают тело вредоносной
программы в заранее установленное место на компьютере – «жертве»
(главная цель данного вида вредоносных программ), прописывают условия ее
активизации в системный реестр, обеспечивая тем самым запуск программы
при каждом включении компьютера. Запущенная вредоносная программа
устанавливает соединение с провайдером сети Интернет и настраивает
определенный номер порта ввода/вывода компьютера-жертвы в режим, при
котором к нему можно скрытно подключиться удаленному компьютеру. Вторая
(сопряженная) часть такой вредоносной программы, установленная на
компьютере преступника, последовательно опрашивает (посылает
фиксированную последовательность данных) заданный диапазон IP-адресов на
возможность удаленного подключения к фиксированному порту ввода/вывода.
Наткнувшись на подготовленный первой частью вредоносной программы
компьютер-жертву, компьютер преступника устанавливает скрытный канал
информационного обмена и получает возможность полного управления
компьютером-жертвой: копирование с него текущего образа экрана монитора
(так называемого скриншота) любой размещенной на нем программы, создание
каталога или копирование любого файла на удаленный компьютер-жертву,
запуск на нем любой программы и т.п.
Следообразующий объект и его характеристики. В зависимости от этапа
совершения данного вида преступления будет существовать различный набор
следообразующих объектов. На этапе внедрения программы «троянского коня»
это сообщение электронной почты с прикрепленным исполняемым файлом в
специальном формате, а на этапе активизации к нему добавится еще
соответствующий исполняемый файл. При этом основными (важнейшими с
криминалистической точки зрения) характеристиками сяедообразующих
объектов будут:
размер программ и сообщения электронной почты с присоединенным файлом;
дата и время создания/получения и/или модификации файлов и сообщения;
отдельные атрибуты (например, признак архивного, скрытого или системного
файла, уровень важности и конфиденциальности полученного сообщения)
файла и сообщения;
характерные записи (фрагменты) исполняемых программ или файлов
конфигурации, позволяющие идентифицировать конкретный экземпляр
вредоносной программы. Например, адрес электронного почтового ящика,
куда следует отсылать выкраденные пароли, логины и IP-адрес компьютера.
Помимо самих файлов вредоносной программы (т.е. некоторого аналога
традиционно рассматриваемого орудия преступления) следообразующими
Объектами также будут:
1. Файлы, использующиеся для электронной рассылки «троянских коней»:
стандартная почтовая программа (The Bat!, MS Outlook Express и т.п.,
входящие в стандартный набор операционной системы или офисного набора
программ) или иная специализированная программа рассылки почтовых
сообщений — вид используемой почтовой программы, ее версия и текущие
настройки;
текстовые файлы или файлы в специальном формате (согласованном с
программой рассылки почтовых сообщений), содержащие списки рассылки и
вспомогательные данные – даты и время рассылки, количество попыток
повторения и т.п.;
файлы программ, обеспечивающие удаленное соединение компьютера и
содержащие номера телефонов, «логины» (учетные имена для входа в сеть),
пароли, скрипты (наборы автоматически выполняемой последовательности
команд) и т.п.
2. Файлы компилятора, использующегося для создания (программирования или
настройки) самой вредоносной программы:
версия, настройки и параметры. Эти данные в ряде компиляторов
автоматически включаются в тело создаваемой с их помощью программы;
используемые библиотеки компилятора, операционной системы или других
пакетов прикладных программ. Ряд программ рассчитан на обязательное
присутствие на компьютере определенных библиотек или пакетов прикладных
программ. Например, известны случаи, когда вредоносные программы типа
«троянский конь» для рассылки украденной парольно-ключевой информации
используют коммуникационные средства программы обмена информацией в
реальном времени ICQ (фирмы Mirabilis).
Следовоспринимающий объект. Учитывая, что при совершении рассмотренного
выше преступления в сфере компьютерной информации используется как
минимум два компьютера (преступника и жертвы), то следовоспринимающих
объектов также будет несколько.
На компьютере жертвы такими объектами будут:
Таблица размещения файлов (FAT, NTFS или другая в зависимости от типа
используемой операционной системы). На компьютере жертвы должны
появиться файлы с программами, представляющими собой первую часть
вредоносной программы «троянский конь». Как правило, это два файла: один
исполняемый файл (непосредственно сама программа), а второй файл
содержит параметры конфигурации и вспомогательные данные, необходимые
для работы исполняемого файла. Имена этих файлов могут быть
произвольными (легко и без изменения функциональных возможностей
программы заменяются преступником), но они должны иметь фиксированную
(одну и ту же) длину, а также дата и время создания/модификации этих
файлов должны соответствовать дате и времени установки этих программ на
компьютер-жертву.
Системный реестр операционной системы Windows 9x/NT. Соответствующие
разделы системного реестра должны включать указания на размещение и
параметры установленных программных файлов.
Отдельные кластеры магнитного носителя информации (винчестера, дискеты),
в которых записываются фрагменты исполняемых файлов (программ) и файлов
конфигурации.
Файлы и каталоги (папки) хранения входящей электронной почты и
прикрепленных исполняемых файлов, конфигурации почтовой программы.
Файлы конфигурации программ удаленного соединения компьютера с
информационной сетью.
На компьютере преступника такими объектами будут:
Таблица размещения файлов (FAT, NTFS или другая в зависимости от типа
используемой операционной системы). На компьютере жертвы должны
появиться файлы с программами, представляющими собой вторую
(управляющую) часть вредоносной программы «троянский конь».
Системный реестр операционной системы Windows Эх/NT. Соответствующие
разделы системного реестра должны включать указания на размещение и
параметры установленных программных файлов.
Скопированные с компьютера-жертвы файлы данных и программы, а также так
называемые «скриншоты» (графические изображения экрана монитора) с
компьютера-жертвы.
Файлы и каталоги (папки) хранения входящей электронной почты и
прикрепленных исполняемых файлов, конфигурации почтовой программы. Здесь
могут быть обнаружены присланные с компьютера-жертвы значения паролей и
«логинов» для входа в информационную сеть, копии украденной электронной
корреспонденции и т.п.
Файлы конфигурации программ удаленного соединения компьютера с
информационной сетью. В этих файлах могут быть обнаружены логины и
пароли компьютера-жертвы, его адресная книга, используемые скрипты и
т.п.
Отдельные кластеры магнитного носителя информации (винчестера, дискеты),
в которых записываются фрагменты исполняемых файлов (программ) и файлов
конфигурации.
§ 6. Данные о предмете преступного посягательства
Как уже было отмечено нами в главе 1 данной работы, при совершении
преступлений в сфере компьютерной информации предметом преступного
посягательства является компьютерная информация.
Компьютерную информацию, которую также можно определить и как
информацию, зафиксированную на машинном носителе или передаваемую по
телекоммуникационным каналам в форме, доступной восприятию ЭВМ, можно
классифицировать по следующим основаниям:
по ее носителям: зафиксированная на магнитной ленте, дискетах
(Floppy Disk), лазерных дисках, на жестком диске ЭВМ (Hard Disk), в
памяти
ЭВМ, системы ЭВМ или сети;
по виду: текстовая, графическая, звуковая, программная, файлы данных и
пр;
по атрибутам файлов: архивная, только для чтения, системная, скрытая.
Возможны классификации и по другим основаниям.
В процессе расследования большой интерес вызывают информационные файлы,
содержащие информацию, вводимую пользователем. Ниже приводится список
наиболее распространенных расширений файлов и наиболее распространенных
программ, создающих по умолчанию файлы с такими расширениями:
Таблица 1
Текстовые файлы
Doc Создается программами Microsoft Word (встречаются как отдельные
версии, так и в составе пакета Microsoft Office) и Lexicon (Лексикон)
Dot Фаил шаблона программы Microsoft Word
Txt Текстовый файл (как правило, в кодировке MS-DOS).
Файлы электронных таблиц
xls Создается программой Microsoft Excel (встречаются как отдельные
зрсии, так и в составе пакета Microsoft Office)
xlt Фаил шаблона программы Microsoft Excel
Файлы баз данных
mdb, mda Фаил программами Microsoft Access (встречаются как отдельные
версии, так и в составе пакета Microsoft Office)
pdx, px, mb Фаил в формата Paradox
db, dbf Фаил формата dBASE
ora Фаил Oracl
mdf, Idf Фаилы Microsoft SQL
Графические форматы файлов
jpq, tif, gif, pcx, bmp, tga Являются стандартными форматами и могут
быть созданы практически любой программой для обработки графики
(например, Adobe PhotoShop, Corel Photo Paint и др.)
Файлы программ электронной верстки
psd Фаил программы Adobe PhotoShop
Pm, p?? Фаил программы Page Maker (где ?? – цифры соответствующие
версии. Например, для версии 6.5 расширение имеет вид р65)
ai Фаил программы Adobe Illustrator
ai Фаил программы CorelDraw
qxp Фаил программы Quark X-press
Файлы программ мультимедиа
wav, mp3, mid, voc Звуковые файлы
avi, mpq, mov Фаилы видеоизображений
Прочие файлы
arj, zip, гаг, ha, Iha, Izh, tar, arc Фаилы, создаваемые программами
архиваторами (упаковщиками). Данные программы применяются для сжатия
файлов. При сжатии фаилов в архив могут использоваться пароли для
ограничения доступа
html, htm Фаилы, написанные на языке html, могут быть просмотрены с
помощью любого интернет браузера (Microsoft Explorer, Netscape Navigator
и т.д.);
pdf Фаилы публикаций могут быть созданы рядом программ электронной
верстки или программой Adobe Acrobat Distiller и просмотрены с помощью
программы Adobe Acrobat Reader
ps, eps Фаил на языке постскрипт. Создается программами верстки для
распечатки на печатающие устройства, поддерживающие данный язык или
вывода на полиграфическое оборудование. Может быть преобразован для
просмотра в pdf файл с помощью программы Adobe Acrobat Distiller
dwg Фаил конструкторского пакета AutoCAD
asm, c, cpp, pas, vbs, bas Фаилы исходных текстов программ, созданных
на различных языках программирования
§ 7. Данные о личностных свойствах субъектов преступлений в сфере
компьютерной информации
По нашим данным, неправомерный доступ к компьютерной информации
совершают следующие категории граждан:
1. Лица, состоящие в трудовых отношениях с предприятием, организацией,
учреждением, фирмой или компанией, где совершено преступление (по нашим
данным, они составляют более 55 %), а именно:
непосредственно занимающиеся обслуживанием ЭВМ (операторы, программисты,
инженеры, персонал, производящий техническое обслуживание и ремонт
компьютерных систем или обслуживающий компьютерные сети);
пользователи ЭВМ, имеющие определенную подготовку и свободный доступ к
компьютерной системе;
административно-управленческий персонал (руководители, бухгалтеры,
экономисты и т.п.).
2. Граждане, не состоящие в правоотношениях с предприятием,
организацией, учреждением, фирмой или компанией, где совершено
преступление (около 45 %). Ими могут быть:
лица, занимающиеся проверкой финансово-хозяйственной деятельности
предприятия, и др.;
пользователи и обслуживающий персонал ЭВМ других предприятий, связанных
компьютерными сетями с предприятием, на котором совершено преступление;
лица, имеющие в своем распоряжении компьютерную технику (в том числе
владельцы персональных ЭВМ, тем или иным образом получившие доступ к
телекоммуникационным компьютерным сетям).
Особую категорию лиц, осуществляющих неправомерный доступ к компьютерной
информации, составляют хакеры (от англ, to hack – рубить, кромсать) –
специалисты в сфере вычислительной техники, осуществляющие негативные
действия в области систем компьютерной связи, информационных технологий.
Их деятельность направлена на получение доступа к компьютерной
информации, для чего они используют различные способы «взлома», обхода
защиты и проникновения в сеть, в результате они похищают и заменяют
данные, модифицируют файлы, блокируют работу сети и выводят из строя
программное обеспечение. В этих целях они используют различные
технические средства, в частности специальное диагностическое
оборудование, поставляемое вместе с оборудованием сети и предназначенное
для поиска «слабых мест» в системе ее защиты, средства автоматического
проникновения одновременно в несколько включенных в сеть компьютеров.
Объектом посягательства хакеров в большинстве случаев являются:
1) коммерческие или тестовые (отладочные) версии различных программ,
выпускаемых фирмами-разработчиками (компьютерные игры, прикладные
программы, интегрированные программные пакеты, операционные системы и
др.); 2) компьютерные системы, используемые для различных исследований;
3) Web – страницы пользователей сети Интернет (их изменение или замена
на другие, изменение адресов электронной почты).
На первой международной конференции Интерпола по компьютерной
преступности, где обсуждалась противоправная деятельность хакеров, они
были условно разделены на три группы. К первой относят молодежь в
возрасте 11-15 лет. В основном они совершают кражи через кредитные
карточки и телефонные номера, «взламывая» коды и пароли больше из-за
любознательности и самоутверждения. Обычно своими действиями они создают
серьезные помехи в работе сетей и компьютеров. Ко второй группе отнесены
лица в возрасте 17-25 лет. В основном это студенты, которые в целях
повышения своего «познавательного» уровня устанавливают тесные
от-ношения с хакерами других стран, посредством электронных сетей BBS
обмениваясь информа-цией и похищая ее из различных банков данных. К
третьей группе – лица в возрасте 30-45 лет, которые умышленно совершают
компьютерные преступления с целью получения материальной выгоды, а также
ради уничтожения или повреждения компьютерных сетей, – так называемый
«тип вандала». Однако данная выборка, по мнению автора, не является
репрезентативной. Ведь статистика ведется по «установленным»
правонарушениям. В то же время официальные власти большинства стран (в
том числе и США, где подобные преступления расследуются с 1966 г.)
вынуждены признавать, что выявление нарушителя почти в 90 % случаев
невозможно. На наш взгляд, наиболее опасные компьютерные преступления
совершают лица в возрасте 25-35 лет, имеющие инженерное образование и
продолжительный опыт работы в области информационных технологий в сфере
системного администрирования или программирования на языках низкого
уровня, неправомерная деятельность которых практически никогда не бывает
наказана. Основная же часть раскрытых компьютерных преступлений
совершается специалистами невысокой квалификации, знаний которых не
хватает для того, чтобы скрыть следы своего преступления.
Большинство хакеров – молодые люди в возрасте от 16 до 25 лет,
преимущественно мужчины, хотя количество женщин-хакеров растет. В этом
возрасте способность к восприятию информации наиболее высока, что
особенно важно для компьютерных преступлений. Кроме того, в этом
возрасте молодые люди активно ищут пути самовыражения, при этом одни
начинают писать стихи, другие уходят из дома, третьи погружаются в мир
компьютерных сетей.
В последнее время получила распространение точка зрения, что хакеры
образуют свою особую субкультуру, наподобие объединения рокеров,
металлистов, панков и пр. Носители этой субкультуры со временем
претерпевают серьезную психологическую трансформацию, связанную со
сменой ценностных ориентацией. Эта трансформация вызвана тем, что
объективной реальностью для хакера является компьютерная сеть -основная
среда их обитания. Настоящая объективная реальность для них скучна и
неинтересна, однако биологически необходима.
Как правило, хакеры создают свои объединения (группы), издают свои
электронные средства массовой информации (газеты, журналы, электронные
доски объявлений и пр.), проводят электронные конференции, имеют свой
жаргонный словарь, который распространяется с помощью компьютерных
бюллетеней, где имеются все необходимые сведения для повышения
мастерства начинающего хакера – методики проникновения в конкретные
системы и взлома систем защиты. Российские хакеры тесно контактируют с
зарубежными, обмениваясь с ними опытом по телекоммуникационным каналам.
Члены хакерских группировок действуют по принципу разделения труда.
Группу возглавляет лидер, имеющий, как правило, своих заместителей
(координаторов). Лидер осуществляет общее управление, ставит задачи,
разрабатывает стратегию существования и развития группы. Заместители
занимаются своими направлениями в четко функционирующем механизме;
рядовые члены выполняют приказы координаторов и лидера, специализируясь
на определенном этапе «производственного процесса».
В такой структуре может присутствовать еще одна ступень – поставщики.
Это люди, поставляющие хакерам особую информацию: идентификаторы и
пароли для доступа в компьютерную сеть, методы обхода или нейтрализации
систем безопасности, имеющиеся в них по небрежности или умыслу
разработчиков «люки», «дыры» и другие слабые места. Такие поставщики
-обычно сотрудники тех или иных фирм, недовольные своим служебным и
(или) материальным положением. При этом предоставление информации может
носить как разовый, так и долговременный характер.
Сфера интересов хакеров достаточно разнообразна. Известен случай, когда
подключившись к ЭВМ одного западноевропейского военного ведомства,
студенты получили возможность повышать людей в звании, назначать на
новые должности с баснословным жалованием и т.п.
В настоящее время крупные компании стремятся привлечь наиболее опытных
хакеров на работу с Целью создания систем защиты информации и
компьютерных систем.
Помимо профессиональных взломщиков компьютерных сетей и программ, в
числе лиц, совершающих компьютерные преступления, выделяют:
лиц, не обладающих серьезными познаниями в области программирования и
компьютерной техники, имеющих лишь некоторые пользовательские навыки
работы с ЭВМ. Как правило, их действия направлены на уничтожение,
блокирование, модификацию, копирование ничем не защищенной информации
(например, если компьютер не имеет пароля доступа или пароль известен
широкому кругу лиц);
лиц, имеющих психические отклонения. К их числу относят лиц, страдающих
различными компьютерными фобиями. Эта категория заболеваний связана с
нарушениями в информационном режиме человека под воздействием внешних
или внутренних дестабилизирующих факторов как врожденного, так и
приобретенного свойства.
Классификация субъектов неправомерного доступа к компьютерной
информации, предложенная В.В. Крыловым, в качестве основания которой
взят уровень профессиональной подготовки и социальное положение
достаточно полно отражает мотивы совершения данного преступления. В
соответствии с этим автор выделяет следующие их виды:
а) «хакеры» – лица, рассматривающие защиту компьютерных систем как
личный вызов и взламывающие их для получения полного доступа к системе и
удовлетворения собственных амбиций;
б) «шпионы» – лица, взламывающие компьютеры для получения информации,
которую можно использовать в политических, военных, и экономических
целях;
в) «террористы» – лица, взламывающие информационные системы для создания
эффекта опасности, который можно использовать в целях политического
воздействия;
г) «корыстные преступники» – лица, вторгающиеся в информационные системы
для получения личных имущественных или неимущественных выгод;
д) «вандалы» – лица, взламывающие информационные системы для их
разрушения;
е) психически больные лица, страдающие новым видом психических
заболеваний – информационными болезнями или компьютерными фобиями.
Классификация личности субъектов создания, использования и
распространения вредоносных программ для ЭВМ имеет определенную
специфику. Среди лиц, совершающих подобные преступления, можно выделить
следующие категории:
Любопытные. Автору вредоносной программы просто интересно, что может
произойти в результате действия его программного продукта. При этом не
ставится цель конкретного воздействия на определенный объект.
Амбициозные. Основная причина для написания вредоносной программы данной
категорией субъектов – это добиться признания своих способностей. Это
может выражаться в том, чтобы описание созданной вредоносной программы
появилось на Wildlist, сайте, освещающем циркулирующие в даный момент по
миру вирусы. Сюда же можно отнести и «Киткликеров» которые используют
готовые наборы компьютерного кода в вредоносными свойствами для создания
вирусов. Широко известный пример – создание червя Anna Kournikova, с
использованием набора Kalamar kit. Kit-кодеры не имеют знаний для
понятия осуществляемого процесса, ими руководит только одно – получение
известности.
Поточники. К данной группе авторов вредоносных программ относятся лица,
у которых производство вирусов путем комбинаций из различных наборов
кодов программ поставлено, что называется, на поток, они могут
производить их по нескольку десятков в день.
Профессионалы. Эта группа включает в себя лиц, которые имеют достаточно
серьезный опыт в программировании и могут писать на уровне антивирусной
индустрии. В созданные вирусы они добавляют процедуры и функции не
дающие при дизассемблировании получить исходный код. Обычно такие вирусы
пишутся для какого-либо исследования, а не для нанесения вреда конечному
пользователю. Как правило, их действия не наносят никому ущерба, а
указывают на направление, откуда ущерб может быть нанесен.
Рассерженные одиночки. Представляет собой наиболее опасный тип
вирусописателя. Их не интересует мораль, закон, или забота о том ущербе,
который может понести пострадавший. У каждого из них есть своя
персональная цель. Они ни в коей мере не относят себя ни к какой группе
хакеров. Их задача нанести максимальный урон или создать вирус, который
«даст власть над всем миром».
Обобщая изложенное, приведем примерный портрет субъекта неправомерного
доступа к компьютерной информации: лицо мужского пола (хотя количество
женщин, совершающих компьютерные преступления, с каждым годом
возрастает) в возрасте от 18 до 45 лет, высококлассный
специалист-программист, профессионал с большим опытом работы является
незаурядной, неординарной личностью, готов принять вызов, настроен на
соперничество и противоборство, боится разоблачения, потери уважения,
его поведение несколько отклоняется от принятых в обществе норм; он
пользуется доверием по службе и имеет свободный доступ к компьютерным
системам; как правило, приходит на работу первым, а уходит с нее
последним, практически никогда не берет отпуск. Свои действия объясняет
тем, что считает их не чем иным, как игрой.
ГЛАВА 3. Типичные исходные следственные ситуации и особенности
первоначального этапа расследования преступлений в сфере компьютерной
информации
§1. Первоначальный этап расследования неправомерного доступа к
компьютерной информации
При расследовании неправомерного доступа к компьютерной информации
подлежат установлению следующие обстоятельства:
Факт неправомерного доступа к компьютерной информации.
Место несанкционированного проникновения в компьютерную систему или
сеть.
Время несанкционированного доступа.
Надежность средств защиты компьютерной информации.
Способ совершения несанкционированного доступа.
Лица, совершившие неправомерный доступ к компьютерной информации.
Виновность и мотивы лиц, совершивших неправомерный доступ к компьютерной
информации.
Вредоносные последствия неправомерного доступа к компьютерным системам
или сетям.
Обстоятельства, способствовавшие неправомерному доступу к компьютерной
информации.
Факт неправомерного доступа к информации в компьютерной системе или сети
обычно первыми обнаруживают сами же пользователи информационной системы.
Однако они не всегда своевременно сообщают об этом правоохранительным
органам. Особенно это относится к руководителям кредитно-финансовых и
банковских учреждений, которые не желают вызывать у клиентов сомнения в
надежности своих учреждений. Они также опасаются, что по этому факту
начнется проведение проверок, ревизий и экспертиз, могущих раскрыть их
финансовые и иные служебные тайны, вскрыть другие серьезные недостатки.
Факт несанкционированного доступа в сети Интернет вскрывается уже после
того, как фирма-провайдер присылает счет о предоставленных услугах на
сумму, явно превышающую допустимые пределы работы зарегистрированного
пользователя. Кроме того, время работы также не соответствует
действительности. В результате этого официально зарегистрированный
пользователь отказывается платить за услуги, которыми не пользовался, а
фирма-провайдер соответственно несет убытки. Возможны и другие варианты
развития событий. Например, в случае если официально зарегистрированный
пользователь превышает данные ему полномочия и вносит изменения в
страницы, принадлежащие другим пользователям.
Установить факт неправомерного доступа к компьютерной информации можно и
в процессе проведения проверочных мероприятий в стадии возбуждения
уголовного дела либо в ходе проведения ревизий, судебных экспертиз, иных
следственных действий по уголовным делам, находящимся в производстве
следователей, а также при проведении оперативно-розыскных мероприятий.
Установление места несанкционированного доступа в компьютерную систему
или сеть может вызывать определенные трудности, поскольку по делам
данной категории может быть несколько мест совершения одного
преступления.
Чаще обнаруживается место непосредственного использования результатов
неправомерного доступа к компьютерной информации, особенно связанного с
хищением денежных средств. Так, по делу о покушении на хищение из
Центрального банка РФ более 68 миллиардов рублей таких мест оказалось
сразу девять: одно из них – само помещение этого банка, и восемь –
помещения коммерческих банков, в адрес которых были незаконно переведены
из Центрального банка по компьютерной сети крупные суммы денег путем
ввода в электронную обработку двенадцати фальшивых платежных документов.
Как выяснилось позже, вводились они неустановленными лицами с рабочего
места № 83 оператором ввода № 07 с терминала № 07.
На всех этих местах должны были остаться следы одного преступления.
Однако на первоначальном этапе расследования установить физический адрес
ввода фальшивых документов так и не удалось. По мнению специалистов, в
той ситуации такой ввод мог быть осуществлен с любого рабочего места,
имеющего телекоммуникационную связь с компьютерами. Тем более что
эксплуатируемый программный комплекс фактически был открыт для
несанкционированного ввода, обновления (корректировки, изменения) и
обработки любой информации.
Поэтому при обнаружении неправомерного доступа к информации в
компьютерной системе или сети следует выявить все места, где расположены
компьютеры, имеющие единую телекоммуникационную связь.
Проще обстоит дело, когда совершен несанкционированный доступ к
отдельному изолированному компьютеру, находящемуся в одном помещении.
Однако и в этом случае необходимо учитывать, что компьютер может
находиться в одном помещении, а информация на машинных носителях – в
другом. Следовательно, надо выявить и это место.
Труднее устанавливать место непосредственного использования технических
средств для несанкционированного доступа (особенно мобильных), не
входящих в данную компьютерную систему или сеть.
Следует установить и место хранения информации на машинных носителях
либо в виде распечаток, добытых в результате неправомерного доступа к
компьютерной системе или сети.
Установление времени несанкционированного доступа. Любой современный
компьютер имеет встроенный таймер, отражающий информацию о дне недели,
дате, часе и минуте в реальном времени. Естественно, что его точность
определяется правильностью первоначальной установки времени, выбором
правильного часового пояса, а также переходом на летнее или зимнее
время. Время последней модификации файла отражается в его атрибутах и
достаточно просто может быть выяснено с помощью программ общесистемного
назначения.
Кроме того, при входе в систему или сеть время работы на компьютере
любого пользователя автоматически фиксируется в специальных системных
файлах. Исходя из этого, точное время доступа можно установить путем
следственного осмотра работающего компьютера либо распечаток или дискет.
Время неправомерного доступа к компьютерной информации можно также
установить путем допроса свидетелей из числа сотрудников данной
компьютерной системы, выясняя у них, в какое время каждый из них работал
на компьютере, если оно не было зафиксировано автоматически.
Установление способа совершения несанкционированного доступа. Конкретный
способ несанкционированного доступа к компьютерной информации можно
установить в процессе допроса свидетелей из числа лиц, обслуживающих эту
систему, или ее разработчиков, а также путем производства
компьютерно-технической экспертизы.
Для установления способа и отдельных обстоятельств механизма
неправомерного доступа к компьютерной информации может быть проведен
следственный эксперимент с целью проверки возможности преодоления
средств защиты компьютерной системы одним из вероятных способов.
Установление надежности средств защиты компьютерной информации. Прежде
всего необходимо установить, предусмотрены ли вообще в данной
компьютерной системе меры защиты от несанкционированного доступа к
определенным файлам. Это можно выяснить при допросе разработчиков и
пользователей, а также при изучении проектной документации и
соответствующих инструкций по эксплуатации данной системы. В них должны
содержаться специальные разделы, относящиеся к мерам защиты информации,
с подробным описанием порядка допуска пользователей к определенным
категориям данных (т.е. разграничением их полномочий), организации за
доступом контроля, конкретных методов защиты информации (аппаратных,
программных, криптографических, организационных и пр.).
Законодательством предусмотрены обязательная сертификация средств защиты
систем обработки и хранения информации с ограниченным доступом,
обязательное лицензирование всех видов деятельности в области
проектирования и производства таких средств. Разработчики, как правило,
гарантируют надежность своих средств при условии, если будут соблюдены
установленные требования. Поэтому в процессе расследования требуется
установить: во-первых – имеется ли лицензия на производство средств
защиты информации от несанкционированного доступа, используемых в данной
компьютерной системе; во-вторых — соответствуют ли их параметры
выданному сертификату. Для проверки такого соответствия назначается
компьютерно-техническая экспертиза.
При исследовании объекта, где совершено преступление, необходимо
выяснить:
технические и конструктивные особенности помещений, связанные с
установкой и эксплуатацией вычислительной техники (специальное
оборудование полов, потолков и окон, каналы кабельных и вентиляционных
шахт, установка и фактическое состояние устройств кондиционирования
воздуха, система электропитания и иные особенности);
особенности установки средств комплекса вычислительной техники
(сосредоточены в одном месте или расположены в различных помещениях);
способы связи компьютеров между собой посредством
локально-вычислительной сети, устройств телекоммуникации и состояние
линий связи;
структуру, конфигурацию сети ЭВМ и внешних информационных связей;
режим работы.
Установление лиц, совершивших неправомерный доступ к компьютерной
информации. Практика показывает, что чем хитрее и сложнее в техническом
плане способ такого проникновения, тем легче «вычислить» преступника,
поскольку круг специалистов, обладающих такими способностями, сужается.
Причастность конкретного лица к несанкционированному доступу к
компьютерной информации помимо свидетельских показаний может быть
установлена также и по материально-фиксированным отображениям,
обнаруженным при производстве следственного осмотра компьютера и его
компонентов. Это могут быть следы пальцев рук, оставленные на их
поверхности, отдельные записи на внешней упаковке дискет, дисков, где
обычно остаются заметки о характере записанной на них информации, а
порой и о том, кому принадлежат эти носители информации; следы обуви и
другие материальные следы. Для их исследования назначаются традиционные
криминалистические экспертизы, дактилоскопические, почерковедческие,
трасологические, а так-же техническое исследование документов.
Чтобы выявить лиц, обязанных обеспечивать соблюдение режима доступа к
компьютерной системе или сети, надо прежде всего ознакомиться с
имеющимися инструкциями, устанавливающими полномочия должностных лиц,
ответственных за защиту информации, после чего следует их допросить.
Допросами лиц, обслуживающих компьютерную систему, можно установить: кто
запускал нештатную программу, было ли это зафиксировано каким-либо
способом? Следует также выяснить, кто увлекался программированием
(возможно, кто-то учится или учился на компьютерных курсах).
При наличии достаточных оснований у лиц, заподозренных в неправомерном
доступе к компьютерной информации, производится обыск, в процессе
которого могут быть обнаружены компьютерная техника, различные записи,
дискеты, содержащие сведения, могущие иметь отношение к расследуемому
событию, например коды, пароли, идентификационные номера пользователей
конкретной компьютерной системы, а также данные о ее пользователях.
В ходе обысков и осмотров следует обращать внимание на литературу и
методические материалы по компьютерной технике и программированию. Так,
по делу о хищении валютных средств из Внешэкономбанка, в ходе обыска у
одного из обвиняемых были обнаружены работа на тему «Компьютерные
злоупотребления и способы их пресечения» и программа его
производственной практики в ФРГ – «Изучение состояния дел с защитой
информации при обработке ее на ЭВМ и подготовка соответствующих
рекомендаций с учетом возможностей программного обеспечения и принятых в
банке технических и технологических решений по реализации находящихся в
эксплуатации задач».
Все это, хотя и косвенно, указывало на возможную причастность данного
обвиняемого к расследуемому преступлению.
Установление виновности и мотивов лиц, совершивших неправомерный доступ
к компьютерной информации. Установить виновность и мотивы
несанкционированного доступа к компьютерной информации можно только по
совокупности результатов всех процессуальных действий. Решающими из них
являются допросы свидетелей, подозреваемых, обвиняемых, потерпевших,
заключения судебных экспертиз, результаты обыска.
Установление вредоносных последствий неправомерного доступа к
компьютерным системам или сетям. Прежде всего необходимо установить, в
чем выражены вредные последствия такого доступа (хищение денежных
средств или материальных ценностей, завладение компьютерными
программами, информацией путем изъятия ее машинных носителей либо
копирования, а также незаконное изменение, уничтожение, блокирование или
вывод из строя компьютерного оборудования, введение в компьютерную
систему заведомо ложной информации или компьютерного вируса и пр.).
Хищение денежных средств в банковских электронных системах зачастую
обнаруживаются самими работниками банков или в результате проведения
оперативно-розыскных мероприятий. Конкретная сумма хищения
устанавливается судебно-бухгалтерской экспертизой.
Неправомерное завладение компьютерными программами вследствие
несанкционированного допуска к системе, их незаконное использование
выявляются чаще всего самими потерпевшими.
Однако возможны случаи, когда точно определить размер материального
ущерба невозможно. Так, значительный ущерб был причинен Московской
городской телефонной сети в результате незаконного копирования ее базы
данных (которая широко распродавалась на московских рынках) с номерами
квартирных телефонов москвичей (телефонный справочник).
Если компьютерная информация относится к категории конфиденциальной или
государственной тайны, то конкретный вред, причиненный ее разглашением,
устанавливается представителями Гостехкомиссии РФ. Факты незаконного
изменения, уничтожения информации, блокирования либо вывода из строя
компьютерного оборудования или введения в компьютерную систему заведомо
ложной информации устанавливаются прежде всего самими пользователями.
Выявление обстоятельств, способствовавших неправомерному доступу к
компьютерной информации. На последующем этапе расследования формируется
целостное представление об обстоятельствах, способствовавших
неправомерному доступу к компьютерной информации. С этой целью изучаются
документы, относящиеся к защите информации, и заключение
компьютерно-технической экспертизы. Если по факту неправомерного доступа
проводилось внутреннее (служебное) расследование, то его выводы также
могут оказаться полезными при выявлении причин и условий его совершения.
Проведенное нами исследование показывает, что наиболее распространенными
поводами к возбуждению уголовного дела по ст. 272 УК РФ являются:
сообщения должностных лиц организаций или их объединений (около 40 %);
заявления граждан (около 35 %);
непосредственное обнаружение органом дознания, следователем или
прокурором сведений, указывающих на признаки преступления (около 20 %);
сообщения в средствах массовой информации и иные поводы (около 5 %).
В криминалистической науке установлено, определение основных направлений
расследования и особенности тактики отдельных следственных действий
зависит от характера исходных данных. В связи с этим в юридической
литературе неоднократно предпринимались попытки систематизации исходных
данных, в результате чего появилось понятие исходной следственной
ситуации. Под исходной следственной ситуацией понимается объективно
сложившаяся в первый период расследования его информационная среда,
обстановка проведения и другие условия расследования.
В зависимости от источника и содержания сведений о неправомерном доступе
к компьютерной информации могут складываться различные проверочные
ситуации. В.В. Крылов выделяет три типичные проверочные ситуации,
называя их при этом типовыми следственными:
Собственник информационной системы собственными силами выявил нарушения
конфиденциальности информации в системе, обнаружил виновное лицо и
заявил об этом в правоохранительные органы.
Собственник самостоятельно выявил указанные нарушения в системе, однако
не смог обнаружить виновное лицо и заявил об этом в правоохранительные
органы.
Данные о нарушении конфиденциальности информации в информационной
системе и виновном лице стали общеизвестны или непосредственно
обнаружены органом дознания (например, в ходе проведения
оперативно-розыскных мероприятий по другому делу).
Представляется, эти ситуации не исчерпывают всего многообразия
проверочных ситуаций хотя бы потому, что факт неправомерного доступа
может обнаружить не собственник информации, а, к примеру, оператор (что
чаще всего и бывает), однако это еще не говорит о том, что факт доступа
стал общеизвестным.
Обобщение практики показывает, что при решении вопроса о возбуждении
уголовного дела по ст. 272 УК РФ возможны следующие проверочные
ситуации:
Неправомерный доступ обнаружен при реализации компьютерной информации
незаконным пользователем, личность которого известна и местонахождение
установлено (например, при распространении сведений, носящих
конфиденциальный характер).
Неправомерный доступ обнаружен законным пользователем, его личность и
местонахождение не известно, однако имеются отдельные сведения,
позволяющие ее установить.
Имел место факт неправомерный доступ к компьютерной информации, однако
лицо, его совершившее, не установлено.
Итак, итогом разрешения проверочной ситуации должно быть принятие
процессуального решения. С целью проверки сообщения о преступлении не
могут производиться следственные действия, которые закон допускает
только после возбуждения уголовного дела. Исключение составляет только
осмотр места происшествия. В соответствии с ч.2 ст. 176 УПК РФ, в
случаях, не терпящих отлагательства, осмотр места происшествия может
быть произведен до возбуждения уголовного дела. Случаи производства до
возбуждения уголовного дела иных следственных действий противоречат
закону.
Помимо осмотра места происшествия с целью проверки сообщения о
преступлении могут производиться иные процессуальные действия, к числу
которых относятся требования, поручения, запросы (ст. 21 УПК РФ). В
частности, в соответствии с ч.2 ст. 144 УПК РФ по требованию прокурора,
следователя или органа дознания редакция, главный редактор
соответствующего средства массовой информации обязаны передать имеющиеся
в их распоряжении документы и материалы, подтверждающие сообщение о
преступлении, а также данные о лице, предоставившем указанную
информацию, за исключением случаев, когда это лицо поставило условие о
сохранении в тайне источника информации. Предметы и документы могут быть
предоставлены также потерпевшим, его адвокатом и другими лицами (ст. 86
УПК РФ).
В целях проверки поступивших сообщений о преступлении и решении вопроса
о наличии или отсутствии оснований для возбуждения уголовного дела орган
дознания, прокурор могут использовать имеющиеся в их распоряжении
средства административной, оперативной, прокурорской проверки,
применением которых не обусловлено наличием производства по уголовному
делу.
С учетом комплекса исходной информации, полученной при проведении
проверочных действий на первоначальном этапе расследования, возможна
следующая классификация типичных следственных ситуаций:
Установлен неправомерный доступ к компьютерной информации, есть следы,
есть подозреваемый, и он дает правдивые показания.
Установлен неправомерный доступ к компьютерной информации, имеются
следы, прямо указывающие на конкретного подозреваемого, но он отрицает
свою причастность к совершению преступления.
Установлен неправомерный доступ к компьютерной информации, известны
лица, несущие по своему служебному положению за это ответственность, но
характер их личной вины, а также обстоятельства доступа не установлены.
Установлен факт неправомерного доступа к компьютерной информации,
совершить который и воспользоваться его результатами могли только лица
из определенного круга (по своему положению, профессиональным навыкам и
знаниям), либо известны лица (фирмы, организации), заинтересованные в
получении данной информации.
Последняя из приведенных следственных ситуаций является наиболее
сложной, так как отсутствуют сведения о виновном лице, следы
преступления, неизвестен способ совершения и другие данные.
Следует отметить, что если в качестве основных признаков брать только
данные о подозреваемых, свидетелях и следах преступления, то количество
следственных ситуаций в зависимости от установленных обстоятельств
составит 23=8 (см. схему 1).
Для разрешения следственных ситуаций, складывающихся после возбуждения
уголовного дела, производятся следующие следственные действия: допрос
свидетелей, обыск помещений, допрос подозреваемого, назначение
экспертиз, проверки по оперативно-справочным, розыскным и
криминалистическим учетам.
Таблица 2
Варианты следственных ситуаций в зависимости от наличия исходных данных
о следах, подозреваемых и свидетелях
Исходные данные Номер варианта следственной ситуации
1 2 3 4 5 6 7 8
Следы Нет Нет Нет Есть Нет Есть Есть Есть
Подозреваемый Нет Нет Есть Нет Есть Нет Есть Есть
Свидетели Нет Есть Нет Нет Есть Есть Нет Есть
Информационная определенность
Рассмотрим основные направления действий следователя по расследованию
неправомерного доступа к компьютерной информации, совершенного в
условиях неочевидности. В качестве примера используем реальную ситуацию,
связанную с неправомерным подключением к сети Интернет за счет законных
пользователей.
Однако сначала необходимо рассмотреть основные понятия и технические
термины, используемые при работе в Интернете и организацию работы сети.
С технической точки зрения Интернет – объединение транснациональных
компьютерных сетей, работающих по самым разнообразным протоколам,
связывающих всевозможные типы компьютеров, физически передающих данные
по телефонным кабелям и волоконной оптике через спутники и радиомодемы.
В Интернете используются два основных понятия: адрес и протокол.
Под адресом, применительно к компьютерным телекоммуникациям, понимается
конкретное местонахождение компьютера внутри сети или ее отрезке
(страна, город, здание). Свой адрес имеет любой компьютер, подключенный
к Интернету. Даже при временном соединении по коммутируемому каналу
компьютеру выделяется конкретный адрес, который однозначно определяет
его местонахождение.
Протокол – устанавливает правила взаимодействия. Стандартные протоколы
заставляют разнотипные компьютеры, в т.ч. работающие под управлением
различных операционных систем, «говорить на одном языке». Таким образом,
осуществляется возможность их подключения к Интернету. Учитывая
невозможность описать в одном протоколе все правила взаимодействия,
сетевые протоколы строятся по многоуровневому принципу. На нижнем уровне
используются два основных протокола: IP -Internet Protocol (Протокол
Интернета) и TCP – Transmission Control Protocol (Протокол управления
передачей). Так как эти два протокола тесно взаимосвязаны, то часто их
объединяют и говорят, что в Интернете базовым протоколом является
TCP/IP.
Сети, работающие по протоколам tcp/ip, родились как проект агентства
«DARPA» Министерства обороны США. Сеть создавалась на случай ядерной
войны и предполагала, что любой компьютер в сети может перестать
функционировать в любой момент, равно как и линии связи между
компьютерами. Именно такая постановка задачи привела к рождению сетевой
технологии, которая дефакто стала технологией всемирной сети –
технологии tcp/ip.
Протокол ip – это протокол, описывающий формат пакета данных,
передаваемого по сети. Например, когда Вы получаете телеграмму, весь
текст в ней (и адрес, и сообщение) написаны на ленте подряд, но есть
правила, позволяющие понять, где тут адрес, а где сообщение. Аналогично
пакет в компьютерной сети представляет собой поток битов, а протокол ip
определяет, где адрес и прочая служебная информация, а где сами
передаваемые данные, а протокол tcp призван контролировать саму передачу
и целостность передаваемой информации. Например, если Вы не расслышали,
что сказал Вам собеседник в телефонном разговоре, то Вы просите его
повторить сказанное. Примерно этим занимается протокол tcp применительно
к компьютерным сетям. Компьютеры обмениваются пакетами протокола ip,
контролируют их передачу по протоколу tcp и, объединяясь в глобальную
сеть, образуют Интернет.
Протоколы tcp/ip для компьютеров – это как правила общения для людей.
Пользуясь этими правилами, люди спорят, рассказывают, записывают
сообщения на автоответчик т.д. Аналогичным образом обстоят дела и с
компьютерами – протокол tcp/ip позволяет передавать информацию, а его, в
свою очередь, используют разнообразные сервисы, или услуги, по-разному
обращающиеся с информацией.
Наиболее подходящим для классификации сервисов Интернет является деление
на сервисы интерактивные, прямые и отложенного чтения. Сервисы,
относящиеся к классу отложенного чтения, наиболее распространены,
наиболее универсальны и наименее требовательны к ресурсам компьютеров и
линиям связи.
Основным признаком этой группы является та особенность, что запрос и
получение информации могут быть достаточно сильно (что, в общем-то,
ограничивается только актуальностью информации на момент получения)
разделены по времени. Сюда относится, например, электронная почта (более
подробно отдельные сервисы будут рассмотрены ниже).
Сервисы прямого обращения характерны тем, что информация по запросу
возвращается немедленно. Однако от получателя информации не требуется
немедленной реакции. Сервисы, где требуется немедленная реакция на
полученную информацию, т.е. получаемая информация, является, по сути
дела, запросом, относятся к интерактивным сервисам. Для пояснения
вышесказанного можно заметить, что в обычной связи аналогами сервисов
интерактивных, прямых и отложенного чтения являются, например, телефон,
факс и письменная корреспонденция.
Электронная почта (E-mail) – типичный сервис отложенного чтения
(offline). Пользователь посылает свое сообщение, как правило, в виде
обычного текста, адресат получает его на свой компьютер через какой-то,
возможно, достаточно длительный, промежуток времени, и читает
поступившее сообщение тогда, когда ему будет удобно.
E-mail очень похожа на обычную бумажную почту, обладая теми же
достоинствами и недостатками. Обычное письмо состоит из конверта, на
котором написан адрес получателя и стоят штампы почтовых отделений, пути
следования, и содержимого – собственно письма. Электронное письмо также
состоит из заголовков, содержащих служебную информацию (об авторе
письма, получателе, пути прохождения по сети и т.д.), играющих роль
конверта, и собственно содержимого письма. Существует возможность
вложить в обычное письмо что-нибудь, например, фотографию; аналогично,
можно послать файл с данными электронным письмом. Пользователь может
подписать обычное письмо, можно подписать и электронное письмо. Обычное
письмо может не дойти до адресата или дойти слишком поздно -как и
электронное письмо. Обычное письмо весьма дешево, и электронная почта –
самый дешевый вид связи.
Сетевые новости (Usenet), или, как их принято называть в российских
сетях, телеконференции – это, пожалуй, второй по распространенности
сервис Интернет. Если электронная почта передает сообщения по принципу
«от одного – одному», то сетевые новости передают сообщения «от одного
-многим». Механизм передачи каждого сообщения похож на передачу слухов:
каждый узел сети, узнавший что-то новое (т.е. получивший новое
сообщение), передает новость всем знакомым узлам, т.е. всем тем узлам, с
кем он обменивается новостями. Таким образом, посланное сообщение
распространяется, многократно дублируясь, по сети, достигая за довольно
короткие сроки всех участников телеконференций Usenet во всем мире. При
этом в обсуждении интересующей пользователя темы может участвовать
множество людей, независимо от того, где они находятся физически, и
пользователь может найти собеседников для обсуждения самых необычных
тем.
Новости разделены по иерархически организованным тематическим группам, и
имя каждой группы состоит из имен подуровней иерархии, разделенных
точками, причем более общий уровень пишется первым. Рассмотрим,
например, имя группы новостей comp.sys.sun.admin. Эта группа относится к
иерархии верхнего уровня согпр, предназначенной для обсуждения всего,
связанного с компьютерами. В иерархии сотр есть подуровень sys,
предназначенный для обсуждения различных компьютерных систем. Далее, sun
означает компьютерные системы фирмы Sun Microsystems, a admin обозначает
группу, предназначенную для обсуждения вопросов администрирования таких
компьютерных систем. Итак, группа comp.sys.sun.admin предназначена для
обсуждения вопросов администрирования компьютерных систем фирмы Sun
Microsystems.
К интерактивным сервисам, предназначенным для общения людей через
Интернет, относится IRC – Internet Relay Chat, разговоры через Интернет.
В Интернете существует сеть серверов IRC. Пользователи присоединяются к
одному из каналов (тематических групп) и участвуют в разговоре, который
ведется не голосом, но текстом. Узлы IRC синхро-низованы между собой,
так что, подключившись к ближайшему серверу, пользователь подключаетеся
ко всей сети IRC. Подобную функцио-нальность несут еще два сервиса – MUD
и МОО. Расшифровываются эти аббревиатуры как Multi User Dungeon
(многопользовательская игра) и Object-Oriented MUD
(объектно-ориентированный многопользовательский мир).
Система гипермедиа WWW (World Wide Web – всемирная паутина) – самый
популярный и интересный сервис Интернет, самое популярное и удобное
средство работы с информацией. WWW работает по принципу клиент-сервер,
точнее, клиент-серверы: существует множество серверов, которые по
запросу клиента возвращают ему гипермедийный документ – документ,
состоящий из частей с разнообразным представлением информации (текст,
звук, графика, трехмерные объекты и т.д.), в котором каждый элемент
может служить ссылкой на другой документ или его часть. Ссылки эти в
документах WWW организованы таким образом, что каждый информационный
ресурс в глобальной сети Интернет однозначно адресуется, и документ,
который Вы читаете в данный момент, способен ссылаться как на другие
документы на этом же сервере, так и на документы (и вообще на ресурсы
Интернета) на других компьютерах в Интернете. Причем пользователь не
замечает этого, и работает со всем информационным пространством
Интернета как с единым целым. Ссылки WWW указывают не только на
документы, специфичные для самой WWW, но и на прочие сервисы и
информационные ресурсы Интернета. Более того, большинство программ –
клиентов WWW (browsers, навигаторы) не просто понимают такие ссылки, но
и являются программами-клиентами соответствующих сервисов: ftp, сетевых
новостей Usenet, электронной почты и т.д. Таким образом, программные
средства WWW являются универсальными для различных сервисов Интернета, а
сама информационная система WWW играет интегрирующую роль.
Рассмотрим некоторые термины, наиболее часто использующиеся в WWW.
HTML (hypertext markup language, язык разметки гипертекста). Это формат
гипермедийных документов, использующихся в WWW для предоставления
информации. Формат этот описывает не то, как документ должен выглядеть,
а его структуру и связи. Внешний вид документа на экране пользователя
определяется навигатором. Если Вы работаете за графическим или текстовым
терминалом, то в каждом конкретном случае документ будет выглядеть
по-своему, однако структура его останется неизменной, поскольку она
задана форматом html. Имена файлов в формате html обычно оканчиваются на
html (или имеют расширение htm в случае, если сервер работает под MS-DOS
или Windows).
URL (uniform resource locator, универсальный указатель на ресурс). Так
называются те самые ссылки на информационные ресурсы Интернет.
HTTP (hypertext transfer protocol, протокол передачи гипертекста). Это
название протокола, по которому взаимодействуют клиент и сервер WWW.
WWW – сервис прямого доступа, требующий полноценного подключения к
Интернет, и более того, часто требующий быстрых линий связи, в случае,
если документы, которые Вы читаете, содержат много графики или другой
нетекстовой информации.
Пользователи Интернета подключаются к сети через компьютеры специальных
организаций, называемые поставщиками услуг Интернета или провайдерами.
Подключение к Интернету с помощью поставщика услуг означает, что с
помощью модема пользователя устанавливается соедине-ние с компьютером
поставщика, который и связывает пользователя с Ин-тернетом. Сам Интернет
не является коммерческой организацией и никому не принадлежит.
Компьютерная сеть провайдерской компании создается для обеспечения работ
по предоставлению доступа в Интернет в соответствии с действующим
законодательством, учредительными документами и лицензией на право
предоставления услуги передачи данных и услуги телематических служб.
Кроме того, работа сети организована таким образом, чтобы производить в
автоматизированном режиме расчеты с клиентами за предоставляемые им
услуги в зависимости от времени их использования и в соответствии с
установленным прейскурантом цен. Для этих целей в сети провайдера
имеется информация о присвоенном пользователю «имени» и «пароле»,
которая является коммерческой тайной (на основании ст. 139 ГК РФ) и
сообщается пользователю при заключении договора с ним для обеспечения
его работы в сети Интернет. Таким образом, правомерно использовать ее
может либо пользователь, заключивший договор, либо технический персонал
компании. При обращении к подобной информации третьих лиц происходит
нарушение работы сети ЭВМ, вследствие чего в учетно-статистические
данные сети поступает искаженная информация о пользователе, времени
начала и продолжительности его работы и, как результат, происходит
списание денежных средств со счета клиента за услуги, которые он
фактически не получал.
Кроме того, при использовании третьими лицами не принадлежащего им имени
и пароля зарегистрированный пользователь лишается возможности
воспользоваться этой информацией для доступа в сеть Интернет и
соответственно лишается возможности работы в ней.
Физически процесс доступа к сети Интернет осуществляется разли-чными
способами в зависимости от используемого оборудования и программного
обеспечения. Один из вариантов происходит следующим образом.
Пользователь «дозванивается» со своего компьютера, подключенного к
телефонной линии при помощи модема, до модема (модемного пула)
провайдера, сообщает маршрутизатору свои идентификационные данные
(идентификация – присвоение имени субъекту или объекту), маршрутизатор
переправляет их на сервер авторизации, на котором находится файл «users»
(тот самый файл являющийся коммерческой тайной), со списком
идентификаторов пользователей и после процесса аутентификации
(аутентификация – проверка подлинности субъекта или объекта) разрешает
выход в Интернет, переправляя информацию о начале работы пользователя в
сети в «logfile», находящийся на том же сервере. После завершения работы
пользователя данный момент также фиксируется в «logfile» и на его
основании формируется файл «billing» т.е. счёт за предоставленные
услуги.
При вводе ложных идентификационных данных происходит нарушение работы
всей этой системы в целом, поскольку даже правильная обработка
искаженной входящей информации приводит к выдаче искаженной исходящей
информации.
Расследование незаконного подключения к сети Интернет за счет других
абонентов осуществляется следующим образом:
Основанием для возбуждения уголовного дела, как правило, служат
заявления потерпевших – законных пользователей, работающих в сети на
основании договора с фирмой-провайдером. Организация предварительной
проверки по поступившему заявлению чаще всего поручается специальным
подразделениям по борьбе с преступлениям в сфере высоких технологий
Министерства внутренних дел. В ходе предварительной проверки берутся
объяснения с заявителя по существу заявления, в частности что послужило
основанием для решения о работе в сети посторонних лиц с реквизитами
(именем и паролем) законного пользователя, а также размер материального
ущерба. Обязательно выясняется, с каким провайдером заключен договор, а
так же присвоенное пользователю имя для работы в сети.
Далее, у провайдера истребуется протокол работы в сети данного абонента
за определенный период времени (соответственно периоду, указанному
заявителем) с указанием даты, времени начала сессии, продолжительности
работы, суммы денежных средств, списанных со счета клиента. На основании
данных о дате, времени и продолжительности работы в сети, в местном узле
электросвязи выясняется, с каких номеров телефонов осуществлялся доступ
в сеть Интернет в определенное время. По указанным номерам телефонов
устанавливаются адреса, откуда производилась связь, и кто по этим
адресам проживает.
На основе совокупности собранных данных следователь имеет основания
после возбуждения уголовного дела произвести обыск по месту жительства
«заподозренного». К работе необходимо привлечь грамотного специалиста в
области средств электронно-вычислительной техники и программного
обеспечения. Определить возможные меры безопасности, предпринимаемые
преступниками с целью уничтожения доказательств по делу. Кроме того,
необходимо привлечь сотрудника ГТС с целью определения возможности
несанкционированного подключения к телефонной линии посторонних лиц с
целью работы в сети Интернет с данного телефонного номера. Подобрать
понятых, которые разбираются в компьютерной технике (основных операциях,
названиях компьютерных программ и т.п.), с тем чтобы исключить
возможность оспаривания в суде правильности проведенного следственного
действия и его результатов.
Идеальным можно считать проведение обыска в момент совершения
преступления, устанавливаемый по предварительной договоренности с
провайдером, который может сообщит о моменте выхода в сеть Интернет
абонента данного телефонного номера. В этом случае необходимо
осуществить максимально быстрый доступ к компьютеру (без
предварительного обесточивания квартиры). Отстранить пользователя от
работы и с помощью видео либо фототехники зафиксировать изображение на
мониторе с указанием даты и времени фиксации, после чего произвести
осмотр компьютера.
Однако провести обыск именно в момент совершения преступления с
организационной и технической точки достаточно сложно, поэтому ниже
рассматривается наиболее распространенный случай. Помимо подробно
изложенных в ряде методических рекомендаций особенностей проведения
обыска, необходимо обратить внимание на наличие рукописных записей на
рабочем столе в ежедневниках, телефонных и записных книжках, поскольку в
большинстве случаев преступники ведут записи полученных ими сетевых
реквизитов. Также необходимо установить заключался ли ранее
пользователем договор на предоставление доступа в Интернет и если да, то
изъять соответствующие документы.
При допросе свидетелей необходимо максимально сузить круг лиц, имеющих
возможность выхода в Интернет с данного компьютера. Для этого необходимо
установить, есть ли навыки работы с компьютером у лиц, имеющих доступ к
нему, а также возможность присутствия в помещении посторонних лиц в то
время, когда в распечатке зафиксирован сеанс связи с провайдером.
При допросе подозреваемого необходимо составить перечень вопросов,
подлежащих установлению с учетом выбранных квалификационных признаков. В
данном случае необходимо обратить внимание на следующее.
Установить, каким образом были получены идентификационные данные. Если
они получены у третьих лиц, то установить, у кого, где, при каких
обстоятельствах и на каких условиях. Если самостоятельно, то каким
образом, с подробным описанием последовательности действий. Кроме того,
в этом случае целесообразно провести следственный эксперимент (на данном
этапе согласовать возможность его проведения) с целью проверки показаний
и уточнения данных, имеющих значение для дела. Однако его проведение
требует специальной подготовки рабочего места и целесообразно после
производства экспертизы в ходе последующего допроса.
Определить навыки («стаж») работы на персональном компьютере и в
Интернете с подробным описанием процесса получения доступа в Интернет, а
также основных целей работы в сети. Необходимо установить, знает ли
пользователь порядок официального заключения договора, порядок оплаты и
возможные последствия использования не принадлежащих идентификационных
данных.
Установить характеристики используемого компьютера, а также программного
обеспечения, установленного на нём. Это позволит конкретизировать
вопросы при назначении экспертизы, а также определить познания
подозреваемого в компьютерной технике.
Обязательным является изъятие в ходе обыска компьютерной техники и ее
осмотр, а также осмотр изъятых предметов и документов. Затем назначается
компьютено-техническая экспертиза.
Перед экспертами могут быть поставлены вопросы:
Был ли на данной ЭВМ установлен модем?
Осуществлялся ли при помощи данной ЭВМ доступ в глобальную компьютерную
сеть Интернет? Если да, то через каких провайдеров, при помощи каких
имен пользователей?
Имеется ли на жестком диске данной ЭВМ следующая информация:
имя пользователя (логин) и пароли к нему;
фамилии, имена, телефонные номера и другие сведения, представляющие
интерес по делу;
программа для работы с электронной почтой (e-mail) и почтовые архивы;
если да, то имеются ли среди архивов такие, которые могут представлять
интерес в рамках настоящего уголовного дела;
какой адрес электронной почты принадлежал лицу, которое пользовалось
этим экземпляром почтовой программы;
другие программы для общения через Интернет и архивы принятых и
переданных сообщений;
какой адрес электронной почты принадлежал лицу, которое пользовалось
указанными экземплярами программ.
Имеются ли на представленном ПК и дискете программы, заведомо приводящие
к несанкционированному уничтожению, блокированию, модификации, либо
копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети?
Какой квалификацией обладал человек, проводивший инсталляцию
программного обеспечения, его настройку на данной ЭВМ?
Одним из ключевых следственных действий является допрос представителя
фирмы-провайдера. Перед допросом провайдера необходимо довести до его
сведения основные понятия и определения используемые в юридической
терминологии, поскольку они могут не совпадать с технической, что может
вызвать недопонимание и разночтения. У представителя провайдера
необходимо получить копии учредительных документов и лицензии на право
предоставления услуг связи. Это можно оформить протоколом выемки. Также
необходимо получить протоколы работы в сети Интернет абонента и именем,
присвоенным потерпевшему с указанием времени работы и суммы денежных
средств, списанных со счета указанного абонента. Эти данные
сопоставляются с заключением компьютерно-технической экспертизы по
изъятому у подозреваемого компьютеру. При совпадении протоколов работы в
сети, ведущихся у провайдера и на компьютере подозреваемого, последнему
предъявляется обвинение.
§ 2. Первоначальный этап расследования создания, использования и
распространения вредоносных программ
Ход расследования создания, использования и распространения вредоносных
программ для ЭВМ определяется исходной следственной ситуацией. В
зависимости от того, что является поводом для возбуждения уголовного
дела, возможны следующие следственные ситуации:
Непосредственное обнаружение органом дознания признаков состава
преступления (характерно для дел о сбыте машинных носителей информации с
вредоносными программами).
Наличие заявления о причинении ущерба действием вредоносных программ или
изменении уже существующих программ, известно лицо, осуществившее
противоправные действия (характерно для дел, связанных с “заражением”
компьютерными вирусами или вредоносными программами ЭВМ лицами, ранее
состоявшими в трудовых отношениях с потерпевшим).
Имеются сведения от потерпевших о результатах действия вредоносных
программ, однако лицо, их создавшее и использовавшее, не установлено
(характерно для дел о «заражении» компьютерными вирусами или
вредоносными программами одновременно значительного количества ЭВМ).
Сведения о распространении вредоносных программ поступили в
правоохранительные органы от третьих лиц, известны отдельные обстоя
тельства их распространения, однако не известно лицо, их использующее
(характерно для дел о длящихся и продолжаемых преступлениях, связанных с
распространением в компьютерных сетях общего пользования вредоносных
программ типа «троянский конь», то есть осуществляющих незапланированные
для их приобретателя функции, в том числе и связанные с незаконным
получением информации, относящейся к личной или коммерческой тайнам).
Как уже было рассмотрено нами в главе 1 настоящей работы, статья 273 УК
РФ фактически предусматривает ответственность за совершение трех
составов преступлений: 1) создание; 2) использование вредоносных
программ для ЭВМ; 3) распространение. Рассмотрим особенности
расследования данных преступлений более подробно.
Создание вредоносных программ
При расследовании создания вредоносных программ для ЭВМ подлежат
установлению следующие обстоятельства:
факт создания вредоносной программы для ЭВМ;
способ создания вредоносной программы;
ее предназначение и механизм действия;
место, время создания, используемое для этого программное обеспечение и
компьютерная техника;
личность создателя вредоносной программы;
цель и мотив создания программы;
наличие или отсутствие умысла на использование и распространение данной
программы;
размер материального ущерба;
причины и условия, способствующие совершению преступления.
Вредоносная программа, как правило, обнаруживается в момент, когда уже
явно проявляются последствия ее применения. Вместе с тем она может быть
обнаружена и на машинных носителях информации, в частности путем
изучения информации обложки компакт-диска. Кроме того, выявляется она
также в процессе антивирусной проверки, производимой пользователем
компьютерной системы перед началом работы на компьютере, особенно часто
практикуемой при использовании чужих машинных носителей или получении
электронной почты.
Примером создания вредоносной программы без ее использования может
служить следующее дело: С. в период августа-сентября 1998 г. с
использованием средства разработки «Delphi» создал вредоносную программу
«Win$py», которая работает в среде ОС Windows 95/98, предназначенную для
перехвата паролей пользователя (без ведома последнего). Перехваченные
пароли автоматически отправляются (копируются) указанной программой
через компьютерную сеть Интернет на адрес электронной почты автора
программы либо любого другого лица, чей электронный адрес он указал.
Затем он разместил рекламу данной программы в сети Интернет, в
результате чего был задержан с поличным при попытке реализовать дискету
с названной программой за 200 долларов США.
Использование вредоносных программ
Обстоятельства, подлежащие установлению:
источник происхождения вредоносной программы;
личность ее создателя;
факт использования вредоносной программы для ЭВМ;
наличие вредоносных последствий, размер материального ущерба;
предназначение вредоносной программы и механизм ее действия;
причинная связь между использованием данной программы и наступившими
вредоносными последствиями;
источник происхождения данной программы у использовавшего ее лица, кто
ее создатель;
осведомленность лица, использовавшего программу, о ее вредоносных
свойствах;
наличие умысла на использование данной программы;
мотив и цель использования вредоносной программы;
причины и условия, способствующие совершению преступления.
Основные направления использования вредоносных программ для ЭВМ
рассмотрим на следующем примере: С., работая программистом предприятия
электрических и тепловых сетей, имея доступ к компьютеру «Пентиум-100»
абонентского отдела, с корыстной целью, 24 февраля 1999 г. умышленно
внес изменения в существующую на предприятии компьютерную программу
«Тепло-частный сектор» путем замены функций, выполняющихся при выборе
пунктов меню программы. При попытке выполнения определенных пунктов меню
на экране компьютера появлялась рамка с надписью, что по вопросам
экаплуатации программы надо обращаться к С., что привело к
несанкционированному блокированию компьютерной программы «Тепло-частный
сектор», нарушена работа ЭВМ, предприятию электросетей причинен
материальный ущерб на сумму 42 тысячи рублей.
Расследование осуществлялось по следующим направлениям:
получение заявления директора предприятия теплосетей с просьбой привлечь
к уголовной ответственности С. за блокирование программы компьютера;
проведение осмотра места происшествия, из которого усматривается, что в
абонентском отделе предприятия теплосетей не может быть запущена
программа “Тепло-частный сектор”;
осуществление выемки системного блока компьютера «Пентиум-100» и
руководства по пользованию программой «Тепло-частный сектор»;
проведение осмотра системного блока компьютера «Пентиум 100», из
которого усматривается, что на его жестком диске находится программа
«Тепло-частный сектор»;
установление и допрос свидетелей, показавших что им известно о выходе из
строя компьютера в абонентском отделе и невозможности работы с
программой “Тепло-частный сектор”;
назначение программно-технической экспертизы, из заключения которой
усматривается, что функциональность программы «Тепло-частный сектор»
нарушена в результате замены функций, выполняющих действия при выборе
пунктов меню и это связано с умышленным внесением в программу изменений.
Восстановление функциональности программы «Тепло-частный сектор»
невозможно, поскольку отсутствуют необходимые для ее восстановления
материалы и документация;
проведение допроса представителя гражданского истца, показавшего
назначение программы «Тепло-частный сектор» и размер ущерба в результате
ее блокирования;
проведение допроса обвиняемого, в котором он признал себя частично
виновным.
Распространение вредоносных программ
Обстоятельства, подлежащие установлению:
факт распространения вредоносной программы для ЭВМ;
предназначение вредоносной программы;
источник происхождения данной программы у распространявшего ее лица;
личность создателя вредоносной программы;
осведомленность лица, распространяющего программу, о ее вредоносных
свойствах;
наличие умысла на распространение данной программы;
размер материального ущерба;
мотив и цель распространения вредоносной программы;
причины и условия, способствующие совершению преступления.
Особенности расследования распространения вредоносных программ
рассмотрим на следующем примере: В сентябре 1999 г. Б., устроившись
продавцом компьютерных компакт-дисков в торговый павильон перед станцией
метро «ВДНХ» (г. Москва), продал компьютерный компакт-диск «Хакер-2000»,
содержащий программы для ЭВМ, заведомо приводящие к несанкционированному
уничтожению, блокированию, модификации либо копированию информации,
нарушению работы ЭВМ, системы ЭВМ или их сети.
Основными доказательствами, полученными в ходе расследования данного
дела являлись:
рапорт оперативного уполномоченного управления «Р» МВД РФ, из которого
следует, в ходе контрольной закупки гражданин М. за 60 рублей приобрел у
гражданина Б. компьютерный диск «Хакер-2000», на котором, как пояснил Б.
находятся программы, предназначенные для взлома компьютерных сетей и
бесплатного пользования сетью Интернет с использованием чужих реквизитов
и паролей;
акт контрольной закупки, в котором зафиксирован факт изъятия у Б.
компьютерных компакт-дисков «Хакер-2000»;
протокол допроса свидетеля М, показавшего, что он был приглашен
сотрудниками милиции в качестве покупателя для проведения контрольной
закупки вредоносных программ для ЭВМ, для чего он обратился к продавцу
торгового павильона, расположенного перед станцией метро «ВДНХ» (г.
Москва), оказавшемуся впоследствии Б., с просьбой показать ему
компакт-диск «Хакер-2000» и пояснить, что он дает, на что Б. ответил,
что программы на данном диске дают возможность бесплатного пользования
сетью Интернет, а также на нем имеются программы-взломщики, после чего
М. приобрел данный диск за 60 рублей;
протоколы допросов свидетелей А и В, показавших, что они были приглашены
в качестве присутствующих при проведении контрольной закупки
компьютерных компакт-дисков, содержащих вредоносные программы для ЭВМ,
после объявления которой в ходе осмотра торгового павильона перед
станцией метро «ВДНХ» (г. Москва) были обнаружены еще 6 компакт-дисков
«Шпионские штучки часть 2» и два компакт-диска «Хакер-2000», которые
были изъяты, упакованы в полиэтиленовые пакеты, прошитые белой нитью,
концы которой скреплены печатью № 1 МВД РФ и подписаны участниками
контрольной закупки;
протокол осмотра вещественных доказательств – дисков, изъятых у Б. в
ходе контрольной закупки;
заключение программно-технической экспертизы, из выводов которой
следует, что представленные эксперту диски являются машинными носителями
для ЭВМ и некоторые из содержащихся в предоставленных на экспертизу
дисков программ вредоносны для ЭВМ;
протокол допроса эксперта, показавшего, что вредоносными являются все
программы, находящиеся на диске «Хакер-2000» и «Шпионские штучки часть
2»;
протокол допроса обвиняемого Б., в котором он признал свою вину.
Наибольшую сложность для расследования представляет совершение
преступления в условиях неочевидности, то есть расследование в четвертой
из обозначенных в начале параграфа следственных ситуаций. Здесь
основными направлениями расследования должны быть:
прекращение противоправной деятельности;
выяснение механизма преступления и уточнение отдельных его
обстоятельств;
установление лица, распространяющего вредоносную программу;
получение сведений о личности потерпевших;
установление суммы материального ущерба;
сбор доказательств о причастности установленного лица к каждым
выявленным эпизодам преступной деятельности;
выяснение причин и условий, способствовавших совершению преступления;
получение характеризующего личность обвиняемого материала.
Примером удачного расследования уголовного дела названной категории
может служить уголовное дело, расследованное Главным следственным
управлением при ГУВД Свердловской области.
В марте 1999 г. Б. заключил договор абонентского обслуживания с
предприятием, осуществляющем предоставление услуг по доступу к
информационной сети Интернет (провайдером), согласно которому Б. был
предоставлен доступ в сеть Интернет, электронный почтовый ящик и
возможность открыть персональную страницу на сервере провайдера.
В апреле 1999 г. Б. с одного из серверов сети Интернет переписал на
жесткий диск своего персонального компьютера программу scfg.exe, которая
позволяла создать и настроить вредоносную программу типа «троянский
конь» на адрес электронного почтового ящика Б. При переносе и запуске
данной программы другими пользователями сети Интернет, она производила
незаметную для пользователя незаконную пересылку электронного сообщения
на адрес электронного почтового ящика Б., содержащего в себе
регистрационные данные (имя, пароль, телефонный номер) данного
пользователя сети Интернет.
Указанную программу Б. поместил на свою персональную страницу, в
результате чего она стала доступной для неограниченного числа
пользователей. В пояснении к этой программе на своей персональной
странице для маскировки своих преступных намерений Б. указал – «Данная
программа выявляет в реестре наличие всяких «лажовых» ссылок и «багов» –
хотя на самом деле эта программа таких действий не производила и не
могла произвести.
Таким образом, Б. создал программу – «агента», позволявшую ему получать
регистрационные данные законных пользователей, используя которые у него
появилась возможность входить в сеть Интернет под чужим именем и за
чужой счет. Те пользователи, которые получив доступ к персональной
странице Б. переписывали и запускали созданную им программу, не желая
того сообщали ему свои регистрационные данные.
Указанным способом Б. незаконно получил регистрационные данные как
минимум, одного пользователя – жителя Ростова-на-Дону К.
Расследование данного дела осуществлялось следующим образом.
получение заявления и проведение допроса директора фирмы-провайдера о
обнаружении на персональной странице Б. вредоносной программы типа
«троянский конь», с помощью которой можно несанкционированный доступ к
компьютерной информации других пользователей сети Интернет, после чего
Б. был закрыт доступ к своему электронному почтовому ящику и
персональной странице;
проведение допроса ведущего специалиста фирмы-провайдера, показавшего,
что на имя сетевого администратора в электронный почтовый ящик поступило
сообщение от одного из пользователей сети Интернет о том, что на
странице с адресом WWW.Users/ru:8081/~kief, оказавшейся в последствии
персональной страницей Б., находится файл типа «троянский конь».
Проверкой антивирусной программой установлено, что данный файл заражен
вредоносной программой Trojan.PSW.Stealth.c, запуск данного файла
приводит к несанкционированному пользователем отправлению электронного
почтового сообщения в адрес электронного почтового ящика Б., содержащего
регистрационные данные пользователей сети Интернет;
выемка журнала регистрации работы абонента Б. (распечаткой лог-файла,
ведущегося на сервере фирмы-провайдера), из которого видно, что 30
апреля в 7 часов 27 мин. Б. переписал на свою персональную страницу
файл, как выяснилось, впоследствии зараженный вредоносной программой;
проведение осмотра и выемки почтово-телеграфной корреспонденции,
содержащейся в электронном почтовом ящике Б., в ходе которой
установлено, что в нем находится 11 сообщений, поступивших с 30.04.99 по
1.05.99.
назначение и получение заключения программно-технической экспертизы,
согласно которому 4 почтовых сообщения содержат в себе регистрационные
данные для подключения к сети Интернет. Получение данных сообщений
является результатом запуска программ, установленных на компьютере
пользователя, настроенных на отправление регистрационных данных в адрес
электронного почтового ящика Б.
проведение обыска по месту жительства Б., в ходе которого изъяты
системный блок персонального компьютера и 13 накопителей на гибких
магнитных дисках (дискетах);
проведение осмотра изъятых в ходе обыска по месту жительства Б. дискет,
в ходе которого они были проверены на наличие на них вредоносных
программ, и на одной из них было установлено наличие вредоносной
программы Trojan.PSWStelth.a;
назначение программно-технической экспертизы, подтвердившей, что
программный код, идентифицируемый антивирусной программой как
Trojan.PSWStelth.с содержится на дискете, изъятой в ходе обыска по месту
жительства Б. в файле SCFG.exe. Данный файл является исполняемым
программными продуктом и предназначен для создания и настройки
вредоносной программы типа «троянский конь». В качестве параметров
настройки используются адрес электронной почты, псевдоним и будущее имя
троянской программы;
назначение программно-технической экспертизы, в ходе которого
установлено, что на компьютере Б. имеются все необходимые программные
средства для доступа в информационную сеть Интернет;
осуществление выемки программного обеспечения, содержащегося на
персональной странице Б. на сервере фирмы провайдера, в ходе которой с
персональной странице Б. был изъят файл, в котором в ходе антивирусной
проверки обнаружена программа Trojan PSWStelth.с;
назначение программно-технической экспертизы, установившей, что файл,
изъятый с персональной страницы Б. является вредоносной программой,
настроенной на несанкционированную передачу регистрационных данных о
пользователе данного компьютера на электронный почтовый ящик Б.,
уведомление пользователей о вредоносном действии программы при ее
функционировании не производится. Кроме того, экспертами сделан вывод,
что содержимое файла, находящегося на обнаруженной в ходе обыска по
месту жительства Б. дискете идентично содержимому файла, получающегося
при выполнении программы scfg.exe, находящейся на той же дискете;
проведение следственного эксперимента, в ходе которого были подтверждены
следующие факты: наличия на персональной странице Б. файла – «троянского
коня», возможности получения другими пользователями сети Интернет
доступа к персональной странице Б. и копирования файлов, содержащихся на
ней,
По совокупности собранных доказательств Б. было предъявлено обвинение в
совершении преступления, предусмотренного ч.1 ст. 273 УК РФ.
§ 3. Первоначальный этап расследования нарушения правил эксплуатации
ЭВМ, системы ЭВМ или их сети
При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их
сети подлежат установлению следующие обстоятельства:
факт преступного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их
сети;
место и время совершения преступления;
характер информации, являющейся предметом преступного посягательства;
способ нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;
характер и размер ущерба, причиненного преступлением;
виновность лица;
обстоятельства, способствовавшие совершению преступления.
В расследовании данной категории преступлений одной из главных проблем
становится установление самого факта нарушения правил эксплуатации ЭВМ.
Здесь необходимо прежде всего установить факт существования конкретных
правил эксплуатации ЭВМ на данном объекте. Они могут касаться порядка
создания, сбора, обработки, накопления, хранения, поиска,
распространения и предоставления потребителю компьютерной информации,
защите ее на любой стадии информационного процесса. Как уже отмечалось
нами в главе 1 настоящей работы, к правилам эксплуатации ЭВМ может
относиться, техническая документация на приобретаемые компьютеры;
конкретные принимаемые в определенном учреждении или организации,
оформленные нормативно и подлежащие доведению до сведения
соответствующих работников правила внутреннего распорядка; требования по
сертификации компьютерных сетей и оборудования; должностные инструкции
конкретных сотрудников; правила пользования компьютерными сетями.
Факт грубого нарушения правил эксплуатации ЭВМ обычно становится
известным в первую очередь непосредственным владельцам и пользователям
компьютерной системы или сети после обнаружения ими отсутствия
необходимой информации или существенного изменения ее, когда это уже
отрицательно отразилось на основной деятельности предприятия,
организации, учреждения.
Для установления конкретного правила эксплуатации ЭВМ, нарушение
которого привело к вредным последствиям, следователю целесообразно
допросить всех лиц, работавших на ЭВМ или обслуживающих компьютерное
оборудование в тот период, когда это произошло (с участием специалиста).
При допросе необходимо выяснить: функциональные обязанности конкретного
сотрудника при работе с ЭВМ (либо оборудованием к ней), какими правилами
они установлены, имеет ли данное лицо доступ к ЭВМ, их системе или сети;
какую конкретно работу на ЭВМ и в каком порядке данный сотрудник
выполнял; когда произошел факт уничтожения, блокирования, модификации
компьютерной информации или наступили иные вредные последствия; какие
неполадки в компьютерной системе были обнаружены при работе на ЭВМ, не
было ли при этом каких-то сбоев, которые могли бы причинить существенный
вред компьютерной информации; какой установленный порядок при работе с
компьютером мог быть нарушен в данной ситуации либо они явились
следствием непредвиденных обстоятельств, если да, то с какими конкретно.
Факт нарушения правил эксплуатации ЭВМ может быть установлен по
материалам служебного расследования, которое обычно проводится службой
информационной безопасности того объекта, где это произошло;
прокурорской проверки; оперативно-розыскных мероприятий. Поступившие
следователю для решения вопроса о возбуждении уголовного дела материалы
подлежат тщательному и всестороннему изучению. Следователь должен
усмотреть в них основание для возбуждения уголовного дела -наличие
достаточных данных, указывающих на признаки преступления (ст. 140 УПК
РФ).
Конкретное место нарушения правил эксплуатации ЭВМ устанавливается при
осмотре рабочих мест пользователей ЭВМ, компьютерной системы или сети.
Осмотру подлежат все компьютеры, подключенные к сети ЭВМ. Цель –
установить местонахождение компьютера, эксплуатация которого привела к
вредным последствиям в результате преступного нарушения определенных
правил его использования.
Необходимо различать место нарушения и место наступления вредоносных
последствий. Они не всегда совпадают, особенно если идет речь о
нарушении правил эксплуатации компьютерных сетей, которые, как известно,
представляют собой объединение отдельных персональных компьютеров,
расположенных на расстоянии друг от друга, и предназначены для
совместного использования информации и обращении к периферийному
оборудованию (принтерам, прокси-серверам, и пр.). Осмотру подлежат:
рабочие станции локальных вычислительных сетей, в качестве которых
применяются персональные компьютеры, объединенные внутри здания или в
пределах небольшой территории; файловый сервер, обслуживающий все
рабочие станции и осуществляющий совместное использование файлов,
размещаемых на его дисках; принтеры, которые тоже могут находиться
далеко от того места, где расположена рабочая станция.
Таким образом, основная задача осмотров рабочих мест – установить, где
расположена рабочая станция, эксплуатация которой осуществлялась с
грубым нарушением правил информационной безопасности. В первую очередь
необходимо обратить внимание на рабочие станции, имеющие собственные
дисководы. У них значительно больше возможностей для преступных
нарушений правил эксплуатации компьютерных сетей. Они, к примеру, имеют
возможность копировать данные с файлового сервера на свою дискету или
использовать дискеты с различными программами, в т.ч. с компьютерными
вирусами, и подвергать опасности целостность информации, содержащейся в
центральных файловых серверах, чего не имеют бездисковые рабочие
станции. Таков один из важных признаков, по которому можно установить
место совершения преступления. Другой способ – это следственный осмотр
учетных данных, где могут быть отражены сведения о расположении
конкретной рабочей станции, использующей файловый сервер. В качестве
свидетелей могут быть также допрошены администратор сети и специалисты,
обслуживающие файловый сервер, в котором произошло уничтожение,
блокирование или модификация компьютерной информации. Кроме того, с
особой тщательностью подлежат рабочие места, имеющие собственные каналы
выхода во внешние сети, в частности в Интернет. При осмотре изучаются
файлы истории, содержащие данные о последних посещениях различных
сайтов, протоколы соединения, содержащие данные о имени и пароле
пользователя, времени и продолжительности соединения.
В ходе допросов свидетелей выясняются следующие обстоятельства: на какой
рабочей станции могли быть нарушены правила эксплуатации компьютерной
сети и где она расположена; могли ли быть нарушены правила эксплуатации
данной локальной сети на рабочей станции, расположенной в определенном
месте (если нарушение правил произошло непосредственно на файловом
сервере, то место нарушения этих правил может совпадать с местом
наступления вредных последствий).
Место нарушения правил может быть установлено и по результатам
производства компьютерно-технической экспертизы. На ее разрешение могут
мыть поставлены следующие вопросы:
относится ли представленное устройство к аппаратным компьютерным
средствам?
к какому типу (марке, модели) относится аппаратное средство, каковы его
технические характеристики и параметры?
каково функциональное предназначение представленного аппаратного
средства?
какова роль и функциональные возможности данного аппаратного средства к
конкретной компьютерной системе?
относится ли данное аппаратное средство к конкретной компьютерной
системе?
используется ли данное аппаратное средство для решения конкретной
функциональной задачи?
каково первоначальное состояние (конфигурация, характеристики) имело
аппаратное средство?
каково физическое состояние (исправен, неисправен) представленного
аппаратного средства, имеются ли в нем отклонения от типовых
(нормальных), в том числе и физические дефекты?
каковы эксплуатационные режимы установлены на данном аппаратном
средстве?
является ли неисправность данного средства следствием нарушения
определенных правил эксплуатации?
каковы при\ины изменения функциональных (потребительских) свойств в
начальной конфигурации представленного аппаратного средства?
является ли представленное аппаратное средство носителем информации?
какой вид (тип, модель, марку) имеет представленный носитель информации?
какое запоминающее устройство предназначено для работы с данным
накопителем информации, имеется ли в составе представленной компьютерной
системы запоминающее устройство для работы с этим носителем информации?
доступен ли для чтения представленный носитель информации?
каковы причины отсутствия доступа к носителю информации?
имеются ли признаки работы представленного компьютера в сети Интернет,
каково содержание установок удаленного доступа и протоколов соединений?
При определении времени нарушения правил эксплуатации ЭВМ необходимо
установить и зафиксировать раздельно: а) время нарушения конкретных
правил; б) время наступления вредных последствий. Нарушение правил, и
наступление вредных последствий может произойти одновременно. Например
при отключении электропитания, в результате нарушения установленных
правил обеспечения информационной безопасности, может быть мгновенно
уничтожена с трудом введенная в компьютер очень важная информация,
которую не успели записать на дискету (это в случае отсутствия запасных
источников автономного питания, которые обычно автоматически
подключаются при отключении основного). И может быть значительный разрыв
во времени между моментом нарушения правил и временем наступления
вредных последствий. Так, к примеру, сначала вносятся изменения в
программу или базу данных в нарушение установленных правил и в
результате только через определенное время наступают вредные
последствия, которые либо сразу обнаруживаются, либо через какое-то
время.
Время нарушения правил обычно устанавливается по учетным данным, которые
фиксируются в процессе эксплуатации ЭВМ. Такими данными могут быть:
сведения, полученные в результате использования средств автоматического
контроля компьютерной системы, ее регистрирующих пользователей, моменты
подключения к ней абонентов, а также файлы учета сбойных ситуаций, книги
(либо журналы) учета передачи смен операторами ЭВМ, распечатки выходной
информации, где, как правило, фиксируется время ее обработки. Такие
данные могут быть получены в результате проведения осмотра места
происшествия и выемки необходимых документов. Особое значение имеет
осмотр и этой документации. Время нарушения правил можно установить
путем допроса свидетелей из числа лиц, участвующих в эксплуатации ЭВМ.
Вопросы, которые могут быть заданы:
Каким образом в данной компьютерной системе фиксируются факты и время
отклонения от установленных правил (порядка) эксплуатации ЭВМ?
Когда могло быть нарушено определенное правило эксплуатации ЭВМ, после
которого наступили известные вредные последствия?
При необходимости может быть назначена судебная компьютерно-техническая
экспертиза, перед которой для установления времени преступного нарушения
правил можно сформулировать следующие вопросы:
Как технически осуществляется автоматическая фиксация времени обращения
пользователей к данной компьютерной системе или сети (всех происходящих
изменений в их информационных массивах)?
Какова хронология внесения изменений в программное средство; какова
хронология использование программного средства (начиная с ее
инсталляции).
В процессе осмотра места происшествия могут быть обнаружены машинные
носители информации, на которых ранее хранились важные данные,
охраняемые законом, а вследствие нарушения определенных правил
эксплуатации ЭВМ они оказались уничтоженными или существенно изменены
либо допуск к ним стал невозможным (нужная информация оказалась
заблокированной). На них может быть зафиксировано время наступления
таких последствий. Это можно выявить в результате следственного осмотра
с участием специалиста.
Указанные последствия чаще обнаруживаются непосредственно пользователями
компьютерной системы или сети, а также администраторами базы данных.
Поэтому при допросе их в качестве свидетелей следует выяснить:
когда они впервые обнаружили отсутствие или существенное изменение той
информации, которая находилась в определенной базе данных?
Поскольку непосредственным предметом преступного посягательства согласно
ст. 274 УК РФ является охраняемая законом информация ЭВМ, при
расследовании рассматриваемой категории преступлений необходимо
установить ее характер. Законом, как известно, охраняется любая
документированная информация, неправомерное обращение с которой может
нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Режим защиты информации устанавливается в отношении: а) сведений,
отнесенных к государственной тайне; б) конфиденциальной информации; в)
персональных данных. Поэтому в первую очередь требуется определить к
какому из этих видов относится информация, которая была подвергнута
уничтожению в результате преступного нарушения правил эксплуатации ЭВМ.
Это устанавливается специальными органами согласно соответствующим
нормативным правовым актам (законодательством о государственной тайне,
коммерческой тайне и персональных данных). Далее необходимо установить –
кто является собственником или владельцем данных информационных ресурсов
или информационной системы в целом, какова их стоимость.
Способ нарушения правил эксплуатации ЭВМ может быть активным или
пассивным. Первый выражается в самовольном выполнении непредусмотренных
операций при компьютерной обработке информации.
Второй – в невыполнении предписанных действий.
Механизм нарушения таких правил связан с технологией обработки
информации на ЭВМ. Это, к примеру, может быть, выражено в неправильном
включении и выключении ЭВМ, использовании посторонних дискет без
предварительной проверки наличия в них компьютерного вируса, отказе от
обязательного копирования информации для ее сохранения на случай
уничтожения первого экземпляра (т.е. архивирования) и т.д. Способ и
механизм нарушения этих правил устанавливаются путем допросов
свидетелей, подозреваемых и обвиняемых (желательно с участием
специалистов), проведения следственного эксперимента или производства
компьютерно-технической экспертизы. При допросах выясняется
последовательность той или иной операции на ЭВМ, которая привела к
нарушению правил. При проведении следственного эксперимента выясняется
возможность наступления вредных последствий при нарушении определенных
правил. Он проводится на копиях исследуемой информации и по возможности
на той же ЭВМ, на которой произошло нарушение правил.
Характер ущерба, наносимого преступным нарушением правил эксплуатации
ЭВМ, в общих чертах обозначен в самой диспозиции ст. 274 УК РФ: он может
заключаться в уничтожении, блокировании или модификации охраняемой
законом информации.
О понятии и признаках каждого из названных вредоносных последствий речь
уже шла в главе 1 настоящей работы.
Ущерб может носить экономический характер, когда охраняемая законом
информация ЭВМ выступает как собственность, ценность которой
определяется в денежном выражении; общегосударственный характер, когда в
ней содержатся сведения, составляющие государственную тайну. Разглашение
или утрата такой информации может нанести серьезный ущерб внешней
безопасности Российской Федерации.
Конкретный размер ущерба устанавливается допросом собственника
информационных ресурсов, протоколами выемки и осмотра платежных
документов, экономической экспертизой, перед которой может быть
поставлен вопрос: «Какова стоимость информации, уничтоженной (или
измененной) вследствие нарушения правил эксплуатации ЭВМ?»
Степень секретности информации устанавливается в соответствии с Законом
«О государственной тайне».
При установлении лица, допустившего преступное нарушение правил
эксплуатации ЭВМ, следует иметь в виду, что виновным может быть согласно
ч. 1 ст. 274 УК РФ лицо, имеющее доступ к ЭВМ, к системе ЭВМ или же к их
сети.
Необходимо различать лицо, имеющее доступ к ЭВМ, а также лицо, имеющее
право доступа к компьютерной информации. Не обязательно, чтобы лицо,
имеющее доступ к ЭВМ, имело право на доступ к компьютерной информации,
находящейся в ЭВМ. Доступ к ЭВМ, к системе ЭВМ или к сети, как правило,
имеют лица в силу выполняемой ими работы, связанной с эксплуатацией или
обслуживанием. Вот этих лиц и следует устанавливать в процессе
расследования.
Следствием необходимо установить следующие данные о лице: фамилия, имя,
отчество; занимаемая должность (отношение к категории должностных лиц,
ответственных за информационную безопасность и надежность работы
компьютерного оборудования либо к категории непосредственно отвечающих
за обеспечение строгого выполнения правил эксплуатации данной
компьютерной системы или сети); образование; специальность; стаж работы
по специальности и на данной должности; уровень профессиональной
квалификации; конкретные обязанности данного лица по обеспечению
информационной безопасности и нормативные акты, которыми они установлены
(положение, приказ, распоряжение, контракт, договор, проектная
документация на автоматизированную систему и пр.); отношение к
разработке, внедрению к опытной и промышленной эксплуатации данной
компьютерной системы или сети; наличие прав доступа к базам и банкам
данных (в каком объеме); данные, характеризующие лицо по месту работы;
имеется ли у данного лица дома компьютер и оборудование к нему.
Все это устанавливается по результатам допросов свидетелей, обвиняемого,
осмотра эксплуатационных документов по данной компьютерной системе,
осмотра вещественных доказательств (компьютера, оборудования к нему,
машинных носителей информации, распечаток и пр.).
Виновность лица, совершившего преступное нарушение правил эксплуатации
ЭВМ, устанавливается на основе анализа результатов всех проведенных в
ходе расследования следственных действий. Более подробно о субъективной
стороне нарушения правил эксплуатации ЭВМ см. в главе 1 данного пособия.
Обстоятельства, способствовавшие совершению данного преступления. По
итогам следствия надлежит установить недостатки общего состояния охраны
информационной безопасности в процессе эксплуатации компьютерных систем
или сетей, а также причины и условия, способствовавшие нарушению правил
их использования (неисправность компьютерного оборудования, отклонение
от технического задания и техничнского проекта, несоответствие средств
информационной защиты предъявляемым требованиям – отсутствие сертификата
на них). Много обстоятельств, способствовавших нарушению правил
эксплуатации ЭВМ, можно установить по материалам служебного
расследования, а также по результатам судебных экспертиз (в основном
комплексных). Так, по уголовному делу о покушении на хищение более 68
млрд. рублей из Центрального банка РФ служебное расследование установило
ряд причин, способствовавших совершению этого преступления еще до
возбуждения уголовного дела. Главными из них явились нарушения правил
эксплуатации системы безналичных расчетов: обработка платежных
документов осуществлялась без средств защиты, сертифицированных ФАПСИ;
слабо осуществлялись оперативное руководство и контроль над
технологическими процессами компьютерной обработки платежных документов
со стороны Управления безопасности.
По уголовному делу о хищении валютных средств во Внешэкономбанке путем
использования компьютерных расчетов комплексная судебно-бухгалтерская
экспертиза и экспертиза программного обеспечения установили, что
преступлению способствовало: отсутствие организации работ по обеспечению
информационной безопасности; нарушение технологического цикла
проектирования, разработки, испытаний и сдачи в эксплуатацию
программного обеспечения системы автоматизации банковских операций;
совмещение функций разработки и эксплуатации программного обеспечения в
рамках одного структурного подразделения, что позволяло разработчикам
после сдачи компьютерной системы в промышленную эксплуатацию иметь
доступ к закрытой информации в нарушение установленных правил (под
предлогом доводки программного обеспечения); использование
незарегистрированных в установленном порядке программ в данной
компьютерной системе; неприменение в технологическом процессе всех
имеющихся средств и процедур регистрации операций по обработке
компьютерной информации и лиц, эксплуатирующих ЭВМ.
ГЛАВА 4. Особенности тактики отдельных следственных действий
§ 1. Тактика осмотра места происшествия
В случаях, не терпящих отлагательства, осмотр места происшествия может
быть произведен до возбуждения уголовного дела в соответствии со ст. 176
УПК РФ.
Производство осмотра места происшествия по делам рассматриваемой
категории преследует следующие цели:
установление обстоятельств происшедшего события (способ, место, время
совершения преступления, личность совершившего преступное посягательство
и пр.) путем исследования обстановки в месте обнаружения признаков
преступления в сфере компьютерной информации;
выявление, фиксация, изъятие и оценка следов преступления (как
традиционных криминалистических, так и нетрадиционных – информационных
следов преступлений в сфере компьютерной информации), различных
вещественных доказательств;
получение информации, необходимой для построения и проверки следственных
версий и осуществления розыскной работы по делу.
В процессе подготовки к проведению этого следственного действия, еще до
выезда на место происшествия необходимо решить ряд организационных
вопросов, которые в последующем обеспечат качество проведения осмотра
места происшествия. В этот период необходимо:
1) пригласить специалистов. Характерной чертой преступлений в сфере
компьютерной информации является то, что при проведении большинства
следственных действий необходимо участие специалиста. Особенно это важно
при проведении осмотра места происшествия. Как справедливо отмечают
Е.Р.Российская и А.И.Усов, при расследовании преступлений, сопряженных с
использованием компьютерных средств, участие специалиста необходимо,
поскольку даже малейшие неквалифицированные действия с компьютерной
системой зачастую заканчиваются безвозвратной утратой ценной розыскной и
доказательственной информации. Опрос следователей и специалистов в
области вычислительной техники показал, что только 14 % следователей
работают на ЭВМ на уровне пользователя, 56% не знают ничего о принципах
работы ЭВМ. С другой стороны, 92% из числа опрошенных программистов
считают, что на современном уровне развития вычислительной техники без
участия профессионала найти «спрятанную» в компьютере информацию без
риска уничтожения сложно. При этом следователю всякий раз необходимо
убедиться в компетентности специалиста
Следует отметить, что на данном этапе развития средств компьютерных и
информационных технологий вопрос о поиске и привлечении специалистов для
оказания помощи следователю является крайне актуальным. Понятно, что при
таком интенсивном развитии указанных технологий следователь-юрист не в
состоянии отслеживать все технологические изменения в данной области.
Специалисты крайне необходимы для участия в большинстве важнейших
следственных действий — при обысках, осмотрах и выемках, а также при
допросах и следственных экспериментах.
При расследовании преступлений в сфере компьютерной информации основными
задачами специалистов в области компьютерной техники являются:
выполнение всех манипуляций с компьютерной техникой (включение –
выключение, разборка – сборка и пр.); оказание помощи следователю в
описании компьютерной техники и периферийного оборудования в протоколах
следственных действий; проведение экспресс-анализа компьютерной
информации; обнаружение информационных следов преступления;
предотвращение уничтожения или повреждения компьютерной информации;
изъятие компьютерной информации и др.
Следует отметить, что информационные технологии достаточно разнообразны
и выбор специалиста для решения конкретных задач расследования может
быть весьма сложен. При решении в ходе следственных действий задач,
связанных с изъятием технических средств, может быть полезен специалист,
знающий элементы и устройства вычислительной техники и систем
управления, знакомый с вопросами функционирования автоматизированных
систем управления. Для установления фактов проникновения извне в
информационные системы специалист должен обладать познаниями в области
программного обеспечения вычислительных систем и организации
вычислительных процессов, а также обязан знать основы методов защиты
информации и информационной безопасности. При исследовании систем ЭВМ и
их сетей специалист должен иметь специализацию в области математического
и программного обеспечения вычислительных комплексов, систем и сетей,
ему также необходимы познания в области компьютерных сетей, узлов связи
и средств коммуникаций, организации и распределения информационных
потоков.
Поиск таких специалистов следует проводить заблаговременно на
предприятиях, в учреждениях, фирмах и компаниях, осуществляющих
обслуживание и эксплуатацию компьютерной и коммуникационной техники,
разработку программного обеспечения, средств защиты компьютерной
информации. Необходимые специалисты могут быть приглашены из учебных
заведений и научно-исследовательских организаций.
Специалисты могут быть приглашены и из органов внутренних дел. В
экспертно-криминалистическом центре МВД России создан отдел по
проведению программно-технических экспертиз, сотрудники которого могут
быть приглашены в качестве специалистов по делам наибольшей сложности.
Поскольку отдельные виды компьютерно-технических экспертиз проводятся в
экспертных подразделениях ОВД на региональном уровне, то производящие их
лица также могут быть приглашены в качестве специалистов. Практика
показывает, что в этом качестве часто приглашаются инженеры-электроники
ОВД.
В исключительных случаях, могут быть приглашены в качестве специалистов
сотрудники организации, компьютеры которой подверглись вторжению;
пригласить понятых. В качестве понятых также следует приглашать людей,
сведущих в компьютерной технике. Непонимание смысла происходящего для
человека, приглашенного в качестве понятого, а позднее допрошенного в
суде, может не убедить суд в признании тех или иных обстоятельств
доказательствами. Понятых в отдельных случаях можно приглашать из числа
служащих того предприятия, организации, учреждения, фирмы, компании, в
которой проводится осмотр места происшествия, при условии, что они не
заинтересованы в исходе дела. В любом случае, поскольку объектом осмотра
выступает дорогостоящее оборудование, осмотр места происшествия
целесообразно производить в присутствии руководства предприятия,
организации, учреждения, фирмы, компании;
подготовить соответствующую компьютерную технику и программное
обеспечение, которая будет использоваться для считывания и хранения
изъятой информации, при обнаружении изменений в компьютерной информации,
исследовании полученной информации, обнаружении информационных следов
преступления. Это может быть персональный компьютер, исполненный в
переносном варианте Notebook. Кроме компьютера, необходим кабель, а
также специальное программное обеспечение, позволяющее осуществлять
копирование и экспресс-анализ информации на месте. Следует иметь в виду,
что для полного и качественного копирования информации необходимо
соответствие не марок компьютеров, а объемов используемых жестких дисков
(у переносного компьютера этот объем должен быть не меньше, а в
идеальном случае равен объему диска осматриваемого компьютера). Помимо
переносного компьютера типа Notebook, при производстве осмотра могут
быть использованы иные носители информации, обладающие большой емкостью:
лазерные и DVD диски, ZIP-накопители и др;
провести инструктаж членов следственно-оперативной группы. При этом
особое внимание уделить их поведению во время осмотра: внимательно
следить за поведением всех лиц, которые могут находиться в помещении,
где производится осмотр; проявлять особую осторожность при обращении с
компьютерной техникой, создавая условия для работы с ней специалисту.
Следует помнить, что компьютерная техника – это всегда дорогостоящее
оборудование, которое требует осторожности при обращении с ней, в том
числе и при ее изъятии. К тому же она может хранить значительное
количество информации, являющейся собственностью как отдельного лица,
так и фирмы. Единственная ошибка может привести к миллионным убыткам. В
ходе инструктажа участников следственно-оперативной группы следователь
указывает основные задачи предстоящего следственного действия,
особенности его производства по рассматриваемому виду преступлений
указывает на характер действий каждого лица. Представляется обоснованным
такой инструктаж проводить следователю в паре со специалистом. При этом
необходим категорический запрет кому бы то ни было из лиц, работающих на
объекте осмотра или находящихся на нем по иным причинам, соприкасаться с
ЭВМ, выключать без специального указания со стороны следователя
энергоснабжение объекта, самостоятельно производить какие-либо
манипуляции со средствами компьютерной техники, если результат этих
манипуляций заранее не известен;
проконсультироваться со специалистами (речь идет о тех случаях, когда до
осмотра места происшествия известно, какая компьютерная техника будет
осматриваться). Такая консультация должна содержать информацию об общем
устройстве компьютера, системы ЭВМ или их сети, правилах работы на них,
обработке информации и т.п.
По прибытии на место происшествия необходимо:
зафиксировать обстановку, сложившуюся на момент осмотра места
происшествия, произвести ориентирующую и обзорную фото – видеосъемку;
исключить возможность посторонним лицам (да и участникам
следственно-оперативной группы) соприкасаться с оборудованием.
Желательно лишить их возможности пользоваться телефоном, а при острой
необходимости делать это только с разрешения следователя. «Не
допускайте, чтобы кто-либо производил любые действия с компьютером.
Риск, связанный с непосредственным вмешательством в систему, значительно
больше, чем малый шанс дистанционного влияния на систему с другого
устройства». Необходимо организовать охрану каждого компьютера
(терминала), для чего возможно привлечение дополнительных сил:
подразделений ОМОН, СОБР и пр.;
определить, соединены ли находящиеся в помещении компьютеры в локальную
вычислительную сеть. На это могут указать коаксиальные кабели, идущие от
компьютера к компьютеру, или просто телефонные провода. При наличии
локальной компьютерной сети наибольший интерес представляет центральный
компьютер, так называемый сервер, на котором хранится большая часть
информации и к которому имеют доступ все ЭВМ. Этот компьютер необходимо
обследовать более тщательно и осторожно;
установить, имеются ли соединения компьютера с оборудованием или
вычислительной техникой вне осматриваемого помещения. На это могут
указывать кабели и провода, идущие от компьютера в другие помещения или
здания. Если есть соединения, то существует реальная возможность
непосредственного обмена информацией, независимо от желания специалиста,
ее изменения или уничтожения с удаленных рабочих мест, находящихся за
несколько метров или даже километров от обыскиваемого помещения. Для
предотвращения этого на время съема информации вычислительную сеть
необходимо отключить от «внешнего мира» программно или физическим
отключением кабелей. Эту работу квалифицировано может выполнить только
специалист в области вычислительной техники;
выяснить, подключен ли компьютер к телефонной линии. В случае
подключения на него могут поступать вызовы с дальнейшими приемами или
передачами информации. Следует иметь в виду, что установить,
запрограммирован ли компьютер на передачу, может только специалист. Если
информация, поступающая на компьютер по электронной почте, факсимильной
или телетайпной связи может иметь интерес, то отключать телефонную или
телетайпную линии нет смысла, но необходимо воздерживаться от телефонных
разговоров по данной линии;
O
U
U
??&?
??&?
??&?
6
8
z
x
z
???????
`??
B??
?
Oe
?
?
Oe
–
&
(
.
0
8
:
B
D
J
L
T
X
’
”
(
0
:
D
L
V
X
”
?
ae
”
–
?
ae
ae
?
?
?
&
c
¦
?
®
?
–
phFфровки, то такие программы стоит приостановить и обследование начать
именно с этого компьютера. Если до момента осмотра компьютера на нем
вводился оператором текст, и этот текст может представлять интерес для
следствия, то выход из редактора надо осуществлять только после
сохранения набранного текста на жестком диске путем выбора
соответствующего пункта меню. Установить название программы, которая
последней выполнялась на компьютере, для операционной системы MS-DOS
можно путем одновременного нажатия клавиш Ctrl-E. Многократное нажатие
этой комбинации предоставит возможность проследить за всеми запускаемыми
программами с момента последней перезагрузки компьютера. В операционных
системах семейства Windows перечень открытых в данный момент приложений
(программ) можно увидеть на рабочей панели, возле кнопки «Пуск». Кроме
того, эту задачу можно решить путем одновременного нажатия клавиш «Alt»
и «Tab». Важно отметить, что следователю в любом случае не следует
самому производить какие-либо манипуляции с вычислительной техникой. Их
должен осуществлять специалист.
На рабочей (исследовательской) стадии осмотра места происшествия каждый
объект подлежит тщательному обследованию. В этот период времени важно
установить, не содержится ли на компьютере информация, которая может
способствовать более плодотворному и целенаправленному осмотру
(различные планы помещений, участков местности, пароли, коды доступа,
шифры и т.п.). Для этого специалистом проводится экспресс-анализ
компьютерной информации путем просмотра содержимого дисков. Интерес
могут представлять также файлы с текстовой или графической информацией.
В этот период обращается внимание не только на наличие (отсутствие)
физических повреждений компьютерной техники, магнитных носителей и т.п.,
но и на состояние окон, дверей и запорных устройствах на них. Следы
могут быть выявлены при наличии специальных средств опознавания
пользователя персонального компьютера (ПК). К таковым средствам
относятся:
специальные электронные карточки (например, «Micro Card Technologies”),
в которые записывается специальная информация о владельцах, их пароли и
ведется учет всех операций, выполняемых пользователем;
электронные ключи доступа к ПК (ключ «Активатор» фирмы «Software
Security Inc.»), в которых находится микропроцессор в запоминающее
устройство которого заносится уникальная для каждого пользователя
информация;
устройства идентификации пользователей по отпечаткам пальцев (фирма
«Calspan»);
устройства опознания пользователя по геометрическим признакам руки.
При этом пользователь помещает руку в массив фотоячеек, который
определяет информацию о длине пальцев и их светопроводимости, затем
проводит сравнение с эталоном, хранящимся в ПК;
устройства опознания пользователя по почерку, для чего используются
динамические характеристики процесса подписи: скорость, давление на
бумагу, и статические – форма и размер подписи;
приспособления опознавания пользователей по голосу. Есть примеры
внедрения специальных многоканальных фильтров (фирма «Philips»).
При наличии подобных устройств, подключенных к компьютеру, в них
производится автоматическая фиксация всех незаконных попыток вторжения.
Например, данные системы считывают информацию с магнитных карточек
незаконных владельцев, записывают их голос, отпечатки пальцев. Эти
данные в дальнейшем могут быть использованы для идентификации личности
преступника.
На рабочей стадии осмотра фиксируется текущее состояние компьютерной
информации, делается вывод о произошедшем событии и его последствиях:
уничтожение, блокирование, модификация, копирование информации,
нарушение работы ЭВМ, их системы или сети; устанавливается способ
совершения преступления. Для этого с помощью специалиста наблюдается
действие программ, содержимое текстовых файлов и баз данных. При этом
особое внимание следует уделить изучению имеющихся в большинстве
компьютерных систем файлов регистрации. Какое бы событие не произошло в
системе, информация о нем (в том числе, кто инициировал его, когда и в
какое время оно произошло, какие при этом были затронуты файлы)
регистрируется в этих файлах. В частности, в файлах регистрации может
получить отражение информация о паролях пользователей, их именах,
идентификационных номерах. В последствии данная информация может быть
использована для установления компьютера, с которого произошел
неправомерный доступ к компьютерной информации.
Если выясняется, что имел место непосредственный доступ к компьютерной
технике и информации, то необходимо отыскивать следы пальцев рук,
микрочастицы на клавиатуре, корпусе ЭВМ, мониторе, принтере и т.п.
Целесообразно просмотреть результаты работы программ контроля доступа к
ЭВМ, системам протоколирования действий оператора и при наличии
воздействий на них изъять. Результаты такой работы выводятся на печать и
приобщаются к делу в качестве иных документов в порядке ст. 84 УПК РФ.
Особый интерес для следователя представляют различные документы,
обнаруженные на месте происшествия. К их числу относятся: документы,
связанные с совершенным преступлением (например, списки паролей и кодов
доступа в компьютерную систему); документы, свидетельствующие о попытке
переноса информации на бумажный носитель (например, застрявшая в
принтере бумага); документация на компьютерную технику, программное
обеспечение, периферийное оборудование; документы, регламентирующие
порядок работы с компьютерным оборудованием, нормативные акты,
регламентирующие правила работы с данной ЭВМ и информацией, находящейся
в ее памяти; личные документы подозреваемого.
Необходимо иметь в виду, что для исследования больших вычислительных
систем потребуется значительное время – не только часы, но и дни. И к
этому он должен быть готов. В процессе расследования возможны ситуации,
когда физически невозможно перевезти компьютеры для их изучения и
исследования. В таких случаях необходимо руководствоваться следующими
рекомендациями:
В обязательном порядке после осмотра средств компьютерной техники
(сервера, рабочей станцией компьютерной сети) необходимо блокировать не
только соответствующее помещение, но и отключать источники энергопитания
аппаратуры или, в крайнем случае, создать условия лишь для приема
информации с одновременным опломбированием всех необходимых узлов,
деталей, частей и механизмов компьютерной системы.
Магнитные носители машинной информации должны перемещаться в
пространстве и храниться только в специальных опломбированных и
экранированных контейнерах или в стандартных дискетных или иных
алюминиевых футлярах заводского изготовления, исключающих разрушающее
воздействие различных электромагнитных и магнитных полей, направленных
излучений.
Непосредственно в ходе осмотра компьютерной техники следует принимать во
внимание следующие неблагоприятные факторы:
возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения
информации и ценных данных;
возможное наличие на компьютере специальных средств защиты от
несанкционированного доступа, которые, не получив в установленное время
специальный код, автоматически уничтожат всю информацию;
возможное наличие на ЭВМ иных средств защиты от несанкционированного
доступа;
постоянное совершенствование компьютерной техники, следствием чего может
быть наличие на объекте программно-технических средств не знакомых
следователю и специалисту.
В целях недопущения вредных последствий перечисленных факторов
следователь должен придерживаться следующих рекомендаций:
перед выключением питания по возможности корректно закрыть все
используемые программы, а в сомнительных случаях просто отключить
компьютер (в некоторых случаях некорректное отключение компьютера -путем
перезагрузки или выключения питания без предварительного выхода из
программы и записи информации на постоянный носитель – приводит к потере
информации в оперативной памяти и даже к частичному стиранию
информационных ресурсов на данном компьютере);
принять меры к установлению пароля доступа в защищенных программах;
при необходимости консультаций у персонала предприятия получать их у
разных сотрудников данного отдела путем опроса порознь. Такой метод
позволит получить максимально правдивую информацию и избежать
преднамеренного вредительства;
при нахождении ЭВМ в локальной вычислительной сети необходимо иметь
бригаду специалистов для быстрого реагирования на движение информации по
сети;
наряду с осмотром компьютера обеспечить осмотр документов о пользовании
им, в которых следует обратить особое внимание на рабочие записи
операторов ЭВМ, так как часто именно в этих записях неопытных
пользователей можно обнаружить коды, пароли и другую очень ценную для
следствия информацию. При осмотре должен присутствовать кто-либо из
сотрудников предприятия, способный дать пояснения по установленному на
ЭВМ программному обеспечению. Если на начальной стадии осмотра не
удалось установить пароли и коды используемых программ, то компьютер
подлежит опечатыванию и выемке, с тем чтобы в последующем в стационарных
условиях прокуратуры или лаборатории с привлечением
специалистов-программистов выявить существующие пароли и коды доступа,
осуществить надлежащий осмотр компьютера и содержащихся на нем файлов. В
таких случаях достаточно изъять только системный блок, в который входят
процессор и накопители на магнитных дисках. Остальную часть компьютера –
монитор, клавиатуру, принтер – следует опечатать.
4. Если непосредственный доступ к информации на компьютере возможен и
все нежелательные ситуации исключены, при осмотре и работе следователь и
специалист должны четко объяснять понятым все совершаемые ими действия.
При осмотре должны быть установлены: конфигурация компьютера с четким
описанием всех устройств; номера моделей и серийные номера каждого из
устройств; инвентарные номера, присваиваемые бухгалтерией при постановке
оборудования на баланс предприятия; прочая информация с фабричных
ярлыков.
В ходе осмотра компьютера необходимо полностью откопировать содержимое
жесткого диска с помощью специальных программ. Если в осмотре принимает
участие специалист, эта работа поручается ему. Кроме того, необходимо
сделать распечатки информации о содержании всего жесткого диска либо всю
информацию об этом переписать от руки. Все листы с такой информацией
должны быть подписаны специалистом, который проводил запись информации,
следователем, понятыми и представителем организации (пользователем), где
производится осмотр, и прилагаться к протоколу следственного действия.
Информацию из оперативной памяти компьютера, необходимо изымать путем
копирования соответствующей машинной информации на физический носитель с
использованием только стандартных паспортизированных программных
средств. В таких случаях они снабжаются соответствующим документальным
приложением. В протоколе осмотра места происшествия необходимо
зафиксировать следующее:
программу, исполняемую (или исполненную) компьютером на момент
проведения (или до проведения) следственного действия. Для этого
необходимо детально изучить и описать существующее на экране монитора
компьютера изображение, все функционирующие при этом периферийные
устройства и результат их деятельности. Многие сервисные программные
средства позволяют определить и просмотреть наименование всех ранее
вызывавшихся программ и исполненную в последнюю очередь. Например, с
использованием NORTON COMMANDER, последняя исполнявшаяся программа
определяется по положению курсора (выделенной световой полосой);
результат действия обнаруженной программы;
манипуляции со средствами компьютерной техники (включая нажатия на
клавиши клавиатуры), произведенные в процессе проведения следственного
действия и их результат (например, при копировании программ и файлов,
определении их атрибутов, дате, времени создания и записи, а также при
включении и выключении аппаратуры, отсоединении ее частей);
5. Изъятие средств компьютерной техники производится только в
выключенном состоянии. При этом должны быть выполнены и отражены в
протоколе следующие действия:
установлено включенное состояние оборудования и зафиксирован порядок его
отключения;
описано точное местонахождение изымаемых предметов и их расположение
относительно друг друга и окружающих предметов (с приложением
необходимых схем и планов);
описан порядок соединения между собой всех устройств с указанием
особенностей соединения (цвет, количество, размеры, характерные
индивидуальные признаки соединительных проводов, кабелей, шлейфов,
разъемов, штеккеров и их спецификация);
определено отсутствие либо наличие компьютерной сети, используемый канал
(каналы) связи и телекоммуникаций. В последнем случае установлен тип
связи, используемая аппаратура, абонентский номер, позывной либо рабочая
частота;
произведено разъединение (с соблюдением всех необходимых мер
предосторожности) аппаратных частей (устройств) с одновременным
опломбированием их технических входов и выходов;
определен вид упаковки и транспортировки изъятых предметов.
§ 2. Тактика допроса свидетелей
При расследовании преступлений в сфере компьютерной информации допросы
свидетелей осуществляются с использованием тактических рекомендаций,
разработанных в криминалистике. Особое значение здесь приобретает
подготовка к допросам и всестороннее изучение личности допрашиваемого.
При этом следует учесть, что свидетелями по данной категории дел чаще
всего выступают лица с высшим образованием, обладающие высоким
интеллектом, в совершенстве владеющие специальной терминологией,
зачастую не вполне понятной следователю. В связи с этим следователю
необходимо детализировать показания допрашиваемого постановкой
уточняющих вопросов, раскрывающих содержание тех или иных терминов и
определений, употребляемых допрашиваемым. Для участия в допросе может
быть приглашен специалист в области вычислительной техники (как минимум
необходимо предварительное согласование с ним формулировок задаваемых
вопросов).
Основными тактическими задачами допроса потерпевших и свидетелей при
расследовании дел рассматриваемой категории являются: выявление
элементов состава преступления в наблюдавшихся ими действиях,
установление обстоятельств, места и времени совершения значимых для
расследования действий, способа и мотивов его совершения и сопутствующих
обстоятельств, признаков внешности лиц, участвовавших в нем, определение
предмета преступного посягательства, размера причиненного ущерба,
детальные признаки похищенного, установление иных свидетелей и лиц,
причастных к совершению преступления.
Для решения указанных задач в процессе допроса свидетелей необходимо
выяснить:
не проявлял ли кто-либо интереса к компьютерной информации, программному
обеспечению, компьютерной технике данного предприятия, организации,
учреждения, фирмы или компании;
не появлялись ли в помещении, где расположена компьютерная техника,
посторонние лица, не зафиксированы ли случаи работы сотрудников с
информацией, не относящейся к их компетенции;
не было ли сбоев в работе программ, хищений носителей информации и
отдельных компьютерных устройств;
зафиксированы ли сбои в работе компьютерного оборудования, электронных
сетей, средств защиты компьютерной информации;
как часто проверяются программы на наличие вирусов, каковы результаты
последних проверок;
как часто обновляется программное обеспечение, каким путем, где и кем
оно приобретается;
каким путем, где и кем приобретается компьютерная техника, как
осуществляется ее ремонт и модернизация;
каков на данном объекте порядок работы с информацией, как она поступает,
обрабатывается и передается по каналам связи;
кто еще является абонентом компьютерной сети, к которой подключены
компьютеры данного предприятия, организации, учреждения или фирмы, каким
образом осуществляется доступ в сеть, кто из пользователей имеет право
на работу в сети, каковы их полномочия;
как осуществляется защита компьютерной информации, применяемые средства
и методы защиты и др.
имели ли место случаи неправомерного доступа к компьютерной информации
ранее, если да, то как часто;
могли ли возникшие последствия стать результатом неосторожного действия
лица или неисправности работы ЭВМ, системы ЭВМ, сбоев программного
обеспечения и т.п.;
каков характер изменений информации;
кто является собственником (владельцем или законным пользователем)
скопированной (уничтоженной, модифицированной, блокированной) информации
и др.
При расследовании неправомерного доступа к компьютерной информации на
первоначальном этапе возникает необходимость допрашивать в качестве
свидетелей граждан различных категорий, для каждой из которых существует
свой предмет допроса.
В процессе допросов операторов ЭВМ следует выяснить: правила ведения
журналов операторов, порядок приема сдачи смен, режим работы операторов;
порядок идентификации операторов; правила эксплуатации, хранения,
уничтожения компьютерных распечаток (листингов), категорию лиц, имеющих
к ним доступ; порядок доступа в помещение, где находится компьютерная
техника, категорию работников, допущенных к работе с ней, и др.
В процессе допроса программистов выясняется: перечень используемого
программного обеспечения и его классификация (лицензионное,
собственное); пароли защиты программ, отдельных устройств компьютера,
частота их смен; технические характеристики компьютерной сети (при ее
наличии), кто является администратором сети; порядок приобретения и
сопровождения программного обеспечения; наличие в рабочих программах
специальных файлов протоколов, регистрирующих вхождение в компьютер
пользователей, каково их содержание и др.
У сотрудника, отвечающего за информационную безопасность или
администратора компьютерной сети (при ее наличии) выясняется: наличие
специальных технических средств защиты информации; порядок доступа
пользователей в компьютерную сеть; порядок идентификации пользователей
компьютеров; распорядок рабочего дня пользователей компьютерной сети;
порядок доступа сотрудников к компьютерной технике во внерабочее время;
порядок присвоения и смены паролей пользователей; характеристика мер по
защите информации.
У сотрудников, занимающихся техническим обслуживанием вычислительной
техники, выясняется: перечень и технические характеристики средств
компьютерной техники, установленных в организации, а также перечень
защитных технических средств; периодичность технического обслуживания,
проведения профилактических и ремонтных работ; сведения о произошедших
за последнее время случаях выхода аппаратуры из строя; случаи
незаконного подключения к телефонным линиям связи, установка какого-либо
дополнительного электрооборудования.
У начальника вычислительного центра или руководителей предприятия
(организации) следует выяснить: действуют ли в учреждении специальные
службы по эксплуатации сетей и службы безопасности, их состав и
обязанности; сертифицированы ли программы системной защиты;
организационную структуру вычислительного центра; сертифицированы ли
технические устройства вычислительной техники; действуют ли
внутриведомственные правила эксплуатации ЭВМ и сети, каков порядок
ознакомления с ними и контроля за их исполнением; какие сотрудники
учреждения (организации) были уволены в течение интересующего периода
времени и по каким мотивам; были ли ранее случаи незаконного
проникновения в помещение, где установлена компьютерная техника,
несанкционированного доступа к компьютерной информации и др.
При допросах свидетелей на последующем этапе расследования задача
следователя состоит в том, чтобы установить их конкретный круг.
Определенную помощь в этом могут оказать и руководители предприятия,
организации, учреждения, фирмы компании, лица, работающие в них, а так
же оперативные уполномоченные уголовного розыска, подразделений по
борьбе с экономическими преступлениями и организованной преступностью.
Свидетелями при расследовании неправомерного доступа к компьютерной
информации могут быть лица, наблюдавшие событие преступления (особенно
при непосредственном доступе) или его отдельные моменты, а так же
видевшие преступников непосредственно в момент совершения преступления
или после него.
При допросе свидетелей на последующем этапе расследования неправомерного
доступа к компьютерной информации, возникает необходимость
детализировать ранее установленные обстоятельства либо выяснить факты,
которые стали известны при проведении других следственных действий. В
этот период выясняется:
при каких обстоятельствах свидетель наблюдал преступников (процесс
совершения преступления);
в чем состоял способ совершения преступления;
какую роль выполнял каждый из соучастников неправомерного доступа к
компьютерной информации;
знает ли свидетель, какую цель преследовал обвиняемый, совершая
неправомерный доступ к компьютерной информации;
кто из работников предприятия, организации, учреждения, фирмы, компании
мог способствовать совершению преступления;
имели ли место подобные проявления ранее, если да, то как на них
реагировали руководители предприятия, организации, учреждения, фирмы,
компании;
как свидетель характеризует обвиняемого и его окружение;
что способствовало совершению преступления.
При расследовании преступлений в сфере компьютерной информации очные
ставки могут проводиться между обвиняемыми (при совершении преступления
группой лиц по предварительному сговору или организованной группой),
обвиняемыми и свидетелями, дающими различные показания по одним и тем же
обстоятельствам. В некоторых случаях они, например, могут проводиться с
участием лиц, которые предоставляли свои помещения (жилые), не зная о
подготовке и совершении преступления определенным способом при
опосредованном доступе к компьютерной информации, но владеют информацией
о событиях или фактах, существование которых вообще отрицают обвиняемые.
Каждый раз, принимая решение о проведении очной ставки, необходимо иметь
в виду, что при ее проведении обвиняемый в определенной степени
знакомится с имеющимися по делу доказательствами. Поэтому,
преждевременное ее проведение может показать обвиняемому пробелы в
системе доказательств и упрочить его позицию. В тех случаях, когда есть
сомнения в результатах очной ставки, следует попытаться устранить
существенные противоречия в показаниях путем проведения повторных
допросов. Вместе с этим, следует иметь в виду, что для обвиняемых
разрешение противоречий, в психическом отношении, более действенно на
очной ставке, поскольку аргументы в пользу того или иного положения
выдвигаются не следователем, а непосредственно допрашиваемым, в этой
ситуации появляется еще один компонент психического воздействия –
«эффект присутствия» другого допрашиваемого, дающего иное, нередко
противоположное, объяснение спорных обстоятельств, что создает
дополнительные возможности для установления истины. «Эффект присутствия»
усиливается, когда в очной ставке участвует лицо, чье мнение имеет
моральную ценность для недобросовестного участника.
Надо иметь в виду, что в тех случаях, когда в очной ставке принимает
участие авторитетный свидетель (старше возрастом, независимый в
поведении), обвиняемый (из числа авторитетов преступной среды), не желая
признать себя изобличенным, нередко не дает правдивых показаний на самой
очной ставке. Однако, они могут быть получены от него на допросе,
проведенном сразу после очной ставки. Это объясняется тем, что такие
обвиняемые не желают в присутствии свидетелей показывать себя
«побежденными».
Изучение уголовных дел показало, что перед проведением очной ставки
могут складываться две типичные следственные ситуации:
один из участников следственного действия, объясняя определенные
обстоятельства преступления, дает правдивые показания, а другой –
ложные;
оба участника следственного действия дают ложные показания и по-разному
объясняют отдельные, важные для расследования уголовного дела
обстоятельства.
Приведенные следственные ситуации могут быть порождены либо
добросовестным заблуждением, либо преднамеренной ложью участников
следственного действия.
Необходимо отметить, что добросовестное заблуждение может объясняться
объективными и субъективными причинами. Объективные причины связаны с
неблагоприятными условиями восприятия события, обстоятельства которого
выясняются. Субъективные причины связаны с дефектами органов чувств,
особенностями психики, которые препятствуют нормальному восприятию и
запоминанию события. Исходя из этого, возможности очной ставки по
восполнению отмеченных недостатков в определенной степени ограничены,
что непосредственно сказывается на результативности самого следственного
действия.
Готовясь к очной ставке, необходимо предусмотреть такие вопросы к ее
участникам, чтобы они вызывали ассоциативные связи, наметить
рассмотрение смежных событий и обстоятельств, решить какие
доказательства (предметы, документы, компьютерную технику, или
компьютерную информацию) и когда предъявить и т.п. Упоминание об
определенных обстоятельствах, демонстрация компьютерной техники или
просмотр компьютерной информации могут по ассоциации вызвать в памяти
допрашиваемого другое забытое, упущенное обстоятельство, явление, факт.
В этих целях на очной ставке могут демонстрироваться результаты
наглядной фиксации результатов других следственных действий: фотоснимки,
схемы, планы, чертежи, распечатки (листинги) компьютерной информации,
изъятые черновые записи и пр.
В тех случаях, когда очная ставка проводится между лицами, противоречия
в показаниях которых являются результатом добросовестного заблуждения,
рекомендуется предоставить им более широкие возможности общения между
собой по поводу выясняемых вопросов. «Предоставление допрашиваемым
возможности свободно обсудить спорные обстоятельства обусловлено
эффективностью коллективного обсуждения, совместного обдумывания спорных
вопросов».
Для разоблачения преднамеренной лжи обвиняемого на очной ставке следует
использовать правдивые показания свидетеля. В тех случаях, когда
обвиняемый отличается жестким характером, проявляет грубость, наглость,
напористость, необходимо: при подготовке к следственному действию
получить согласие свидетеля на участие в очной ставке; проинформировать
его о том, что обвиняемый может попытаться оказать на него давление;
принять меры по исключению возможных эксцессов между ними в период ее
проведения.
Существует ряд общетактических приемов разоблачения лжи на очной ставке
вне зависимости от степени правдивости ее участников. Наиболее
эффективным из них является предъявление доказательств (вещественных
доказательств, протоколов следственных действий и приложений к ним,
заключений экспертов и т.п.). Доказательства на очной ставке должны
использоваться при наличии следующих условий:
когда показания правдивого участника достаточно широки по своему
содержанию и охватывают все события преступления или все существенные
его обстоятельства;
когда в распоряжении следователя находится совокупность доказательств,
подтверждающих основные положения показаний правдивого участника;
когда у следователя есть уверенность, что правдивый участник в силу
своих морально-волевых качеств и соответствующих черт характера займет
при проведении следственного действия активную наступательную позицию,
направленную на разоблачение ложных показаний.
В некоторых случаях хорошие результаты может дать такой прием, при
котором следователь объявляет обвиняемому свое решение о проведении
очной ставки с несколькими свидетелями, которые дали правдивые показания
и которые будут изобличать обвиняемого в даче ложных показаний. В
результате такого предупреждения он может принять решение о даче
правдивых показаний, отказавшись от встреч с лицами, которые будут
изобличать его во лжи.
Иногда для разоблачения преднамеренной лжи рекомендуется
последовательное проведение нескольких очных ставок. Для этого на первую
очную ставку выносится только часть противоречий, которая исследована
при проведении других следственных действий, в результате чего собраны
достаточные доказательства. Следует иметь в виду, что повторная
(следующая) очная ставка может проводиться лишь в том случае, если один
из участников отказался от своей прежней позиции. Исключение из этого
составляют случаи, когда возникает новая следственная ситуация (получены
новые доказательства по противоречивым обстоятельствам и т.п.).
Хорошие результаты могут быть и в тех случаях, когда очная ставка
проводится в продолжение комплекса следственных действий с участием
обвиняемого, дающего ложные показания, например допрос, следственный
эксперимент, проверка и уточнение показаний на месте.
Конечно, не всегда очная ставка может дать результаты, однако в
подавляющем большинстве случаев она создает предпосылки для установления
истины при проведении других следственных действий.
Результаты следственного действия отражаются в протоколе; они нередко
подкрепляют выводы следователя и усиливают комплекс доказательств,
полученных в процессе расследования уголовного дела.
При проведения очной ставки желательно использовать звукозапись или
видеозапись. Это, в определенной степени, позволяет избежать потерь
важной доказательственной информации, способствует всесторонности,
полноте и объективности исследования спорных обстоятельств дела.
§ 3. Тактика производства обыска
Задачами обыска при расследовании преступлений в процессе расследования
преступлений в сфере компьютерной информации являются отыскание и
изъятие: 1) орудий, используемых для совершения преступления в сфере
компьютерной информации, в том числе носителей информации, примененных
для копирования похищенной информации или содержащие программы «взлома»
защиты компьютера, вредоносные программы, иные программы и файлы данных
(например, библиотеки паролей и имен), использованные при совершении
преступления; 2) компьютерной информации; 3) специальной литературы,
посвященной вопросам компьютерной безопасности, эксплуатации ЭВМ,
создания вредоносных программ, неправомерного доступа к компьютерной
информации, принципов и алгоритмов организации компьютерных сетей,
программного обеспечения и пр; 4) иных вещественных доказательств и
документов, имеющих значение для дела; 5) разыскиваемого лица.
В процессе подготовки к обыску помещений (до выезда на место проведения)
необходимо: 1) выяснить, какая вычислительная техника имеется в
обыскиваемом помещении и ее количество; 2) установить, используется ли в
комплекте с вычислительной техникой устройства автономного или
бесперебойного питания и к чему может привести отключение
электроэнергии; 3) наличие локальной сети и выхода в другие сети с
помощью модема, радиомодема или выделенных линий; 4) используемое
прикладное программное обеспечение; 5) наличие систем защиты информации
и шифрования, их типы; 6) возможности использования средства экстренного
уничтожения компьютерной информации; 7) пригласить специалиста по
компьютерным системам, так как его познания будут необходимы во время
подготовки к обыску, а также для оперативного анализа информации и
квалифицированного ее изъятия с компьютера; 8) подготовить
соответствующую компьютерную технику, которая будет использоваться для
считывания и хранения изъятой информации; 9) изучить личность владельца
компьютера, его профессиональные навыки по владению компьютерной
техникой; 10) определить время поиска и меры, обеспечивающие
конфиденциальность обыска (наиболее удачными являются утренние часы – с
6.00 до 8.00); 11) спрогнозировать характер возможно находящейся в
компьютере информации.
По прибытии к месту проведения обыска необходимо быстро и неожиданно
войти в обыскиваемое помещение так, чтобы предотвратить уничтожение
информации на ЭВМ. В некоторых случаях, когда это возможно или
целесообразно, непосредственно перед входом в обыскиваемое помещение
следует обесточить его. При этом необходимо иметь в виду, что такое
действие в одних случаях может привести к отключению всей аппаратуры,
находящейся в помещении, в других – к ее повреждению. Что касается
информации, находящейся в ОЗУ компьютеров, то после их обесточивания она
будет уничтожена. Поэтому, делать это нужно осторожно и продуманно.
Отключение оправдано в тех случаях, когда обыск проводится в отдельно
стоящем здании, в котором большое количество компьютерной техники со
значительным количеством интересующей следствие информации, а из-за
большой площади обыскиваемых помещений нет возможности начать
одновременный обыск во всех. К тому же, если эти помещения располагаются
на нескольких этажах и охраняются.
Обесточивание не всегда может привести к нужному результату, поскольку в
некоторых случаях компьютеры снабжаются устройствами бесперебойного
питания, и в случае отключения электричества эти устройства поддерживают
компьютер в работоспособном состоянии некоторое время (около часа).
Подобными устройствами укомплектованы, как правило, центральные
компьютеры локальной вычислительной сети и компьютеры с наиболее ценной
информацией.
На предварительной стадии обыска сразу после входа в помещение
необходимо организовать охрану компьютеров и не допускать к ним
присутствующих в помещении. При этом основной задачей руководителя
следственной группы и специалистов применительно к компьютерным
средствам является обеспечение сохранности информации, имеющейся в
компьютерах и на компьютерных носителях информации. Для этого
необходимо:
предотвратить отключение энергоснабжения предприятия, обеспечив охрану
распределительного щита;
запретить сотрудникам предприятия и прочим лицам производить какие-либо
манипуляции с компьютерами и носителями информации;
оградить работающие компьютеры от случайных нажатий на клавиши
клавиатуры и кнопки системных блоков и устройств;
предупредить всех сотрудников следственной группы о недопустимости
самостоятельной манипуляции с компьютерной техникой и носителями
информации;
в случае использования телефонной линии для связи с другими сетями
обеспечить отключение телефона;
удалить из помещений, в которых находятся компьютеры и носители
информации, все взрывчатые, едкие и легковоспламеняющиеся материалы.
На обзорной стадии обыска необходимо выполнить рекомендации, аналогичные
прибытию на место происшествия. При этом следует точно определить
местоположение компьютеров; с учетом того, что портативные компьютеры
типа notebook легко умещаются в небольшую сумку. Если будет установлено,
что на момент проведения следственного действия на компьютере запущены
какие-либо программы, то специалисту необходимо принять меры к их
остановке. В результате проведения экспресс-анализа компьютерной
информации можно установить, не содержится ли на компьютере информация,
которая может способствовать более плодотворному поиску. Квалифицировано
провести это действие может специалист путем просмотра содержимого
дисков. Интерес могут представлять файлы с текстовой и графической
информацией.
Детальная стадия обыска наиболее трудоемка и требует высокой
квалификации как специалиста по компьютерным системам, так и всей
следственно-оперативной группы. Помимо специальных мероприятий с
компьютером на этой стадии нужно четко организовать поисковые
мероприятия, направленные на поиск тайников, в которых могут находиться
обычные документы и предметы. Таким тайником может служить и сам
компьютер, в частности, системный блок.
Последний обладает некоторыми особенностями построения, делающими его
более удобным для организации тайников. Во-первых, внутри системного
блока очень много свободного места. Компьютеры строятся по модульному
принципу, т.е. их сборка осуществляется из отдельных плат, и каждая
конкретная конфигурация собирается под конкретного пользователя. Внутри
корпуса резервируется место для расширения и наращивания возможностей
компьютера путем установки дополнительных плат. Это и приводит к
большому объему дополнительного места внутри корпуса системного блока
компьютера.
Во-вторых, системный блок компьютера в силу его модульного построения
очень удобен и быстр в разборке-сборке, которая производится, как
правило, без применения каких-либо дополнительных приспособлений
(отвертки, гаечных ключей и пр.). Это способствует удобному доступу к
узлам компьютера без оставления следов.
В третьих, внутри компьютера используются электронные схемы с малым
напряжением, не опасным для жизни человека. Единственное место с
напряжением 220 вольт – блок питания, который всегда помещен в защитный
кожух; подаваемое питание на платы не превышает 12 вольт. Это дает
возможность для вскрытия корпуса без его отключения от сети питания.
В-четвертых, самая большая плата системного блока, так называемая
материнская плата, крепится зажимами к стенке или к низу корпуса, между
которыми остается достаточно большой зазор, очень удобный для хранения
документов. Доступ к подобному тайнику для специалиста не представляет
какой-либо трудности.
Поскольку наиболее распространенным носителем компьютерной информации
являются магнитные дискеты, а они имеют сравнительно малые размеры – до
150 мм в диаметре и 2 мм в толщину, поиск их значительно затруднен. Если
нет возможности, чтобы специалист просмотрел дискеты на месте, они
должны быть изъяты для дальнейшего исследования (с соблюдением всех
процессуальных правил).
Наряду с дискетами для хранения информации могут использоваться лазерные
диски и магнитофонные ленты. Лазерные диски внешне не отличаются от
аудио- и видеодисков, что делает возможным их хранение среди музыкальной
или видеоколлекции. Аналогична ситуация с магнитофонными или
видеолентами.
Поиск тайников с магнитными носителями (дискетами, лентами) затруднен
тем, что для него нельзя использовать металлоискатель или рентгеновскую
установку, поскольку их применение может привести к стиранию информации
на носителях.
При наличии в осматриваемом помещении локальной сети следует точно
установить местоположение серверов. Как правило, на крупных предприятиях
под серверную выделена специальная комната, вход в которую ограничен.
Однако помимо центральной серверной в отделах могут находиться местные
локальные серверы. Определить местоположение компьютеров при наличии
локальной сети поможет проводка. Достаточно проследить трассы кабеля или
коробов (в случае, когда кабель спрятан в специальный короб).
Следует обратить внимание на неподключенные разъемы на коаксиальном
кабеле и свободные розетки (розетки для подключения компьютеров в
локальную сеть, использующие витую пару, имеют вид импортных телефонных
розеток), так как в этих местах, возможно, находились компьютеры или
подключались портативные компьютеры, которые в момент проведения обыска
могут находиться в другом месте или могут быть спрятаны.
Особое внимание следует обратить на места хранения дискет и других
носителей информации. Если при внешнем осмотре компьютеров в их составе
обнаружены устройства типа стримера, магнитооптического накопителя и им
подобных, то необходимо найти места хранения носителей информации к
соответствующим накопителям.
На предприятиях, имеющих развитую локальную сеть, как правило,
производится регулярное архивирование информации на какой-либо носитель.
Нужно определить место хранения данных копий.
Обязательно следует выявить администратора системы и провести его опрос,
при котором необходимо выяснить: какие операционные системы установлены
на каждом из компьютеров; какое программное обеспечение используется;
какие программы защиты и шифрования используются; где хранятся общие
файлы данных и резервные копии; пароли супервизора и администраторов
системы; имена и пароли пользователей.
Далее специалист по компьютерам, участвующий в обыске, используя данные,
полученные от администратора системы, может произвести копирование
информации на заранее приготовленные носители. Это могут быть обычные
дискеты, однако при большом объеме изымаемых файлов рекомендуется
использовать более современные носители информации (например,
магнитооптический диск или дополнительный жесткий диск). Носители, на
которые была переписана информация, должны быть упакованы в пластиковые
коробки (если это жесткий диск, то его необходимо упаковать в
антистатический пакет и предотвратить его свободное переме-щение в
упаковке при транспортировке), которые необходимо опечатать в
соответствии с требованиями УПК.
В связи с тем, что быстро проанализировать огромное количество
информации на компьютере не всегда возможно, ее необходимо изъять для
дальнейшего исследования. Устройство или магнитная лента, на которых
произведено копирование, должны быть соответствующим образом упакованы и
опечатаны. В ряде случаев достаточно изъять жесткий диск (или диски,
если их несколько) с обнаруженного компьютера или весь системный блок
компьютера. При этом следует иметь в виду, что нецелесообразно изымать
все компьютерной оборудование, находящееся в месте обыска. В
криминалистической литературе справедливо отмечается, что кроме
технических сложностей подобного изъятия существуют и экономические: «в
случае выхода из строя ЭВМ банк, как правило, может «продержаться» не
более двух дней, оптовая фирма – 3-5, компания обрабатывающей
промышленности – 4-8, страховая компания – 5-6 дней. В связи с этим,
радикальное изъятие компьютерной техники грозит последующими претензиями
пострадавших организаций».
Если к моменту обыска компьютер был включен, то на магнитный носитель
необходимо скопировать программы и файлы данных, хранимые на его
виртуальном диске.
Скопировать информацию можно и на магнитную ленту с помощью стримера.
Его следует применять, когда в обыскиваемом помещении имеется несколько
компьютеров и информация с каждого из них будет копироваться на свою
ленту. Использование стримера возможно при рабочем компьютере, с
которого происходит копирование. В зависимости от объема встроенного
жесткого диска и технических характеристик стримера копирование может
занимать значительное время (от получаса до нескольких часов для каждого
из компьютеров).
Устройство или магнитная лента, на которых произведено копирование,
должны быть соответствующим образом упакованы и опечатаны.
Если в распоряжении оперативно-следственной группы нет переносного
персонального компьютера или стримера, то в этом случае достаточно
изъять жесткий диск (или диски, если их несколько) с обнаруженного
компьютера. Изъятие должно происходить с соблюдением всех процессуальных
правил. Желательно при изъятии жесткого диска производить видеозапись.
Если в составе группы нет специалиста по компьютерной технике,
способного квалифицированно произвести демонтаж жесткого диска,
целесообразно произвести изъятие всего системного блока компьютера. В
этом случае исследование имеющейся на компьютере информации можно будет
осуществить, передав на исследование весь системный блок. В некоторых
случаях возможно изъятие принтера, однако, в отличие от пишущей машинки,
идентификация напечатанной на нем информации по оставшимся следам крайне
затруднена, будь то даже игольчатый принтер. Для лазерного или струйного
принтера подобный анализ практически невозможен.
Если в обследуемом помещении находится мало компьютеров или у
специалиста возникло сомнение в возможности исследования компьютерной
информации при изъятии только системного блока, необходимо изъять весь
компьютер. При этом следует: точно описать порядок соединения между
собой устройств компьютера, предварительно обесточив его; аккуратно
упаковать каждое устройство и соединительные кабели.
На большинстве компьютеров, несмотря на их достаточно высокую стоимость,
отсутствуют заводские или серийные номера (это в значительной мере
усложняет их поиск и идентификацию). Однако, такой номер всегда есть на
жестком диске, дисководах, на съемных магнитных носителях и материнской
плате. Поскольку эти узлы являются основными с конструктивной точки
зрения и наиболее дорогими с точки зрения стоимости, идентификацию можно
проводить по ним.
Заводские номера так же могут быть указаны на блоке питания и
вспомогательных платах.
Все платы внутри системного блока соединяются разъемами и могут быть
достаточно просто удалены или поставлены в корпус компьютера. Причем,
многие платы могут не влиять на работоспособность компьютера в основном
режиме. Поэтому для точной идентификации данного системного блока
компьютера необходимо перечислить все встроенные платы и, если имеются
их заводские номера, указать их в протоколе обыска. При изъятии жесткого
диска кроме номера обязательно указывается фирма-изготовитель, тип
(модель), страна-изготовитель, техническое состояние (желательно указать
и объем диска).
С проблемой анализа машинной информации можно столкнуться и при
проведении личного обыска, когда компьютер является одним из предметов,
находящихся у обыскиваемого. В этом случае весь порядок действий и
специфика обыска аналогична обыску, проводимому в помещении, с той лишь
разницей, что переносной компьютер проще изъять целиком, поскольку
демонтаж отдельных его узлов может привести к потере его
работоспособности.
На заключительной стадии рассматриваемого следственного действия
составляется протокол и описи к нему, вычерчиваются планы и схемы
обыскиваемых помещений, проводятся дополнительные фотосъемка и
видеозапись.
§ 4. Допрос подозреваемого и обвиняемого
При допросе лица в качестве подозреваемого в каждом конкретном случае,
как минимум, необходимо получить ответы на следующие вопросы:
где и кем (в какой должности) работал подозреваемый?
к какой компьютерной информации имеет доступ?
какие операции с информацией он имеет право проводить?
какова его категория доступа к информации?
умеет ли работать подозреваемый на компьютере, владеет ли он
определенным программным обеспечением, каков уровень его квалификации?
кто научил его работать с конкретным программным обеспечением?
какие идентификационные коды и пароли закреплены за ним (в том числе при
работе в компьютерной сети)?
к каким видам программного обеспечения имеет доступ подозреваемый?
каков источник его происхождения?
обнаруживались ли программы, источник происхождения которых неизвестен?
какие виды операций с компьютерной информацией данное лицо выполняло в
исследуемое время?
из какого источника или от кого конкретно подозреваемый узнал о
содержании информации, к которой произвел неправомерный доступ?
какой способ использовал подозреваемый для совершения неправомерного
доступа к компьютерной информации?
как подозреваемому удалось проникнуть в компьютерную систему (сеть)?
откуда подозреваемый мог узнать пароль (код) доступа к информации;
Наблюдались ли сбои в работе средств компьютерной техники и устройств
защиты информации в период работы данного лица в определенное время;
обнаруживал ли он сбои в работе программ, компьютерные вирусы и другие
нарушения в нормальном функционировании программного обеспечения?
обнаруживал ли подозреваемый случаи незаконного проникновения в свой
компьютер, незаконного подключения к компьютерной сети?
имеет ли он ограничения на допуск в помещения, где установлена
компьютерная техника и какие именно?
ознакомлен ли он с порядком работы с информацией, инструкциями о порядке
проведения работ?
не было ли случаев нарушения подозреваемым распорядка дня, порядка
проведения работ, порядка доступа к компьютерной информации?
не поступало ли к подозреваемому от других лиц предложений о передаче
какой-либо компьютерной информации, программного обеспечения?
не звестны ли ему лица, проявлявшие интерес к получению
идентификационных кодов и паролей?
Следует иметь в виду, что на первом допросе подозреваемый может
попытаться объяснить факт неправомерного доступа к компьютерной
информации некриминальными причинами (случайностью, стечением
определенных обстоятельств, посторонним воздействием и т.п.). Может
рассказывать о неправомерном доступе к компьютерной информации, как о
факте, который совершился при отсутствии преступного умысла.
Для изобличения таких лиц хорошие результаты дает правильная реализация
информации о преступной деятельности этого лица, полученной при
проведении оперативно-розыскных мероприятий, а так же предъявление
предметов и документов, принадлежащих подозреваемому и использовавшихся
для неправомерного доступа к компьютерной информации. Умелое
использование указанных сведений оказывает определенное воздействие на
допрашиваемого и позволяет получить правдивые показания на первом
допросе.
Для успешного проведения допроса обвиняемого необходимо тщательно
изучить все материалы дела, особенности личности обвиняемого, способы
совершения преступления, доказательства, указывающие на виновность
конкретного лица, и т.п. Ко времени привлечения лица в качестве
обвиняемого следствие должно располагать двумя категориями
доказательств. В первой из них предусматривается доказывание
обстоятельств, свидетельствующих о том, что расследуемое событие
(деяние) имело место, во второй – что это деяние совершено привлекаемым
к уголовной ответственности лицом и оно соответствует составу
преступления, предусмотренного соответствующей статьей УК РФ.
Допрос обвиняемого является одним из важнейших, наиболее сложных и
зачастую конфликтных следственных действий. Не преследуя цели
рассмотрения тактики допроса обвиняемого в целом, отметим, что
обвиняемые дают правдивые показания в тех случаях, когда убедятся, что
расследованием установлен круг фактических данных. Поэтому обычно
наиболее результативны приемы представления допрашиваемым собранных по
делу доказательств и подробного изложения обстоятельств преступления без
ссылки на источники.
Круг вопросов, подлежащих выяснению у обвиняемого, определяется
конкретной следственной ситуацией, сложившейся по уголовному делу.
Однако во всех случаях при допросе обвиняемого уточняется следующий
комплекс обстоятельств:
каким образом произошло проникновение в помещение, где установлена
компьютерная техника (в случае непосредственного доступа), или
подключение к компьютерной сети?
от кого и каким образом получены сведения об информации, хранимой на
компьютере?
от кого была получена информация об используемых мерах защиты
компьютерной информации и способах ее преодоления?
каким образом была преодолена физическая, техническая и программная
защита компьютерной информации?
каким образом осуществлялся неправомерный доступ к компьютерной
информации?
какие технические и программные средства при этом использовались?
производилось ли незаконное копирование компьютерной информации?
какие носители информации при этом использовались?
кому и с какой целью были переданы сведения, полученные в результате
неправомерного доступа к компьютерной информации?
как осуществлялось уничтожение следов неправомерного доступа к
компьютерной информации?
как часто осуществлялся неправомерный доступ к компьютерной информации?
известны ли лица, занимающиеся подобной деятельностью, в каких
отношениях находится с ними обвиняемый и что ему о них известно?
имеет ли он в силу своего служебного положения право доступа к вызванной
информации?
осознает ли обвиняемый то обстоятельство, что вызванная им информация
охраняется законом (ее использование было ограничено определенным кругом
лиц)?
знал ли он о содержании информации, которую вызвал и уничтожил,
заблокировал, модифицировал, скопировал?
какие преследовались цели при совершении подобного деяния?
кто знал (догадывался) о совершенном деянии?
знал ли обвиняемый, кто является законным собственником (владельцем)
информации, к которой осуществлялся неправомерный доступ?
каким образом использовалась полученная информация?
кто и каким образом содействовал в совершении этого деяния?
кто являлся организатором совершения этого преступления, как были
распределены роли, кто конкретно эти роли исполнял?
При допросе подозреваемого (обвиняемого) в совершении создания
вредоносных программ для ЭВМ требуется установить уровень его
профессиональной подготовленности как программиста, опыт работы по
созданию программ конкретного класса на данном языке программирования,
знание алгоритмов работы программ, подвергшихся воздействию.
При расследовании преступлений, связанных с распространением вредоносных
программ, особенно компьютерных вирусов, требуется выяснить: соблюдались
ли требования противовирусной защиты, каков уровень владения
соответствующими программами, каким образом был нарушен режим
использования программных средств.
Кроме этого, необходимо установить конкретные факты несоблюдения режима
доступа на объект, доступа к средствам вычислительной техники и
программным средствам, способы преодоления программных и аппаратных
средств защиты информации и другие обстоятельства, способные облегчить
совершение преступления.
При допросе обвиняемого требуется выяснить все обстоятельства подготовки
и совершения преступления, алгоритм функционирования вредоносной
программы, а также на какую информацию и как она воздействует, характер
наступающих последствий, связанных с нарушением работы ЭВМ, их системы
или сети и несанкционированным уничтожением, блокированием, модификацией
или копированием информации и какие действия по их преодолению могут
быть наиболее эффективны.
§ 5. Следственный эксперимент
На последующем этапе расследования преступлений в сфере компьютерной
информации в целях проверки и иллюстрации собранных по делу
доказательств, проверки и оценки следственных версий, установления
причин и условий, способствовавших совершению преступления, получения
новых доказательств возникает необходимость проведения следственного
эксперимента. Как и другие следственные действия, проводящиеся при
расследовании преступлений данной категории, следственный эксперимент
имеет ряд специфических особенностей, определяющих его виды и специфику
тактики.
Виды следственного эксперимента, проводимого при расследовании
неправомерного доступа к компьютерной информации, варьируются и зависят,
прежде всего от способов совершения преступления (непосредственный или
опосредованный доступ). В практике при расследовании анализируемого
преступления проводятся следующие эксперименты:
по проверке возможности проникновения в помещение (через двери, окно, с
отключением и без отключения сигнализации);
по проверке возможности подключения компьютерной техники и совершения
непосредственного доступа к компьютерной информации;
по проверке возможности проникновения в закрытые зоны (путем подбора
паролей, идентификационных кодов и установлению периода времени для
данного подбора);
по проверке возможности подключения к компьютерной сети;
по проверке возможности электромагнитного перехвата;
по установлению периода времени, необходимого на подключение к
компьютерной сети;
по установлению периода времени, необходимого на отключение технических
средств защиты информации;
по установлению промежутка времени, необходимого для модификации,
копирования компьютерной информации;
по проверке возможности совершения определенных операций к компьютерной
информацией в одиночку;
по проверке возможности совершения определенных операций с помощью
конкретной компьютерной техники за определенный промежуток времени и др.
Общетактические положения, которые должны соблюдаться при проведении
следственного эксперимента любого вида, криминалисты сводят к следующим:
оптимальное ограничение количества участников следственного
эксперимента;
максимальное сходство условий проведения следственного эксперимента с
условиями, в которых происходило совершение преступления;
многократность проведения однородных опытов;
проведение опытных действий в изменяющихся по степени сложности
условиях;
соответствие профессиональных навыков лица, осуществляющего опыты,
профессиональным навыкам непосредственного участника исследуемого
события;
обеспечение безопасности участников следственного действия.
При расследовании преступлений в сфере компьютерной информации эти
тактические требования приобретают определенные особенности, на которых
следует остановиться подробнее.
Оптимальное ограничение количества участников следственного
эксперимента. Законодательная регламентация круга участников
следственного эксперимента позволяет говорить об обязательных и
необязательных – в процессуальном смысле слова – участниках этого
следственного действия. К числу обязательных участников относятся
следователь или оперативный работник, которому поручено производство
этого следственного действия, и понятые в количестве на менее двух. Как
уже отмечалось, понятых следует приглашать из числа лиц, владеющих
компьютерной техникой. К числу необязательных участников закон относит
подозреваемого, обвиняемого, свидетеля, специалиста, переводчика,
педагога, защитника.
Представляется, что присутствие специалиста в области компьютерной
техники всякий раз необходимо при проведении рассматриваемого
следственного действия по данной категории дел. В целях фиксации
показаний с использованием видеосъемки, необходим специалист-оператор. В
определенных случаях, необходимо так же участие
специалиста-криминалиста.
Число участников следственного действия должно ограничиваться таким
составом (при условии соблюдения уголовно-процессуального
законодательства), без которого невозможно получить объективные
результаты. Следует иметь в виду, что большое количество участников
затрудняет проведение эксперимента, приводит к разглашению его
результатов.
Максимальное сходство условий проведения следственного эксперимента с
условиями, в которых происходило совершение преступления. Обозначенное
положение обеспечивается:
а) реконструкцией обстановки для производства опытов, т.е. расположением
предметов на месте производства эксперимента в том количестве и порядке,
в каком они находились в момент совершения неправомерного доступа к
компьютерной информации. Это позволяет достичь максимального сходства
между опытной и реальной обстановкой совершения преступления. Данное
требование особенно важно при проверке возможности непосредственного
доступа к компьютерной информации, связанного с проникновением
преступника в помещение, где установлены средства компьютерной техники;
б) использованием подлинных или сходных по техническим характеристикам
(аналогичных) предметов компьютерной техники, программно- и технически
совместимого периферийного оборудования, тех же версий программного
обеспечения и т.п, о которых говорил обвиняемый;
в) учетом изменившихся и не поддающихся реконструкции условий;
г) воспроизведением (моделированием) субъективных, психофизиологических
факторов.
Как показывает практика, внешние условия обстановки при совершении
неправомерного доступа к компьютерной информации чаще всего не оказывают
такого принципиального значения, как при совершении других преступлений
(против собственности, против безопасности дорожного движения и др.).
Поэтому при оценке результатов следственного действия необходимо
учитывать в первую очередь степень совпадения и соответствия технических
характеристик и параметров используемой компьютерной техники, состояния
и версий программного обеспечения, типа операционной системы, общей
конфигурации компьютера и пр. В то же время, погодные условия (дождь,
снег, ветер и пр.) оказывают влияние на результаты опытов по проверке
возможности осуществления перехвата информации. К примеру, сильный ветер
влияет на распространение электромагнитных волн, создает помехи,
препятствует устойчивому приему и др.
Так, если необходимо проверить возможность подключения к компьютерной
сети банковского учреждения, состоявшейся в 11 часов, то следователю
следует выяснить: сколько компьютеров и в каком режиме работали в это
время в данном учреждении; какова в это время загруженность телефонной
сети; сколько абонентов одновременно подключалось к данной сети и др.
Только после этого провести эксперимент в то же время и в тех же
условиях.
При подготовке и проведении следственного эксперимента по проверке
возможности электромагнитного перехвата компьютерной информации,
распознавания перехваченной информации необходимо участников
следственного действия разделить на две группы, в каждой из которых
должно быть не менее двух понятых. Первая группа в составе следователя,
лица, чьи показания проверяются, понятых, специалиста по средствам
компьютерной техники и специалиста, осуществляющего фотосъемку или
видеозапись, располагается в том помещении, из которого в свое время
осуществлялся перехват.
Вторая группа, включающая оперативного работника,
специалиста-криминалиста, понятых и лица, которое будет обрабатывать
заранее согласованную со следователем и специалистом компьютерную
информацию, размещается в помещении, где находится компьютерная техника.
Руководители обеих групп перед опытом сверяют часы и обусловливают время
начала и продолжительность проведения опытов. Информация выводится на
экран неоднократно и в различной последовательности. После окончания
опытов обе группы собираются вместе. Следователь оглашает полученные
результаты и составляет протокол. В данном случае следственный
эксперимент желательно проводить при таких же погодных и климатических
условиях, в противном случае они могут повлиять на ход и результаты
опытов.
Рассматриваемое следственное действие проводится в том же темпе и при
той же продолжительности действий. Например, для проверки возможности
копирования определенной информации за конкретный промежуток времени
опытные действия необходимо проводить в том же темпе, который имел место
при совершении преступления. При этом учитывается также и
последовательность действий, составляющих содержание опыта. Например,
при определении времени подключения к компьютерной сети, опытные
действия должны проводиться в той же последовательности, как об этом
говорили обвиняемые на допросе, без предварительной подготовки
(включения компьютера, загрузки операционной системы, подключения
периферийного оборудования и пр.).
Многократность проведения однородных опытов. В целях исключения
случайных результатов, обеспечения достоверности и наглядности, опытные
действия необходимо осуществлять неоднократно. Количество повторений
определяется в зависимости от наступления стабильных, закономерных
результатов, при этом не имеет значения, положительный или отрицательный
результат будет получен.
Изменение условий проведения опытов. В тех случаях, когда следствие не
располагает точными данными об условиях, каких-либо параметрах
проверяемого события (например, длительность пребывания в компьютерной
сети), то необходимо изменять условия проведения опытных действий.
Следует иметь в виду, что опытные действия в измененных условиях также
повторяются многократно.
Иногда опытные действия целесообразно проводить в измененных условиях,
худших по сравнению с теми , что существовали на момент проверяемого
события. Такие опытные действия проводятся после экспериментальных,
осуществленных в условиях, максимально сходных с теми, что существовали
на момент проверяемого события, результаты таких действий усиливают
достоверность первых опытных действий.
Соответствие профессиональных навыков лица, осуществляющего опыты,
профессиональным навыками непосредственного участника исследуемого
события. Если непосредственный участник исследуемых событий не может
принять участие в следственном эксперименте, то лицо, заменяющее его,
должно подбираться из числа обладающих такими же профессиональными
навыками.
Обеспечение безопасности участников следственного действия. Всякий раз,
принимая решение о проведении следственного эксперимента, следователь
должен обеспечить безопасность всех участвующих. Если есть информация о
том, что обвиняемый или люди из его окружения могут оказать
противодействие проведению эксперимента, расправиться с участниками
следственно-оперативной группы, устранить свидетелей, то необходимо
подготовить и проинструктировать соответствующим образом подготовленный
личный состав следственной группы, предусмотреть применение средств
защиты, оружия, специальных средств.
Представляют интерес рекомендации обеспечения безопасности участников
уголовного процесса, высказанные С.Л.Марченко. Он выделяет три уровня
обеспечения безопасности:
«1-й уровень: меры охранного характера: а) личная охрана, охрана жилища
и имущества; б) использование технических средств контроля и
прослушивания телефонных и иных переговоров; в) выдача оружия и
специальных средств индивидуальной защиты и оповещения об опасности;
г) замена номера телефона; д) замена номерных знаков авто-,
мото-транспорта; е) временное помещение в места, обеспечивающие
безопасность; ж) изменение внешности без хирургического вмешательства.
2-ой уровень: меры, предусматривающие: а) переселение на другое место
жительства; б) изменение места работы или учебы; в) изменение фамилии.
3-й уровень: меры, предусматривающие: а) изменение
анкетно-биографических данных, данных о родственниках и супругах;
б) замена документов (паспорт, диплом об образовании, свидетельство о
рождении, справки о получении специальности, водительское удостоверение
и т.п.); в) изменение внешности, связанное с хирургическим
вмешательством».
При этом И.А.Бобраков предлагает три направления противодействия
воздействию преступников на свидетелей и потерпевших: упреждение,
выявление и преодоление воздействия.
Обеспечению реальной безопасности как активных (понятые, специалисты,
лица, производящие опыты), так и вспомогательных (водитель, технические
помощники) участников следственного эксперимента должно уделяться
первостепенное значение. Особенно это относится к расследованию
неправомерного доступа к компьютерной информации, совершенного
организованной преступной группой. Следует сказать о том, что если есть
реальная угроза жизни или здоровью участников следственного эксперимента
или их близким и знакомым, унижению чести и достоинства, то нужно
отказаться от самой идеи его проведения. Никакие результаты
расследования не могут быть важнее здоровья и, тем более, жизни хотя бы
одного участника эксперимента. Эта рекомендация в деятельности
следователя, руководителя следственного подразделения должна быть
стратегической.
На процессуальном уровне обеспечение реальной безопасности связано с
реализацией требований о неразглашении данных предварительного
следствия. Исходя из них, следователь предупреждает понятых,
специалиста, переводчика и других лиц, присутствующих при производстве
следственного действия, о недопустимости разглашения без его разрешения
данных, полученных в процессе опытов.
Тактические рекомендации конкретизируются в зависимости от обстоятельств
совершения неправомерного доступа к компьютерной информации
(совершенного группой лиц по предварительному сговору, организованной
группой), особенностей личностных свойств проверяемого лица, позиции
других лиц, проходящих по делу и т.п. К числу наиболее распространенных
рекомендаций можно отнести:
удаление с места проведения следственного действия посторонних граждан;
проведение следственного действия в такое время, когда исключено
присутствие на этом месте посторонних лиц;
обеспечение охраны ( и не только лица, чьи показания проверяются);
обеспечение оцепления места проведения проверки показаний;
сокрытие от посторонних данных лица, чьи показания проверяются, и фабулы
дела;
обеспечение приглашения участников следственного действия таким образом,
чтобы исключалось их знакомство с лицом, чьи показания проверяются;
наличие резерва сил для быстрого и эффективного реагирования на
экстремальную ситуацию, которая может сложиться при проведении
следственного действия и т.п.
Принимая решение о производстве следственного эксперимента, следователь
обязан тщательно продумать ход его проведения, комплекс подготовительных
мероприятий. Особое внимание необходимо уделить сохранности программного
обеспечения и иной компьютерной информации, которая может являться
доказательством по делу. Комплекс подготовительных мероприятий, как
правило, осуществляется в два этапа: до выезда (выхода) на место
проведения следственного эксперимента и по прибытии на него.
К подготовительным мероприятиям до выезда на место проведения
следственного эксперимента относятся:
изучение и анализ материалов уголовного дела, а в необходимых случаях –
ознакомление с оперативно-розыскными данными;
установление характера и содержания опытных действий;
определение места, времени, последовательности проведения опытных
действий;
предварительный выезд (в необходимых случаях) на место проведения
следственного эксперимента;
подготовка средств компьютерной техники, оборудования, программного
обеспечения, вещественных доказательств, предметов, которые необходимы
для осуществления;
предупреждение руководителя соответствующего предприятия, организации,
учреждения, фирмы или компании, откуда произошел неправомерный доступ к
компьютерной информации;
определение круга участников и принятие соответствующих мер по
обеспечению их явки на место производства следственного эксперимента;
продумывание мероприятий, обеспечивающих охрану места прове-дения
следственного действия;
подготовка транспортных средств;
подготовка научно-технических средств и средств связи;
продумывание мероприятий, обеспечивающих безопасность участников
следственного эксперимента.
К подготовительным мероприятиям, осуществляемым по прибытии на место
проведения следственного эксперимента, относятся:
осмотр места опытных действий, принятие мер по реконструкции обстановки
(в случае ее нарушения);
определение места нахождения участников эксперимента, разъяснение
способов и средств связи между ними;
фотографирование обстановки до реконструкции и после нее;
приглашение понятых, специалистов или других необходимых участников,
если это не было сделано заранее;
разъяснение каждому участнику прав и обязанностей, предупреждение о
неразглашении данных эксперимента;
организация охраны места проведения эксперимента;
осуществление мероприятий, направленных на реальное обеспечение
безопасности участников следственного действия;
расположение участников в соответствии с планом проведения эксперимента.
Приведенные рекомендации по подготовке к производству следственного
эксперимента при расследовании преступлений в сфере компьютерной
информации носят общий характер и, в зависимости от конкретно
эксперимента, должны уточняться. Так, например, очевидно, что при
проверке экспериментальным путем возможности перехвата информации на
определенном расстоянии важную роль играет выяснение метеоусловий. При
подготовке к производству эксперимента по установлению возможности
совершить непосредственный доступ к компьютерной информации, эти условия
могут не иметь никакого значения и не требовать их выяснения. Что
касается тактических особенностей проведения следственного эксперимента,
то они также варьируются в зависимости от вида и целей следственного
эксперимента.
§ 6. Назначение экспертиз
При расследовании преступлений в сфере компьютерной информации
назначаются и проводятся различные экспертизы, в том числе традиционные
криминалистические, экспертизы веществ и материалов, экономические и др.
Назначение и проведение перечисленных экспертиз особых затруднений не
вызывает, что касается собственно компьютерно-технических экспертиз, то
они относятся к новому роду и представляют значительные сложности. Это
объясняется отсутствием соответствующих специалистов а так же
отработанных методик проведения отдельных ее видов.
Комплекс экспертиз, назначаемых при расследовании неправомерного доступа
к компьютерной информации будет меняться и зависеть от способа
совершения и механизма преступления.
Рассматривая компьютерно-техническую экспертизу как самостоятельный род
судебных экспертиз, относящийся к классу инженерно-технических,
Е.Р.Россинская и А.И.Усов выделяет следующие ее виды:
аппаратно-компьютерная экспертиза; программно-компьютерная экспертиза;
компьютерно-сетевая экспертиза. Рассмотрим данные виды более подробно:
Сущность судебной аппаратно-компьютерной экспертизы заключается в
проведении исследования технических (аппаратных) средств компьютерной
системы. Предметом данного вида судебной компьютерно-технической
экспертизы являются факты и обстоятельства, устанавливаемые на основе
исследования закономерностей эксплуатации аппаратных средств
компьютерной системы – материальных носителей информации о факте или
событии уголовного или гражданского дела.
Для проведения экспертного исследования программного обеспечения
предназначен такой вид компьютерно-технической экспертизы, как
программно-компьютерная экспертиза. Ее видовым предметом являются
закономерности разработки (создания) и применения (использования)
программного обеспечения компьютерной системы, представленной на
исследование в целях установления истины по гражданскому или уголовному
делу. Целью программно-компьютерной экспертизы является изучение
функционального предназначения, характеристик и реализуемых требований,
алгоритма и структурных особенностей, текущего состояния представленного
на исследование программного обеспечения компьютерной системы.
Судебная информационно-компьютерная экспертиза (данных) является
ключевым видом судебной компьютерно-технической экспертизы, так как
позволяет завершить целостное построение доказательственной базы путем
окончательного разрешения большинства диагностических и
идентификационных вопросов, связанных с компьютерной информацией. Целью
этого вида является поиск, обнаружение, анализ и оценка информации,
подготовленной пользователем или порожденной (созданной) программами для
организации информационных процессов в компьютерной системе.
Отдельный вид компьютерно-технической экспертизы – судебная
компьютерно-сетевая экспертиза, в отличие от предыдущих основывается,
прежде всего, на функциональном предназначении компьютерных средств,
реализующих какую-либо сетевую информационную технологию. Поэтому
исследование фактов и обстоятельств, связанных с использованием сетевых
и телекоммуникационных технологий, по заданию следственных и судебных
органов в целях установления истины по уголовному или гражданскому делу
составляют видовой предмет компьютерно-сетевой экспертизы. Она выделена
в отдельный вид в связи с тем, что лишь использование специальных
познаний в области сетевых технологий позволяет соединить воедино
полученные объекты, сведения о них и эффективно решить поставленные
экспертные задачи. Особое место в компьютерно-сетевой экспертизе
занимают экспертные исследования по уголовным и гражданским делам,
связанным с Интернет-технологиями.
Объект применения специальных познаний этой СКТЭ может быть разным – от
компьютеров пользователей, подключенных к Internet, до различных
ресурсов поставщика сетевых услуг (провайдера Internet) и
предоставляемых им информационных услуг (электронная почта, служба
электронных объявлений, телеконференции, WWW-сервис и пр.). В связи со
стремительным развитием современных телекоммуникаций и связи, в судебной
компьютерно-сетевой экспертизе можно выделить судебную телематическую
экспертизу, предметом которой являются фактические данные,
устанавливаемые на основе применения специальных познаний при
исследовании средств телекоммуникаций и подвижной связи как материальных
носителей информации о факте или событии какого-либо уголовного либо
гражданского дела.
Нам представляется, что можно выделить следующие виды
компьютерно-технических экспертиз, необходимость назначения которых
возникает при расследовании преступлений в сфере компьютерной информации
компьютерной информации:
техническая экспертиза компьютеров и периферийных устройств. Она
назначается и проводится в целях изучения технических особенностей
компьютера, его периферийных устройств, технических параметров
компьютерных сетей, а также причин возникновения сбоев в работе
компьютерного оборудования;
техническая экспертиза оборудования защиты компьютерной информации.
Проводится в целях изучения технических устройств защиты информации,
используемых на данном предприятии, организации, учреждении или фирме;
экспертиза машинных данных и программного обеспечения ЭВМ.
Осуществляется в целях изучения информации, хранящейся в компьютере и на
магнитных носителях, в том числе изучение программных методов защиты
компьютерной информации;
экспертиза программного обеспечения и данных, используемых в
компьютерной сети. Проводится в целях изучения информации, которая
обрабатывается с помощью компьютерных сетей, эксплуатируемых на данном
предприятии, организации, учреждении, фирме или компании.
С.А.Катков выделяет в качестве самостоятельного вида экспертизы по
восстановлению содержания документов на магнитных носителях. Нам
представляется, что исходя из решаемых данным видом экспертного
исследования вопросов, оно целиком относится к экспертизе машинных
данных и программного обеспечения.
Как показывает практика, возможно так же назначение комплексной
экспертизы, сочетающей в себе дактилоскопическую,
компьютерно-техническую экспертизу, экспертизу веществ и материалов,
технико-криминалистическую экспертизу документов, а так же иные виды
экспертного исследования.
На разрешение технической экспертизы компьютеров ставятся следующие
диагностические вопросы:
какая модель компьютера представлена на исследование, каковы его
технические характеристики, параметры периферийных устройств?
находится ли представленная компьютерная техника в исправном состоянии?
Возможна ли ее эксплуатация? Если нет, то по каким причинам;
соответствует ли представленная документация данным техническим
устройствам и периферийному оборудованию?
каковы условия сборки компьютера и его комплектующих: фирменная сборка,
сборка из комплектующих в другой фирме или кустарная сборка? Имеются ли
в наличии дополнительные устройства, не входящие в базовый комплект
поставки (базовый комплект определяется из документации)?
имеет ли место наличие неисправностей отдельных устройств, магнитных
носителей информации (выявляются различными тестовыми программами)?
не проводилась ли адаптация компьютера для работы с ним специфических
пользователей (левша, слабовидящий и пр.)?
К идентификационным можно отнести вопрос о наличии у комплектующих
компьютера (например, печатных плат, магнитных носителей, дисководов и
пр.) единого источника происхождения.
При технической экспертизе оборудования защиты ставятся следующие
вопросы:
какие технические устройства используются для защиты компьютерной
информации? Каковы их технические характеристики?
есть ли в наличии техническая документация на эти изделия? Соответствуют
параметры устройств, изложенным в документации?
подвергались или нет средства защиты программной модификации или
физическому воздействию? Используются или нет кустарные средства защиты
информации?
При экспертизе данных и программного обеспечения могут решаться как
диагностические, так и идентификационные задачи. В зависимости от
конкретных обстоятельств при решении диагностических задач вопросы могут
быть следующими:
каков тип операционной системы, используемой в компьютере? Какова ее
версия?
какие программные продукты эксплуатируются на данном компьютере?
Являются ли они лицензионными, или «пиратскими» копиями, или
собственными оригинальными разработками? Когда производилась инсталляция
(установка) данных программ?
каково назначение программных продуктов? Для решения каких прикладных
задач они предназначены? Какие способы ввода и вывода информации
используются? Соответствуют ли результаты выполнения программ требуемым
действиям?
какие программные методы защиты информации используются (пароли,
идентификационные коды, программы защиты и т.д.)? Не предпринимались ли
попытки подбора паролей или иные попытки неправомерного доступа к
компьютерной информации?
какая информация содержится в скрытых файлах?
имеются ли на представленном магнитном носителе стертые (удаленные)
файлы? Если да, то каковы их имена, размеры и даты создания, давность
удаления?
возможно ли восстановление ранее удаленных файлов и каково их
содержание?
изменялось ли содержание файлов (указать, каких именно), если да, то в
чем оно выразилось?
в каком виде хранится информация о результатах работы антивирусных
программ, программ проверки контрольных сумм файлов? Каково содержание
данной информации?
имеет ли место наличие сбоев в работе отдельных программ? Каковы причины
этих сбоев?
в каком состоянии находятся и что содержат файлы на магнитных носителях?
Когда производилась последняя корректировка этих файлов?
к каким именно файлам делала обращение программа (указать, какая
именно), представленная на машинном носителе и какие информационные
файлы она создавала?
При решении идентификационных задач могут быть поставлены следующие
вопросы:
выполнена ли отдельная программа (или ее часть) определенным лицом?
соответствуют ли используемые в программах пароли и идентификационные
коды вводимым пользователем.
При экспертизе сетевого программного обеспечения и данных ставятся
следующие вопросы:
какое программное обеспечение используется для функционирования
компьютерной сети? Является ли оно лицензионным?
каким образом осуществляется соединение компьютеров сети? Имеется ли
выход на глобальные компьютерные сети?
какие компьютеры являются серверами (главными компьютерами) сети?
каким образом осуществляется передача информации на данном предприятии,
учреждении, организации, фирме или компании по узлам компьютерной сети?
используются ли для ограничения доступа к информации компьютерной сети
пароли, идентификационные коды? В каком виде они используются?
имеются ли сбои в работе отдельных программ, отдельных компьютеров при
функционировании их в составе сети? Каковы причины этих сбоев?
какая информация передается, обрабатывается и модифицируется с
использованием компьютерной сети?
Необходимо отметить, что объектами компьютерно-технических экспертиз
кроме компьютеров в привычном понимании, их отдельных блоков,
периферийных устройств, технической документации к ним, а так же
носителей компьютерной информации могут выступать и компьютеры в
непривычном понимании: электронные записные книжки, пейджеры, сотовые
телефоны, электронные кассовые аппараты, иные электронные носители
текстовой или цифровой информации, документация к ним. При этом на
разрешения эксперта ставятся аналогичные вопросы.
Представляет интерес позиция В.В.Агафонова и А.Г.Филиппова, считающих,
что в определенных случаях производство экспертизы можно заменить другим
следственным действием, в частности, следственным осмотром или
следственным экспериментом. Не вдаваясь в дискуссию по данному вопросу,
отметим, что в тех случаях, когда собственных познаний следователя
достаточно, и ему не требуются привлечения специальных познаний
(например, при установлении факта нахождения определенной информации на
машинном носителе), экспертизу действительно можно не назначать, а
зафиксировать факт нахождения данной информации путем следственного
осмотра с участием специалиста.
В экспертно-криминалистическом центре МВД России в 1994 году разработана
методика идентификации оператора компьютера по его клавиатурному
«почерку». На основе проведения обширного эксперимента, использования
аппарата математической статистики было установлено существование
комплекса признаков, идентифицирующих конкретного оператора ЭВМ. К числу
таких признаков относятся: темп работы (среднее количество нажатий на
клавиши клавиатуры за единицу времени, характеризующее опыт и технику
работы оператора на клавиатуре); время удержания отдельных клавиш в
нажатом состоянии; время перехода от одной клавиши к другой;
использование альтернативных клавиш (например, Shift, CapsLock и т.д.).
На основе этого компьютерная программа производит фиксацию и анализ
статистически значимых признаков индивидуального «почерка» работы
оператора на клавиатуре.
Необходимо отметить, что в настоящее время, класс компьютеро-технических
экспертиз находится еще в стадии разработки. Проведенное исследование
показало, что следователи испытывают значительные сложности с
назначением подобных экспертиз, поскольку не во всех экспертных
учреждениях имеются соответствующие специалисты, большинство
следователей не знают о возможностях компьютерно-технических экспертиз,
какие вопросы ставятся на их разрешение и какие материалы
предоставляются в распоряжение экспертов.
§ 7. Предъявление для опознания
Предъявление для опознания, наряду с другими следственными действиями,
имеет существенное значение для установления и уточнения конкретных
обстоятельств совершенного преступления в сфере компьютерной информации.
Предъявление для опознания компьютерной информации, предметов и объектов
(орудий преступления, магнитных носителей информации и т.п.) позволяет
установить не только сами орудия преступления, но и лиц, которые
принимали участие в их изготовлении (особенно, при опосредованном
доступе), видели их у преступников или изготовителей, определить
принадлежность компьютерной информации определенным лицам.
При расследовании рассматриваемой группы преступлений для опознания
помимо традиционных объектов (предметы, люди, реже объекты,
запечатленные на фотографиях) может предъявляться так же компьютерная
информация в виде программ, баз данных, текстовых или графических
файлов, ее носители, компьютерная техника. При этом, опознание имеет ряд
особенностей, обусловленных спецификой компьютерной информации,
рассмотренной нами выше.
Предъявление для опознания живых лиц, компьютерной техники и носителей
компьютерной информации (как материальных предметов), иных предметов или
их фотоизображений на практике затруднений не вызывает.
Что касается предъявления для опознания компьютерной информации, то
здесь имеется ряд сложностей тактического и процессуального характера.
Процессуальные сложности связаны с тем, что действующее
уголовнопроцессуальное законодательство предусматривает в качестве
опознаваемых объектов только живых лиц, трупы и предметы. Компьютерная
же информация, как и любая информация вообще, сама по себе не
материальна. Материальным объектом (предметом) выступает лишь ее
носитель. Таким образом, законодательством она не предусматривается как
объект предъявления для опознания. Очевидно, это связано с тем, что
информация в «чистом виде» не обладает теми идентификационными
признаками, которые присущи ее носителю.
Однако, поскольку компьютерная информация все же имеет определенные
характеризующие ее идентификационные признаками, такие, как ее
содержание, вид, атрибуты, носители, имена и размер файлов, даты и время
их создания и т.п., то это, на наш взгляд, делает возможным ее
опознание, то есть отождествление. Кроме того, компьютерная информация
может обладать и частными индивидуальными особенностями. Так, текст,
набранный на компьютере, может иметь различный шрифт, кегль (высота
букв), интерлиньяж (расстояние между строк), величину абзацных отступов,
особый стиль выделения заголовков, размер полей, особенности нумерации
страниц, и т.п.; комплекс признаков конкретного программного продукта:
назначение, выполняемые функции, интерфейс, графическое и музыкальное
оформление, что делает его пригодным для опознания.
Криминалистические сложности связаны с отсутствием в отечественной
литературе методических рекомендаций предъявления для опознания
компьютерной информации. Очевидно, в связи с этим, при изучении
уголовных дел по ст. 272 УК РФ нам не встретилось ни одного случая
предъявления для опознания компьютерной информации. Сложилась практика,
когда в ситуациях, когда необходимо произвести опознание информации
(например, обнаруженной и изъятой из ЭВМ в ходе обыска у
подозреваемого), следователи производили допрос свидетеля
(потерпевшего), в ходе которого демонстрировалась (предъявлялась) данная
информация, и допрашиваемое лицо «узнавало» ее в ходе допроса.
Представляется, что такой подход не совсем верен, поскольку подобное
предъявление уже само по себе может предопределить ответ допрашиваемого
лица. На наш взгляд, в подобных случаях необходимо проведение
предъявления для опознания.
Перед началом предъявления для опознания опознающий, в соответствии с
процессуальным законодательством, должен быть допрошен об
обстоятельствах, при которых он видел данную информацию и по каким
признакам он сможет провести ее опознание. В процессе допроса необходимо
выяснить: а) объективные факторы наблюдения: знаком ли опознающий с
принципами работы ЭВМ; имеются ли у него соответствующие навыки работы
на ней; в каких условиях опознающий видел данную информацию, в связи с
чем это происходило; как долго происходило наблюдение; на каком
компьютере наблюдалась информация (тип процессора, объем оперативной
памяти и жесткого диска, применявшееся программное обеспечение и пр.) и
т.п.; б) субъективные факторы, влияющие на полноту и правильность
восприятия: состояние зрения (слуха) опознающего; свойства его памяти;
хорошо ли он запомнил наблюдаемую информацию; каково ее содержание;
каково наименование файла, примерный размер, тип, вид, дата создания,
атрибуты; в) наличие характерных индивидуальных особенностей; г) может
ли опознаваемый опознать данную информацию в числе однородной.
Довольно серьезную сложность может вызвать процесс предъявления для
опознания различного рода программных продуктов, баз данных, текстовых,
графических файлов и файлов данных. Закон требует, чтобы предъявление
для опознания проводилось в группе однородных предметов. В связи с этим,
при подготовке к предъявлению для опознания на основании признаков,
указанных опознающим при допросе, подбирается ряд визуально сходных
программных продуктов в количестве не менее трех. При заявлении
опознающего об опознании программного продукта, его выполнение
прекращается и ему предлагается сообщить, по каким именно признакам
произошло опознание.
При проведении опознания компьютерной информации не обязательно
использовать несколько ЭВМ. Так, в системе WINDOWS возможно параллельное
выполнение нескольких программ (просмотр нескольких текстовых или
графических файлов, содержимого баз данных) с одновременным выво-дом
результатов на экран. При этом выполнение каждой программы происходит в
отдельном окне, размер которого можно увеличить или уменьшить по желанию
опознающего. Так же программные продукты, базы данных, тексты и иные
файлы можно запускать на одной ЭВМ по очереди, подробно фиксируя
последовательность запуска в протоколе.
Как и в других следственных действиях, при предъявлении для опознания
компьютерной информации желательно участие специалиста и сведущих в
компьютерной технике понятых.
В практике могут встретиться случаи, когда опознающие обрабатываются
окружением преступников (характерно для преступлений, совершенных
организованными группами), подвергаются физическому, психологическому
воздействию, получают денежное или материальное вознаграждение, в
результате чего могут иметь место ложные опознания предъявленных
предметов или преднамеренно ложные заявления опознающего о том, что он
не опознает предъявленные ему объекты. Поэтому результаты такого
опознания подлежат обязательной проверке. Одним из способов проверки
является предъявление для опознания тех же предметов другим свидетелям.
В процессе расследования преступлений в сфере компьютерной информации
может возникнуть необходимость в опознании свидетелем или обвиняемым
того или иного жилища, помещения, либо участка местности.
При предъявлении для опознания последних необходимо соблюдать те же
процессуальные и тактические правила, что и при предъявлении для
опознания других объектов. Опознающий подробно допрашивается о всех
признаках того помещения, которое он будет опознавать: о планировке,
размере и форме помещения, числе, и расположении окон и дверей, об
особенностях пола и потолка, стен и отопительных приборов, о том, какая
мебель имеется в помещении, как она расположена, какие средства
компьютерной техники были, как они располагались и т.п. Затем
опознающему предоставляется возможность посетить несколько помещений и
среди них опознаваемое. При опознании участка местности применяются те
же тактические правила и приемы опознания.
В силу различных обстоятельств при расследовании преступлений в сфере
компьютерной информации опознающему не всегда могут быть предъявлены для
непосредственного опознания человек, средство компьютерной техники или
иной материальный объект в натуре. В этом случае опознание может быть
произведено по их фотоснимкам, а иногда и по видеозаписям. Опознающему
предъявляется либо фотография, на которой опознаваемый объект запечатлен
среди других сходных объектов (в числе не менее трех), либо фотоснимок
опознаваемого объекта вместе с фотографиями подобных объектов,
сделанными в одинаковых условиях съемки в одном масштабе. Опознание по
фотографическим снимкам проводится с соблюдением тех же процессуальных
правил и криминалистических рекомендаций, что и опознание в натуре.
Предъявление для опознания фотоснимков живых лиц производится в случаях,
если: опознаваемый и опознающий находятся в разных местах и доставка
одного из них в место нахождения другого невозможна или нецелесообразна
в связи с финансовыми затруднениями; когда непосредственное предъявление
для опознания опознаваемого нецелесообразно, исходя из интересов
расследования; опознаваемый погиб (умер) или не известно его
местонахождение, но имеются фотоснимки; опознающий опасается мести со
стороны преступников или их окружения и отказывается опознавать
преступника в натуре и др.
§ 8. Проверка и уточнение показаний на месте
При расследовании преступлений в сфере компьютерной информации одним из
эффективных способов исследования доказательств, содержащихся в
показаниях свидетелей, потерпевших, подозреваемых, обвиняемых, является
проверка и уточнение показаний на месте. На сегодняшний день, в
криминалистике имеется значительное количество определений понятия
проверки и уточнения показаний на месте, среди которых одним из наиболее
полных является определение как самостоятельного следственного действия,
состоящего в указании лицом, правдивость показаний которого проверяется,
конкретного места, связанного с событием преступления, рассказе о
совершенных на нем действиях, исследовании указанного места и
сопоставления сведений, сообщенных лицом ранее, с реальной обстановкой,
а иногда в демонстрации им отдельных действий. Данное следственное
действие предусмотрено ст. 194 УПК РФ.
Анализ имеющейся практики показывает, что следователи пренебрегают
возможностями проверки и уточнения показаний на месте. Вместе с тем,
представляется, что проверка и уточнение показаний на месте на
последующем этапе расследования неправомерного доступа к компьютерной
информации может и должна проводиться в случаях, когда:
обвиняемый не знает точного адреса помещения (дома, квартиры), из
которой осуществляется опосредованный доступ к компьютерной информации
(например, был там вместе с соучастниками непродолжительное время), но
может указать маршрут следования;
обвиняемые говорят о помещении, из которого осуществлялся
непосредственный доступ, но называют разное месторасположение помещения;
обвиняемый говорит о помещении, из которого осуществлялся
непосредственный доступ к компьютерной информации, но описание не
соответствует действительности (тому помещению, в котором проводился
осмотр места происшествия);
обвиняемый говорит об определенном расположении помещений, однако их
расположение на месте происшествия иное;
обвиняемый дает показания об определенном расположении, конфигурации и
составе компьютерной техники, однако их расположение на месте
происшествия иное.
Возможно проведение этого следственного действия и в иных ситуациях.
Перед проведением проверки и уточнения показаний на месте необходимо
провести комплекс подготовительных мероприятий, который включает:
Сбор и анализ информации, необходимой для целенаправленного проведения
следственного действия. При подготовке к проведению проверки и уточнению
показаний на месте необходимо проанализировать протоколы следственных
действий, ознакомиться с результатами проведенных оперативно-розыскных
мероприятий. Если ранее на допросах следователь не уточнил отдельных
обстоятельств, имеющих существенное значение для результативности и
объективности проверки на месте, то необходимо дополнительно допросить
лицо, чьи показания проверяются. Так же, необходимо установить, что
существенные условия обстановки, в которой происходит проверка и
уточнение показаний, не претерпели значительных изменений, которые
повлияют на ход и результаты следственного действия.
Изучение личности субъекта, чьи показания надлежит проверить.
Задача изучения личности перед проверкой и уточнением показаний на месте
значительно облегчена тем, что данное следственное действие, как
правило, проводится на последующем этапе расследования, когда личность
уже подвергалась изучению в процессе подготовки к проведению других
следственных действий. Вместе с тем, Н.Г.Шурухнов отмечает, что, давая
согласие на проверку показаний на месте, обвиняемый может
руководствоваться следующими отрицательными намерениями:
а) желанием затянуть следствие или ложными сведениями, сообщаемыми при
проверке показаний на месте, направить его по ложному пути;
б) желанием сориентироваться в обстановке и состоянии расследования;
в) намерением установить связь с соучастниками;
г) намерением подготовить нападение на участников следственного действия
(прежде всего, на работников правоохранительных органов) и совершить
побег из-под стражи;
д) намерением уничтожить следы преступления, а так же приспособления, не
обнаруженные следователем при осмотре места происшествия.
3. Предварительный выход следователя на место для ознакомления с
обстановкой и установление оптимальных условий производства
следственного действия возможен лишь в том случае, если заранее известно
место предстоящей проверки. В этом случае следователь имеет возможность
лично убедиться в существовании определенных объектов, их расположении,
а так же сопоставить показания проверяемого лица с действительной
обстановкой.
Если предполагается, что в ходе этого следственного действия лицо
покажет жилище либо иное помещение, из которого осуществлялся
опосредованный доступ к компьютерной информации и в которое необходимо
войти, то при подготовке нужно заранее известить об этом граждан, там
работающих или проживающих, и попросить их, чтобы к приходу следователя
в этих помещениях кто-либо находился.
4. Выбор отправного пункта и ориентиров проверки показаний на месте.
Если проверка и уточнение показаний на месте проводится с целью точного
установления адреса какого-либо помещения, то она обычно начинается от
какого-то отправного, опорного пункта, хорошо запомнившегося
проверяемому (например, остановка городского транспорта, памятник,
перекресток улиц или дорог, отдельно растущее дерево и т.п.), где, еще
не совершались преступные действия, но являющегося началом пути. В
дальнейшем проверка осуществляется по определенным ориентирам, указанным
проверяемым на допросе. Такие ориентиры уточняются в процессе
ознакомления следователя с местом проведения следственного действия.
При проведении самой проверки следователь может предложить лицу, чьи
показания проверяются, выполнить те или иные конкретные действия в
определенных местах. Например, продемонстрировать действия, показать,
каким образом преодолевалась техническая, физическая и интеллектуальная
(программная) защита компьютерной информации, осуществлялся
неправомерный доступ к ней и т.п.
5. Определение времени проведения проверки и уточнения показаний на
месте обусловлено необходимостью уменьшения опасности вмешательства
посторонних лиц, создания безопасных условий для участников
следственного действия.
В отдельных случаях, исходя из тактических соображений, проверку следует
проводить немедленно, после получения согласия обвиняемого (например,
продемонстрировать способ несанкционированного входа в компьютерную
сеть), так как в последующем он может отказаться от этого.
Приглашение понятых в количестве на менее двух. На наш взгляд, не
целесообразно приглашать в качестве понятых: лиц, не разбирающихся в
компьютерной технике, страдающих физическими недостатками (глухих,
слепых и т.п.); несовершеннолетних; работников правоохранительных
органов; граждан, не имеющих постоянного места жительства. Если проверка
проводится в нескольких местах или с несколькими проверяемыми, то
желательно приглашать разных понятых. В случае их последующего вызова в
суд для допроса в качестве свидетелей важнейшую роль будет играть
степень объективности восприятия и запоминания ими всех обстоятельств
наблюдавшихся действий.
Подбор и приглашение лиц, обеспечивающих процесс проведения
следственного действия находится в прямой зависимости от того, чьи
показания проверяются (свидетель, потерпевший, обвиняемый), его
намерений и т.д., однако, в любом случае, приглашается специалист в
области компьютерной техники. Так же желательно приглашать специалиста,
который обеспечил бы видеосъемку этого следственного действия. В
необходимых случаях для участия в проверке могут приглашаться педагог,
переводчик, защитник и др.
Подготовка научно-технических средств и средств компьютерной техники.
При проверке на месте используются разнообразные научно-технические и
иные средства. В одних случаях, это средства связи и освещения; в других
– фиксации хода и результатов следственного действия, в третьих –
компьютерная техника, которая использовалась при совершении преступления
или находилась на месте происшествия. Выбор используемой компьютерной
техники зависит от способа совершения преступления.
9. Подготовка транспортных средств. Транспортные средства при проверке
используются в случаях, когда необходимо: а) доставить участников к
месту проведения следственного действия; б) перевести участников
следственного действия от одного места проверки к другому, находящемуся
на значительном удалении; в) доставить к месту проведения следственного
действия научно-технические или вспомогательные средства, которые будут
использоваться в процессе проверки показаний на месте.
Обеспечению реальной безопасности участников проверки, как активных
(понятые; специалисты; лицо, чьи показания проверяются; переводчик), так
и вспомогательных (водитель; лица, производящие вспомогательные работы,
и др.), должно уделяться особое значение. Особенно это относится к
преступлениям, совершенным организованными преступными группами.
Инструктаж участников проверки включает разъяснение им их прав и
обязанностей, регламентированных нормами уголовно-процессуального
законодательства, и информирование о целях и задачах следственного
действия, организационной специфике, порядке его производства, а также
обстоятельствах, на которые необходимо обратить особое внимание. В
результате инструктажа каждый из участников должен знать не только общий
порядок проведения следственного действия, но и свою роль, чтобы
исключить негативные эксцессы.
При проведении проверки, ее результативность и объективность бедует
зависеть от соблюдаются следующих тактических положений:
оптимальное размещение (расположение) участников следственного действия;
предоставление инициативы в показе, передвижениях и т.п. лицу, чьи
показания проверяются;
осуществление проверки показаний на месте с каждым проверяемым порознь;
соблюдение последовательности действий при проведении проверки;
сочетание показа на месте с рассказом и демонстрацией действий;
детализация при сопоставлении показаний, действий проверяемого лица и
обстановки на месте;
наблюдение за поведением лица, чьи показания проверяются;
учет профессиональных навыков лица, показания которого проверяются;
проведение на месте необходимых поисковых действий с целью обнаружения
материальных следов преступления;
сравнение показаний проверяемого лица с обстановкой конкретного места и
ранее собранными по делу доказательствами.
Принимая решение о размещении (расположении) участников следственного
действия, следователь должен исходить из следующего:
размещение (расположение) участников следственного действия не должно
сковывать самостоятельность действий проверяемого;
размещение (расположение) участников должно быть таким, чтобы
исключалась возможность совершения обвиняемым побега, нападения его или
соучастников (близкого окружения, нанятых лиц) на участников
следственного действия;
размещение (расположение) участников следственного действия должно быть
таким, чтобы были условия для нормальной фиксации хода и результатов
следственного действия.
Лицу, чьи показания проверяются, предоставляется полная
самостоятельность и инициатива в показе объектов (предметов), а также в
демонстрации определенных действий. Следователь обязан создать все
условия для самостоятельности действий проверяемого в процессе
продвижения по маршруту. Если участники проверки следуют к месту пешком,
то проверяемый должен идти впереди всей группы, указывая направление
движения. При следовании на автомашине водитель обязан выполнять его
указания о направлении движения (в пределах правил дорожного движения).
В процессе всего следственного действия ни следователь, ни другие
участники не должны вмешиваться и корректировать показания проверяемого,
допускать словесных подсказок или подсказок в виде действия (поведения)
относительно маршрута следования, расположения объектов (предметов) и
т.п. В противном случае все перечисленное вызовет сомнения в
достоверности результатов следственного действия, ибо сама идея проверки
показаний на месте теряет смысл, а полученные результаты
-доказательственное значение.
Когда в совершении преступления обвиняется несколько лиц, чьи показания
требуют проверки на месте, то рассматриваемое следственное действие
должно осуществляться с каждым из них в отдельности. Это тактическое
положение должно распространяться и на те случаи, когда проверяемые
находятся в одинаковом процессуальном положении (два свидетеля, два
обвиняемых и т.п.).
Расшифровывая приведенное тактическое положение, следует еще раз
специально подчеркнуть, что бессмысленно проводить проверку одновременно
с несколькими ранее допрошенными лицами, если преследуется цель
установить наличие или отсутствие противоречий в их показаниях.
Результаты групповой проверки всегда вызывают сомнения, так как
показания одного из участников следственного действия могут играть
наводящую роль по отношению к показаниям остальных.
Требование о соблюдении последовательности действий при проверке будет
реализовано только в том случае, если управление следственным действием
осуществляется следователем. Все свои действия проверяемый должен
осуществлять последовательно, как это было при совершении преступления
(разумеется, кроме преступных и аморальных). За всем ходом проверки
должен следить следователь. Последний напоминает проверяемому, чтобы он
шел впереди всей группы и сопровождал рассказом все свои действия или
действия, которые он наблюдал, называя объекты, по которым он
ориентируется на местности, заранее указывал дальнейшее направление
движения, делал остановки для пояснения определенных действий, которые
имеют значение для расследования преступления.
При проверке на месте показ должен сочетаться с рассказом и
демонстрацией действий. Проверяемый, рассказывая и показывая, как он или
другие лица действовали на месте, должен обращать внимание следователя и
участников следственного действия на те или иные предметы обстановки, о
которых он говорил на допросе. Следователь может задать проверяемому
уточняющие вопросы, а также предложить продемонстрировать определенные
действия.
Следует специально отметить, что все организационные вопросы решает
только следователь; вопросы лицу, чьи показания проверяются, могут
задаваться только с разрешения следователя, предложения произвести
какие-либо действия также могут исходить только от следователя.
Сущность и значение сочетания рассказа с показом на месте и
демонстрацией действий состоят в том, что проверяемый имеет возможность
за счет вспоминания отдельных обстоятельств восполнить ранее данные
показания, а следователь и другие участники следственного действия имеют
возможность сами, непосредственно с помощью своих органов чувств,
убедиться в существовании и характере фактов, имеющих значение для
расследования.
При проверке показаний на месте целеустремленность достигается за счет
детализации показаний и действий проверяемого лица непосредственно на
месте совершения преступления либо там, где были оставлены следы.
В тех случаях, когда проверяемый дает объективные и развернутые
показания, следователь может предложить ему детализировать их и
конкретно осветить определенные обстоятельства, продемонстрировать
действия, имеющие непосредственное значение для достижения задач
следственного действия.
При необходимости, детализировать показания проверяемый может и по
инициативе других участников следственного действия, например, понятых.
Однако осуществляется это через следователя.
Наблюдение за поведением лица, чьи показания проверяются, является
необходимым тактическим положением данного следственного действия. В
ходе проверки и уточнения показаний на месте следователь либо, по его
поручению, оперативный уполномоченный осуществляет непрерывное
наблюдение за состоянием и поведением лица, чьи показания проверяются.
Такое наблюдение позволяет судить о том, уверенно или нет действовал
проверяемый; каково было его эмоциональное состояние как в целом, так и
в разные моменты проверки; с чем связывались изменения эмоционального
состояния.
Данные, полученные в результате наблюдения, играя ориентирующую роль,
могут помочь следователю в выяснении причин неудачи предпринятой
проверки, в оценке результатов данного действия, а также при
корректировке следственных версий.
Наблюдение за участвующим в проверке обвиняемым, находящимся под
стражей, позволяет своевременно принять меры по предупреждению попытки
совершения побега, установления связей с неизвестными следствию лицами,
уничтожения следов преступления, ранее не обнаруженных следователем.
В процессе подготовки, и особенно при проведении, проверки на месте
необходимо учитывать профессиональные навыки лица, показания которого
проверяются. Так, если следователь располагает информацией о том, что
профессиональный уровень обвиняемого высок, то при проведении проверки
его показаний на месте необходимо проявлять максимум внимания за его
действиями, поскольку возможное повреждение или удаление компьютерной
информации повлечет утрату доказательства. В этой ситуации каждая
манипуляция проверяемого с хранящейся в компьютере информацией должна
согласовываться с присутствующим при проведении следственного действия
специалистом в области компьютерной техники.
Нередко при проведении проверки возникает необходимость в проведении
поисковых мероприятий с целью обнаружения следов или предметов,
специально скрытых либо оставленных на месте происшествия во время
совершения преступления. Характер поисковых действий, разновидность
технических средств поиска зависят от характера и специфики объектов
поиска.
В отдельных случаях следственное действие предпринимается в целях
выяснения роли каждого из соучастников преступления, чему в значительной
степени способствует поиск микрообъектов. Его специфика и назначение
предполагают исследование показанных проверяемым мест и предметов, а
также тех объектов, которые были обнаружены при проведении поисковых
мероприятий. Указанные исследования проводятся, прежде всего, для того,
чтобы убедиться, действительно ли проверяемый знает указанное место, был
на нем, оставил следы, предметы, наблюдал с него действия других лиц и
т.п.
В ходе этого следственного действия может возникнуть необходимость в
осмотре места происшествия (первоначальном, повторном), которое указало
проверяемое лицо. Такой осмотр (если нельзя ограничиться его элементами
в ходе самой проверки) проводится по окончании проверки или позднее, как
самостоятельное следственное действие.
Специфика анализируемого следственного действия при расследовании
преступлений в сфере компьютерной информации такова, что оно позволяет
получить не только новые доказательства причастности лица к
расследуемому преступлению, но и установить новые эпизоды противоправной
деятельности.
Как уже отмечалось, сущность проверки и уточнения показаний на месте
такова, что дает возможность следователю не только побывать на месте
происшествия, но и выслушать проверяемого по поводу его действий здесь,
увидеть демонстрацию ранее совершенных действий, и все это сопоставить с
ранее данными показаниями, а также результатами проведенного
расследования. Такое сопоставление позволяет ему сделать вывод о
правдивости или ложности показаний, причастности конкретных лиц к
совершенному преступлению, определить их роль в совершении
неправомерного доступа к компьютерной информации. В результате
проведенной проверки на месте следователь может решить и ряд других
вопросов, в том числе выяснить причины и условия, способствовавшие
совершению преступления, своевременно принять эффективные меры по их
устранению.
Подводя итог сказанному, отметим, что обозначенные тактические приемы и
рекомендации носят общий характер и применительно к каждому конкретному
случаю могут варьироваться. Так же следует отметить, что разработка
тактических особенностей проведения отдельных следственных действий при
расследовании преступлений в сфере компьютерной информации требует
дальнейшего активного научного исследования.
ГЛАВА 5. Розыскная деятельность следователя по делам о преступлениях в
сфере компьютерной информации
§ 1. Объекты розыска по делам о преступлениях в сфере компьютерной
информации
Особенности расследования отдельных видов преступлений проявляются и в
розыскной деятельности следователя. Эта специфика обусловливается
многими факторами, одним из которых выступают объекты, подлежащие
розыску.
Возникновение разыскиваемого объекта в окружающей среде есть результат
действия закономерностей возникновения доказательственной информации.
Появление в ходе расследования преступления объекта розыска – это
результат тщательной работы следователя по собиранию, исследованию и
оценке криминалистически значимой информации.
Эта работа характеризуется рядом закономерностей, в частности:
свойством отображаемости в материальной среде и сознании людей признаков
разыскиваемых лиц и иных объектов, что позволяет индивидуализировать их;
свойством повторяемости поведения разыскиваемых обвиняемых и лиц,
укрывающих разыскиваемые объекты, что позволяет прогнозировать их
поступки;
зависимостью поведения разыскиваемых лиц от условий, в которых они
находятся;
обусловленностью выбора способов укрытия объектов преступным опытом
укрывающих, их профессиональными навыками и психологическими свойствами;
взаимосвязью способов укрытия разыскиваемых объектов и следов применения
этих способов;
зависимостью поведения разыскиваемого от характера совершенного
преступления, степени его общественной опасности, а также принадлежности
обвиняемого к определенной возрастной группе или преступной среде.
Помимо закономерностей возникновения розыскной информации, выделяют и
закономерности ее собирания, исследования и использования. К ним
относятся:
наличие принципиальной возможности обнаружения информации розыскного
характера и ее использования для достижения целей расследования по
уголовному делу;
собирание, исследование и использование информации розыскного характера
на основе криминалистических рекомендаций;
собирание, исследование и использование информации розыскного характера
путем применения технико-криминалистических средств и методов.
Объекты розыска находятся вне пределов досягаемости следователя и суда,
когда доказывание и процессуальная процедура требуют реального
(физического и психического) взаимодействия с ними.
Для каждого объекта розыска характерен свой набор индивидуализирующих
признаков. При этом объектами розыска могут выступать только те объекты,
которые известны следователю (установлены следователем). Например, когда
речь идет о таких установленных объектах розыска, как люди, то «имеем в
виду наличие в распоряжении субъекта розыска данных, позволяющих
индивидуализировать личность разыскиваемого и отождествить его при
обнаружении. Это комплекс демографических сведений, информация о его
внешних признаках и иных свойствах личности. Данные подобного рода могут
быть получены двояким путем: как проведением оперативно-розыскных
мероприятий, так и в результате следственных действий, направленных на
обнаружение «отпечатков» преступления, несущих информацию о причастных к
расследуемому событию людях. Разыскиваемый следователем человек – это
всегда конкретное, определенное лицо».
В то же время, объектами розыска могут быть и предметы, в отношении
которых известна лишь их групповая принадлежность, причем иногда объем
группы, к которой они относятся, может быть чрезвычайно велик. Термин
«установленный» в подобных случаях означает зафиксированную
принадлежность предмета к определенной группе. Отметим, что возможность
осуществления розыскной деятельности объекта, в отношении которого
известна лишь его групповая принадлежность, по делам о неправомерном
доступе к компьютерной информации нередкое явление (например,
компьютерная техника).
К числу основных объектов, подлежащих розыску, по делам о преступлениях
в сфере компьютерной информации следует относить: лиц, совершивших
преступления; орудия, используемые для совершения преступлений; саму
компьютерную информацию; специальную литературу (в том числе и
«самиздат»), посвященную вопросам совершения неправомерного доступа к
компьютерной информации, различным проблемам компьютерной безопасности и
т.п. (см. таблицу 3).
В числе розыскных признаков лиц, совершивших преступления в сфере
компьютерной информации, следует выделять:
1. Общие признаки (пол, возраст, национальность, приметы, место
жительства, характер, интересы, профессия, уровень образования,
преступный опыт, привычки, особенности взаимоотношений с людьми,
состояние здоровья (в том числе и психическое состояние), возможность
повторного совершения преступления и пр.).
2. Специальные признаки. К ним относятся:
обладание навыками в программировании и работе компьютерного
оборудования, иных технических средств, которые были использованы при
совершении преступления;
обладание определенным компьютерным оборудованием, программным
обеспечением;
данные, которые оставили о себе сами преступники (например, лица,
которые стремятся к «известности» среди компьютерной общественности,
могут указывать свое имя, прозвище, иногда электронный адрес, пол);
данные о месте, откуда совершался неправомерный доступ к компьютерной
информации;
данные о характере похищенной информации, возможности ее использования
(например, если похищены пароли доступа к платному сервису в сети
Интернет, то местонахождение преступника можно установить в момент
подсоединения).
Таблица 3
Способ преступления Преступление совершено путем непосредственного
доступа к компьютерной информации и (или) системе ЭВМ Преступление
совершено путем удаленного доступа к компьютерной информации, системе
ЭВМ или их сети Преступление связано с распространением вредоносных
программ для ЭВМ на технических (магнитных) носителях
Разыскиваемый объект
Лица, совершившие компьютерные преступления Лица, совершившие
неправомерный доступ к компьютерной информации либо системе ЭВМ Лица,
совершившие неправомерный доступ к компьютерной информации либо системе
ЭВМ (сети ЭВМ) Лица, занимающиеся распространением вредоносных программ
для ЭВМ на технических носителях
Лица, занимающиеся разработкой вредоносных программ
Компьютерное оборудование Технические носители, примененные для
копирования похищенной информации либо содержащие программы «взлома»
защиты компьютера, вредоносные программы, перенесенные на компьютер
потерпевшего Компьютерное оборудование, использованное при подготовке и
совершении преступления Технические носители информации, содержащие
вредоносные программы
ЭВМ и технические носители, на которых (на момент розыска) могут
находиться похищенная информация, иные программы и файлы, использованные
при совершении преступления ЭВМ и технические носители, на которых (на
момент розыска) могут находиться похищенная информация, иные программы и
файлы, использованные при совершении преступления Компьютерное
оборудование, на котором производилось размножение вредоносных программ
Компьютерная информация Похищенные программы и отдельные файлы
Похищенные программы и отдельные файлы Вредоносные программы (файлы)
Программное обеспечение, использованное для совершения преступления
Программное обеспечение, использованное для совершения преступления
Иные объекты розыска специальная литература специальная литература
специальная литература
свидетели потерпевшие от преступления, свидетели покупатели незаконной
продукции, иные свидетели
иные вещественные доказательства и документы иные вещественные
доказательства и документы иные вещественные доказательства и документы
В работах ученых-криминалистов орудия совершения преступления
определяются как предметы и вещества, используемые преступником для
достижения преступного результата. К орудиям совершения компьютерных
преступлений относится различное компьютерное оборудование.
Компьютерное оборудование весьма разнообразно. Можно выделить его
следующие виды, которые могут выступать объектами розыска:
а) средства компьютерной техники (системные блоки, мониторы, клавиатура,
мыши);
б) периферийное оборудование (сканеры, принтеры);
в) носители компьютерной информации (дискеты, лазерные диски, и т.п.);
г) компьютерное сетевое оборудование.
Как показывает следственная практика, использование того или иного
компьютерного оборудования выступает обязательным элементом совершения
рассматриваемого вида преступлений.
Одним из необходимых орудий совершения преступлений в сфере компьютерной
информации либо подготовки к нему выступает компьютер. Вид и
конфигурация компьютера, используемого для совершения преступления,
может быть различной.
В зависимости от характера преступного посягательства, способа его
совершения в качестве орудий преступления могут использовано различное
периферийное оборудование (принтеры, дисководы и пр.), сетевое
оборудование, а также носители компьютерной информации (дискеты,
лазерные диски).
Отметим, что компьютерное оборудование, использованное для совершения
преступления, может принадлежать как преступнику, так и третьим лицам
или даже самому потерпевшему. Так, в уже рассмотренном нами во второй
главе примере, к уголовной ответственности по ч.1 ст.272 УК РФ был
привлечен механик Переяславского районного узла связи, который, находясь
на работе, с компьютера, расположенного в служебном помещении,
скопировал на специально принесенную дискету готовящийся к изданию
телефонный справочник. В последующем уже со своего компьютера он
размножил экземпляры похищенного хранившегося в электронном виде текста.
В рассмотренном случае одним из орудий неправомерного доступа к
компьютерной информации выступил компьютер, принадлежащий владельцу
похищенной информации.
На сегодняшний день существует принципиальная возможность розыска
компьютерного оборудования, использованного при совершении преступления.
При этом в качестве розыскных признаков могут выступать:
конфигурация компьютера, использованного для совершения преступления;
мобильность использованного компьютерного оборудования (например, если
преступление совершено с использованием переносного компьютера
«Notebook»);
наличие определенного периферийного или сетевого оборудования;
установка на компьютере определенного программного обеспечения.
Конечно, эти признаки не всегда позволяют индивидуализировать компьютер,
однако, как уже отмечалось ранее, для того, чтобы осуществлять розыск
того или иного объекта, иногда достаточно знать лишь его групповую
принадлежность. Это в полной степени относится и к компьютерному
оборудованию.
Иногда к числу розыскных признаков компьютерного оборудования,
использованного для совершения преступления, можно относить характер
информации, явившейся объектом посягательства. Например, если совершено
посягательство на информацию в закрытой вычислительной системе, то можно
сделать вывод о том, что посягательство совершено с компьютера,
входящего в закрытую для внешних пользователей локальную сеть.
На современном этапе научно-технического прогресса, когда все сильнее
выделяется тенденция компьютеризации, создания разветвленных систем
обработки данных, как на мощных компьютерных комплексах, так и на
персональных компьютерах, закономерным будет вопрос: относить ли к
разыскиваемому объекту различную компьютерную информацию?
Представляется, что похищенная компьютерная информация, компьютерные
программы (в том числе и вредоносные) являются объектами розыска,
поскольку существует ряд признаков, позволяющих их индивидуализировать и
отождествлять.
В криминалистической литературе справедливо отмечается, что компьютерная
информация может носить криминалистически значимый характер и при
расследовании компьютерных преступлений, и при расследовании иных
посягательств, где ЭВМ выступает как объект (кража компьютера,
незаконное использование машинного времени и пр.).
Применительно к процессу доказывания компьютерная информация в
криминалистической литературе определяется как фактические данные,
обработанные компьютером и полученные на его выходе в форме, доступной
восприятию ЭВМ либо человека или передающиеся по телекоммуникационным
каналам, на основе которых в определенном законом порядке
устанавливаются обстоятельства, имеющие значение для правильного
разрешения дела.
В системе источников доказательств по отечественному
уголовно-процессуальному праву информацию, содержащуюся на электронных
(магнитных, технических) носителях, следует относить к иным документам.
Но, как справедливо отмечается в юридической литературе, в
правоприменительной практике следственные и судебные органы не спешат
прийти к этому выводу. В то же время на настоящий момент документ в
общем смысле этого слова определяется как материальный объект с
информацией, закрепленной созданным человеком способом для ее передачи
во времени и пространстве. В автоматизированных информационно-поисковых
системах – это любой объект, внесенный в память системы. Для определения
электронного документа традиционно используется название «файл», как
любой цельный массив информации, организованный в соответствии с
фиксированными правилами (разными для разных файлов) и не привязанный к
носителю.
Использовать компьютерную информацию как документ в процессе доказывания
можно в случаях, если она: как и любой документ, исходит от граждан,
учреждений, предприятий, организаций, должностных лиц и граждан;
содержит сведения об обстоятельствах, имеющих значение для дела;
отвечать требованиям допустимости.
В этой связи в уголовном деле обязательно должны содержаться данные о
том, каким образом компьютерная информация попала в уголовное дело. В
частности, она может быть приобщена к уголовному делу путем запросов,
принятия или изъятия ее во время следственных действий.
Программное обеспечение, использованное преступником при совершении
преступления, всегда должно выступать объектом розыска. Без
использования этих двух составляющих «компьютер – программное
обеспечение» совершить компьютерное преступление невозможно в принципе.
При розыске программного обеспечения, использованного при совершении
преступления, следует учитывать , что оно может быть:
стандартным, но использоваться не в соответствии с целевым назначением;
специально разработанным преступниками для совершения преступления
(например, программы-вирусы);
специально приобретенным преступниками (например, программы,
разрабатываемыми иными лицами, основным предназначением которых является
удовлетворение незаконных потребностей пользователей компьютеров).
Так, например, в одной из точек торговли компьютерными дисками в г.Туле
был задержан продавец данного магазина, который продавал всем желающим
программы, предназначенные для «взлома» системы компьютерной защиты ЭВМ,
включенных в сеть «Интернет», с последующим доступом к расположенной на
них информации, а также литературу, поясняющую механизм применения таких
программ. В отдельных случаях преступники даже оказывают услуги по
установке вредоносных программ для ЭВМ на интересующий «заказчика»
компьютер.
К числу розыскных признаков компьютерной информации, программного
обеспечения можно отнести: название каталога и отдельных файлов; дата и
время создания или перезаписи файлов; дата и время поступления файлов по
электронной почте; размеры файла; содержание файлов; характер алгоритма,
использованного для создания программы; характер зашифровки компьютерной
информации; особенности запуска и работы компьютерной программы.
С учетом этих признаков следователь может осуществлять розыск как
материальных носителей компьютерной информации, так и самой информации
на носителе (жестких дисках персональных компьютеров, CD-дисках или
Floppy дисках, сетевых серверах и т.д.).
Объектом розыска могут быть и программное обеспечение или иная
компьютерная информация, получившие широкое тиражирование (например,
операционные системы Windows). Даже широко растиражированную программу в
некоторых случаях можно индивидуализировать, например, когда в нее
внесено индивидуальное имя и пароль пользователя, указан ее
индивидуальный код. Кроме того, в ходе расследования преступлений в
сфере компьютерной информации может сложиться ситуация, когда необходимо
установить местонахождение и изъять все ее незаконно растиражированные
источники.
Самостоятельным объектом розыска по делам о преступлениях в сфере
компьютерной информации выступает специальная литература. В последние
годы появилось немало изданий по вопросам компьютерной безопасности. Эти
работы зачастую используются преступниками как практические пособия для
совершения преступлений. Литература может носить и «самиздатовский»
характер, представлять собой бумажные распечатки электронных версий и
даже собственные разработки преступника в этой области. Так, по делу о
хищении валютных средств из «Внешэкономбанка», при производстве обыска у
одного из обвиняемых были обнаружены и изъяты: работа на тему
«Компьютерные злоупотребления и способы их пресечения», а также
программа его производственной практики в ФРГ, в п.7 которой было
отражено – «Изучение состояния дел с защитой информации при обработке ее
на ЭВМ и подготовка соответствующих рекомендаций с учетом возможностей
программного обеспечения и принятых в банке технических и
технологических решений по реализации находящихся в эксплуатации задач».
Подводя итог сказанному, следует отметить, что в современных условиях
стремительного развития средств компьютерной техники и периферийного
оборудования орудия и средства совершения преступлений в сфере
компьютерной информации постоянно модернизируются и совершенствуются.
Это обстоятельство обусловливает необходимость постоянной модернизации
компьютерной техники, повышения уровня профессиональной и технической
грамотности сотрудников правоохранительных органов, осуществляющих
борьбу с компьютерными преступлениями.
§ 2. Тактико-организационные основы розыскной деятельности следователя
по делам о преступлениях в сфере компьютерной информации
Современная концепция розыскной деятельности следователя исходит из ее
понимания как комплекса процессуальных и непроцессуальных действий лица,
производящего расследование, направленных на установление известных
(следователю) объектов, имеющих значение для расследования по делу.
Розыскная работа выступает важным элементом поисковой деятельности
следователя, с которой она соотносится как частное с общим.
Розыскная деятельность следователя по своей сущности является
процессуальной. Она предусмотрена уголовно-процессуальным
законодательством и, в зависимости от реализуемых средств,
осуществляется:
а) по уголовному делу, по которому ведется предварительное следствие, но
не вынесено постановление о привлечении лица в качестве обвиняемого. В
этот период следователь реализует все средства, предусмотренные
уголовно-процессуальным законодательством, кроме поручения розыска
органу дознания. Последнее не исключает производства розыскных действий
по поручению следователя (ст. 119 УПК РСФСР);
б) по уголовному делу, по которому ведется предварительное следствие,
вынесено постановление о привлечении лица в качестве обвиняемого и
избрана мера пресечения. На этом этапе следователь реализует все
средства, предусмотренные уголовно-процессуальным законодательством, в
том числе правомочен, при неизвестности места нахождения обвиняемого,
поручить его розыск органу дознания (в соответствии со ст. 196 УПК
РСФСР);
в) по уголовному делу, по которому вынесено постановление о привлечении
лица в качестве обвиняемого, избрана мера пресечения, но предварительное
следствие приостановлено (п.1, 3 ст. 195 УПК РСФСР). При этом
следователь поручает розыск органу дознания (о таком поручении
указывается в постановлении о приостановлении предварительного следствия
или выносится специальное постановление), а сам осуществляет
процессуальные и организационные мероприятия по розыску скрывшегося
обвиняемого без производства следственных действий.
Особенности розыскной деятельности следователя проявляются применительно
к отдельным видам и категориям преступлений. Не исключением являются и
преступления в сфере компьютерной информации. В этой связи
представляется необходимым рассмотреть вопрос о содержании розыскной
деятельности следователя в целом и применительно к специфике
рассматриваемой категории преступлений.
Содержательную сторону розыска составляют его организация и
планирование, розыскные мероприятия следователя и розыскные возможности
следственных действий.
Думается, что при организации и планировании розыскной деятельности в
обязательном порядке должна учитываться сложившаяся на этот момент
времени обстановка расследования (следственная ситуация). Определяющее
значение при этом играют исходные ситуации расследования компьютерных
преступлений, выделяемые по характеру исходной информации о лице,
совершившем преступление, и иных объектах розыска.
Ситуация 1. Преступник задержан в момент совершения преступления. Эта
ситуация складывается в случаях, когда преступник задержан в момент
неправомерного доступа к компьютерной информации или в процессе
реализации технических носителей, содержащих вредоносные программы. В
такой ситуации предпосылки розыскной деятельности возникают не всегда, а
только в случаях, когда объектом розыска могут быть задержанные
соучастники преступления, технические или иные средства подготовки к
преступлению, технические носители, содержащие интересующее органы
следствия программное обеспечение.
Ситуация 2. Преступник не задержан, но имеется обширная информация о его
личности и местонахождении. Данная ситуация наиболее благоприятна для
осуществления розыскной деятельности.
Информация, позволяющая осуществлять эффективный розыск преступника,
разнообразна. Например, в отдельных случаях для установления
местонахождения лица, совершившего компьютерное преступление, достаточно
знать лишь номер телефона, с которого был осуществлен неправомерный
доступ. Именно таким образом в г. Екатеринбург был установлен и задержан
Ф., который, используя домашний персональный компьютер, через телефонную
сеть распространял вредоносные программы для ЭВМ. Определив номер
телефона, с которого распространялись вредоносные программы, сотрудники
милиции через Екатеринбургскую ГТС в кратчайшие сроки установили адрес и
фамилия проживающего по нему лица.
Ситуация 3. Сведения о лице, совершившем компьютерное преступление,
незначительны, но имеется информация о личности его соучастников. Такая
ситуация характерна для случаев, когда компьютерное преступление имело
целью получение информации или создание условий, необходимых для
совершения иного преступления, как правило мошенничества, в ходе
которого злоумышленники были задержаны. Так, например, по подозрению в
мошенничестве с акциями были задержаны С. и Т., которые по поддельным
паспортам на основании фальшивых выписок из реестра акционеров АО
«Саратовэнерго» продавали «свои акции» коммерческим предприятиям. В
процессе расследования было установлено, что поддельные выписки из
реестра акционеров изготавливал юрисконсульт АО «Саратовэнерго» П.,
который, пользуясь своим служебным положением, проникал в компьютер,
находящийся в юридическом отделе предприятия, и вносил изменения в
хранящийся на нем банк данных акционеров компании, путем внесения
изменений в фамилии, паспортные данные акционеров и количество
принадлежащих им акций.
Ситуация 4. Информация о личности преступника незначительна, однако
имеются сведения о возможных местах его появления. Такая ситуация
представляет собой случаи, когда установлено место, откуда преступником
периодически совершается удаленный доступ к компьютерной информации
(компьютерные центры, клубы, учебные классы, помещения коммерческих фирм
и т.д.). Данная ситуация обусловливает необходимость проведения сложного
комплекса мероприятий по сбору розыскной информации розыскного
характера, а также имеющих блокирующий и «сторожевой» характер.
Ситуация 5. Информация о лице, совершившем преступление, отсутствует.
Такая ситуация носит наиболее неблагоприятный для расследования характер
и предполагает проведения всего комплекса розыскных мероприятий по делу.
Сбор первоначальной информации о преступлении, лицах, его совершивших,
осуществляется в ходе проверочных действий, проводимых следователем в
стадии возбуждения уголовного дела (получение объяснений, истребование
необходимых материалов, осмотра места происшествия) а так же
оперативно-розыскных мероприятий, предшествовавших возбуждению
уголовного дела.
Когда первоначальная следственная ситуация проста, образование целей и
задач расследования не представляется трудным делом. Другое дело, если в
ходе расследования складывается информационная неопределенность. Она
вынуждает следователя осуществлять поиск цели, конструируя свои действия
на основе последовательно получаемой информации об интересующих
объектах. По мере раскрытия системы связей и отношений, в которых
находится исследуемый объект, следователь начинает замечать новые,
неизвестные признаки, а это, в свою очередь, приводит к выявлению и
осознанию новой проблемы, формулированию новой задачи. В этой связи
говорить о решениях следователя по делу, как о тактических, можно только
в том случае, когда они основаны на всестороннем анализе сложившейся
следственной ситуации по делу.
В ходе розыскной деятельности по делам о преступлениях в сфере
компьютерной информации принципиальное значение имеют тактические
решения: о начале розыска; об объектах розыска; о характере розыскных
приемов и их комбинаций, применяемых при установлении местонахождения
искомых объектов (средств и методов тактического воздействия на
ситуацию); о субъектах и сроках их производства.
Принятое решение может быть облечено в процессуальную форму или отражено
в плане расследования.
Организация розыска предполагает учет и расстановку наличных сил и
средств, определение форм и методов взаимодействия с оперативными
аппаратами органов внутренних дел, анализ исходной информации. Основу
организации расследования по любой категории дел составляет его
планирование, осуществляемое на основе криминалистических версий. В
основе планирования розыскной деятельности следователя лежат
соответственно розыскные версии. Как отмечено в криминалистической
литературе, розыскная версия играет роль фактора, детерминирующего
поведение субъекта розыска.
Розыскная версия, являющаяся разновидностью криминалистической версии,
по делам о преступлениях в сфере компьютерной информации представляет
собой обоснованное предположения лица, производящего расследование, о
местонахождении лица, совершившего компьютерное преступление, орудий
преступления (компьютерного оборудования), программного обеспечения,
использованного при совершении преступления, похищенной компьютерной
информации, а также иных разыскиваемых объектов, при условии, что
следователю известны индивидуализирующие объект (а в некоторых случаях
лишь определяющие его групповую принадлежность) признаки. При этом в
обоснование версии могут быть положены фактические данные, полученные
как процессуальным путем (в ходе следственных действий, результаты
экспертных исследований), так и в ходе оперативно-розыскных мероприятий.
Обоснованность версии является важным признаком логической
обоснованности розыска в целом. Логическая обоснованность розыска
заключается в логической непротиворечивости планируемых мер, логичности
плана розыска и вносимых в него по ходу изменений, обоснованности
розыскных версий, принимаемых в процессе розыска решений, в логическом
анализе действий противостоящей стороны.
Выдвинутые следователем предположения розыскного характера, а также
мероприятия, направленные на их проверку, получают отражение в плане.
Плановость – важнейшее организационное требование, предъявляемое к
розыску.
Направления и средства розыска могут получить отражение в общем плане
расследования, однако, учитывая специфику розыскной работы по делам о
преступлениях в сфере компьютерной информации, более целесообразным
представляется составление отдельного плана розыска.
Содержание плана розыска, также как и розыскных версий, зависит от
объектов розыска. Представляется, наиболее подходит под особенности
розыскной деятельности по делам о преступлениях в сфере компьютерной
информации следующая форма план розыскных мероприятий (см.таблицу 2).
Планирование розыскной работы предполагает согласованность между
элементами розыскной деятельности следователя и оперативно-розыскными
мерами органов внутренних дел. Для расследования преступлений в сфере
компьютерной информации это тем более важно, поскольку в рамках
Министерства внутренних дел России создано специальное управление по
борьбе с преступлениями в сфере высоких технологий и его подразделения
на местах.
Таблица 4
№
п/п Сведения о разыскиваемом объекте Розыскная версия Тактические
задачи, подлежащие решению Следственные, иные процессуальные,
организационные действия, тактические операции Исполнители Срок
исполнения Результаты
Согласованность розыскной деятельности следователя и
оперативно-розыскной деятельности данных подразделений может выражаться:
в единстве целей розыскных мероприятий, осуществляемых в процессе
розыска, дополнительном характере тех и других по отношению друг к
другу, комплексность их планирования и проведения;
в тесном взаимодействии и деловом непрерывном сотрудничестве между
субъектами розыскной деятельности в целом – следователем и оперативными
работниками.
В частности, такое взаимодействие может выражаться в обмене информацией,
полученной в ходе следственных действий или оперативно-розыскных
мероприятий, совместном выдвижении розыскных версий,
оперативно-розыскном (в том числе и оперативно-техническом) обеспечении
производства следственных действий и иных розыскных мероприятий, работе
оперативных подразделений по розыскному поручению следователя,
совместном производстве тактических операций.
В этой связи можно говорить об обязательном участии в расследовании
компьютерных преступлений в целом и розыскной работе по таким делам в
частности оперативных работников региональных управлений (отделов) «Р».
Получив от следователя постановление о производстве розыска, оперативный
работник осуществляет местный розыск преступника.
В случаях, когда требуется произвести розыскные мероприятия в других
регионах (например, если имел место удаленный доступ к компьютерной
информации, либо преступник скрывается где-то на территории страны)
следователь может привлекать к розыску подразделения по борьбе с
преступлениями в сфере высоких технологий и другие органы дознания иных
субъектов федерации.
Практика борьбы с компьютерными преступлениями показывает, что сегодня с
помощью манипуляций с компьютерным оборудованием, находящимся в одной
стране, можно получить необходимую информацию, хранящуюся в банке данных
компьютерной системы другой страны, и перевести ее в третью страну,
достигнув при этом поставленную корыстную или иную цель. Совершение
подобных преступлений на территории России и участие в них российских
граждан в последние годы не редкость. Первым опытом сотрудничества
отечественных и международных правоохранительных органов в раскрытии
компьютерного преступления и розыске лиц, его совершивших, выступило
уголовное дело, возбужденное в отношении группы Левина, совершавшей
хищения денежных средств в крупных размерах, принадлежащих «Ситибанку» в
Нью-Йорке. С июля по сентябрь 1994 года преступники похищали денежные
средства со счетов клиентов названного банка и переводили на счета лиц,
входящих в состав преступной группы, проживающих в шести странах: США,
Великобритании, Израиле, Швейцарии, ФРГ, России.
В случаях, когда среди членов преступных групп, совершивших компьютерные
преступления, есть граждане иностранных государств, либо если субъект
преступления, совершенного на территории России, находится за рубежом,
либо имеются достоверные данные о выезде разыскиваемых лиц за рубеж, при
розыске преступников необходимо обращаться за помощью к международным
правоохранительным организациям, в частности национальному центральному
бюро Интерпола в России. Согласно п. 12 раздела 2 Положения о
национальном центральном бюро Интерпола в России одной из основных
функций названного бюро выступает принятие, обработка и направление в
Генеральный секретариат Интерпола и национальные центральные бюро
Интерпола иностранных государств запросы, следственные поручения и
сообщения правоохранительных и иных государственных органов Российской
Федерации для осуществления розыска, ареста и выдачи лиц, совершивших
преступления, а также для осуществления розыска, ареста перемещенных за
границу доходов от преступной деятельности, похищенных предметов и
документов, проведения иных оперативно-розыскных мероприятий и
процессуальных действий по делам, находящихся в производстве этих
органов.
Согласно разделу 4 Инструкции о порядке исполнения и направления
органами внутренних дел Российской Федерации запросов и поручений по
линии Интерпола, используя систему международного розыска в рамках
Интерпола, подразделения органов внутренних дел России имеют
возможность:
получить информацию о месте пребывания в зарубежных странах и роде
занятий разыскиваемых лиц, подозреваемых в совершении преступлений, а
также обвиняемых и осужденных, уклоняющихся от уголовной ответственности
или отбывания наказания;
установить местонахождение лица, выехавшего за рубеж, и пропавшего без
вести;
идентифицировать разыскиваемое лицо;
установить контроль за деятельностью и передвижением лиц, скрывающихся
от правоохранительных органов за пределами России.
В процессе расследования преступлений в сфере компьютерной информации
общее руководство розыскной деятельностью осуществляет следователь. При
этом он должен обладать:
профессиональным розыскным опытом, желательно приобретенным в процессе
практической деятельности по рассматриваемой категории уголовных дел;
знанием оперативной обстановки в том районе, где совершено преступление:
состояния преступности в сфере высоких технологий в конкретный период;
способов совершения и сокрытия компьютерных преступлений, уклонению
преступников от следствия;
знанием психологии лиц, совершающих преступления в сфере компьютерной
информации;
знанием методики раскрытия и расследования компьютерных преступлений;
навыками и умениями работы с компьютерным оборудованием и программным
обеспечением, хотя бы на уровне профессионального пользователя;
знанием сленга (жаргона), используемого в среде лиц, увлекающихся
компьютерными технологиями, занимающихся их разработкой и
распространением.
Основными средствами розыскной деятельности следователя остаются
процессуальные действия. В числе процессуальных выделим следственные
действия, а также иные процессуальные действия, направленные не на сбор
доказательств по делу, а на объявление розыска, дачу поручений о розыске
органам дознания, привлечению к розыску общественности. В числе
розыскных следственных действий традиционно выделяются осмотр места
происшествия, обыск, выемка, задержание и проверка и уточнение показаний
на месте. Остальные следственные действия рассматриваются как
информационно-обеспечивающие розыскную деятельность. Однако специфика
преступлений в сфере компьютерной информации позволяет в некоторых
случаях говорить о розыскном характере таких следственных действий как
назначение компьютерно-технической экспертизы и следственный
эксперимент.
В числе розыскных задач по делу, решить которые можно путем назначения и
производства компьютерно-технической экспертизы, назовем:
установление факта тождества между разыскиваемыми и обнаруженными
элементами компьютерного оборудования;
установление факта нахождения искомой компьютерной информации на
представленных на экспертизу ее технических (машинных) носителях;
получение иной информации, необходимой для дальнейшего эффективного
розыска интересующих следователя объектов.
Задачи первой и второй групп обусловлены ситуацией, когда в ходе
следственных действий факт установления местонахождения именно
разыскиваемого компьютерного оборудования либо факт нахождения на
обнаруженных технических носителях именно искомой компьютерной
информации подтверждается лишь предположительно.
Для решения первой группы задач перед экспертом могут быть поставлены
следующие основные вопросы:
каковы основные технические характеристики и возможности представленного
на экспертизу компьютерного оборудования;
соответствует ли представленное на экспертизу компьютерное оборудование
его описанию;
не совершались ли в отношении компьютерного оборудования,
представленного на экспертизу, действия, направленные на сокрытие следов
преступления (какие);
какое из представленного на экспертизу компьютерного оборудования было
использовано (могло быть использовано) для создания представленных
файлов, документов.
Для решения второй группы розыскных задач целесообразна постановка
следующих вопросов:
имеется ли на жестком диске компьютера, иных технических носителях
компьютерная информация, соответствующая представленному образцу или
описанию?
не вносились ли в программы, файлы какие-либо изменения? Какое влияние
внесенные изменения оказывают на работу и характеристики программы
(файла)?
имеются ли на жестком диске компьютера, ином техническом носителе следы
уничтожения информации? Возможно ли восстановление стертых файлов? Какое
содержание восстановленных файлов?
имеются ли на жестком диске компьютера, ином техническом носителе
скрытые, закодированные или зашифрованные файлы? Какое их содержание?
какие из имеющихся на представленных на экспертизу технических носителях
программ использованы (могли быть использованы) для создания
представленных файлов, документов?
Третья группа задач обуславливает постановку перед экспертом вопросов,
ответы на которые, во-первых, создадут необходимую информационную базу
для эффективного розыска интересующих следствие объектов, и, во-вторых,
обусловят появление новых объектов розыска, о которых следователь не
знал ранее либо не обладал достаточной информацией об их признаках. К
числу таких вопросов, на наш взгляд, следует отнести:
не составлена ли представленная на экспертизу программа определенным
лицом?
каковы характеристики технических средств, программного обеспечения,
необходимых для изготовления (составления) представленных на экспертизу
документов?
какое время создания (изменения) интересующей компьютерной информации;
какие иные технические средства могли быть подключены к предоставленному
компьютерному оборудованию?
какие иные технические средства (кроме представленных) были необходимы
для совершения данного преступления?
каков уровень знаний лица, совершившего преступление, в области
компьютерной техники и технологий?
Розыскной аспект следственного эксперимента заключается в возможности
установления факта нахождения определенной информации на машинном
носителе, при условии, что нет необходимости назначения экспертизы. В
этой связи можно согласиться с позицией ряда ученых -криминалистов,
считающих, что в определенных случаях производство экспертизы можно
заменить другим следственным действием, в частности, следственным
осмотром или следственным экспериментом, поскольку не во всех случаях
нужны специальные познания, чтобы обосновать розыскную версию.
Представляется, что такая замена при определенных обстоятельствах
целесообразна, поскольку даст следователю значительный выигрыш во
времени.
Можно назвать следующие виды следственного эксперимента применительно к
делам о преступлениях в сфере компьютерной информации, несущие
определенную розыскную нагрузку:
1. По установлению соответствия функциональных признаков разыскиваемого
программного обеспечения и находящеюся на имеющихся технических
носителях. В ходе такого следственного эксперимента осуществляется
опытный запуск интересующей следствие программы. При этом изучаются и
оцениваются все ключевые стадии ее работы. Фиксируются все ключевые
этапы запуска и работы программы. Процедуру запуска программы
целесообразно повторить несколько раз, поскольку, как отмечается в
криминалистической литературе, «мы можем говорить о достоверности
результатов следственного эксперимента лишь тогда, когда все проделанные
опыты привели к одному и тому же результату, который является в данных
условиях необходимым , а не случайным и отражает внутренние глубокие
связи между экспериментально проверяемыми явлениями, относительное
постоянство формы этих связей, неизбежность проявления этих связей».
В последующем, оценивая полученные в результате эксперимента результаты,
следователь может сделать вывод о тождестве проверенной опытным путем
программы и разыскиваемого программного объекта, иными словами, достичь
цель розыска.
2. По проверке факта нахождения разыскиваемой компьютерной информации на
имеющихся технических носителях в архивированном (неинсталлированном)
состоянии. Обнаружение в ходе расследования подобных программных
объектов не редкость. Однако далеко не всегда можно сразу определить
содержание архивного файла либо неинсталлированной программы.
Производство следственного эксперимента в этой ситуации представляет
собой разархивирование или инсталляцию программного объекта с помощью
имеющихся программных средств. Полученные файлы просматриваются, в
необходимых случаях – распечатываются, после чего изымаются.
В последующем может быть произведен следственный эксперимент по проверке
функциональных признаков разархивированных или инсталлированных
программ.
3. По установлению факта нахождения искомой компьютерной информации в
глобальных компьютерных сетях (на сайтах). Ознакомиться с информацией,
хранящейся в глобальной сети «Интернет», возможно лишь путем доступа к
ней с использованием необходимой компьютерной техники и программного
обеспечения. Такой доступ осуществляется в процессе следственного
эксперимента. Информация, находящаяся на интересующем следствие
компьютерном сайте просматривается и при необходимости копируется.
Во всех случаях проведения таких следственных экспериментов обязательно
участие специалистов в области компьютерного оборудования и компьютерных
технологий.
Помимо процессуальных действий в системе розыскной деятельности
следователя выделяются и непроцессуальные мероприятия. К их числу
относят действия, имеющие конечной целью установление местонахождения
известного объекта, незакрепленные в процессуальном законе и не
направленные на получение доказательств по делу. Круг таких мероприятий
различается в зависимости от специфики расследуемых преступлений. В
системе розыскной деятельности следователя по делам о преступлениях в
сфере компьютерной информации можно назвать следующие непроцессуальные
мероприятия:
составление и рассылка розыскных ориентировок;
проверка по криминалистическим и иным учетам;
использование в целях розыска средств массовой информации;
технико-криминалистических и компьютерных средств и технологий для
обнаружения искомого объекта;
блокирующие мероприятия, засады;
запросы в учреждения и организации с целью проверки отдельных
обстоятельств дела, связанных с установлением преступника;
проверки в местах изготовления, и реализации компьютерной техники,
программного обеспечения.
В процессе розыскной деятельности следователем могут быть спланированы и
реализованы различные тактические комбинации (операции). Назовем ряд
розыскных задач, для решения которых могут быть разработаны тактические
комбинации (операции):
задержание лица, совершившего компьютерное преступление;
создание условий, побуждающих разыскиваемого действовать в
затруднительной для него ситуации;
склонение разыскиваемого к явке с повинной;
установление местонахождения преступника в момент совершения нового
компьютерного преступления;
установление местонахождения разыскиваемой компьютерной техники и
компьютерной информации и др.
Круг действий, составляющих те или иные тактические комбинации, может
быть различен и зависит, прежде всего, от сложившийся следственной
ситуации по делу. Особое внимание следует уделять разработке тактических
комбинаций (операций), направленных на установление и розыск лиц,
совершивших компьютерные преступления.
§ 3. Установление и розыск лиц, совершивших преступления в сфере
компьютерной информации
Обнаружение лица (лиц), совершившего преступление в сфере компьютерной
информации, – важнейшая задача следователя с начала расследования по
делу. В одних случаях эти лица становятся известными сразу: при
задержании, наличии очевидцев преступления, знающих преступника, иногда
при явке с повинной. В других – лицо, совершившее преступление,
неизвестно или информация о нем незначительна. В таких случаях требуется
напряженная кропотливая работа по его установлению и розыску, связанная
с использованием всех имеющихся в арсенале расследования средств и
методов. В этой связи можно говорить о разнообразии тактических приемов
установления и розыска лица, совершившего компьютерное преступление.
Информация ориентирующего и розыскного характера о лице, совершившем
компьютерное преступление, может быть получена при изучении предметов и
материальных следов, обнаруженных при осмотре места происшествия, обыске
или выемке в местах возможного пребывания преступника, а также в ходе
экспертиз, проводимых по делу. Так, могут быть обнаружены следы рук,
обуви, иные вещественные доказательства, включая орудия преступления,
окурки, волосы, предметы одежды, личные документы и пр. Не следует
забывать о возможностях использования в процессе розыска запаховых
следов преступника, а также различных микрообъектов (волокна текстиля,
частицы почвы и др.).
При обнаружении таких следов и предметов основной задачей следователя
является установление их принадлежности к раскрываемому преступлению и
возможностей использования в доказывании и розыске. Например, если при
осмотре места происшествия изъяты пригодные для идентификации следы
пальцев рук, но отсутствуют конкретные подозреваемые, необходимо
произвести их проверку по дактилоскопической картотеке следов пальцев,
изъятых с мест преступлений, которые остались нераскрытыми, а также по
дактилоскопическим картотекам лиц, взятых органами внутренних дел на
различные учеты. Существует возможность проверки обнаруженных следов по
криминалистическим учетам следов орудий взлома, подошв обуви,
микрообъектов и пр.
Как справедливо отмечается в криминалистической литературе, при оценке
того или иного признака разыскиваемого лица следователь должен быть
объективен и критичен. Возможно умышленное оставление преступником на
месте происшествия предметов, которые указывают на другое лицо, якобы
совершившее исследуемое деяние. Нередко следы и предметы, содержащие
важную для расследования информацию, оказываются случайно оставленными
человеком, не имеющим к преступлению никакого отношения1. Материалы
ориентирующего и розыскного характера о лице, совершившем преступление в
сфере компьютерной информации, могут быть получены из показаний
потерпевших и свидетелей по делу. В частности, у них необходимо
выяснить:
известна ли им личность преступника, какие имеются предположения на этот
счет, чем они обосновываются?
где в настоящее время может находиться лицо, подозреваемое ими в
совершении преступления?
кто еще мог видеть момент совершения преступления либо обладает
какой-либо иной информацией о лице, совершившем преступление;
какие приметы преступника?
каким образом преступник скрылся с места происшествия (если на
автотранспорте – государственный номер и иные приметы автомобиля)?
кому принадлежат вещи, обнаруженные на месте происшествия?
Приведенный перечень вопросов далеко не исчерпывающий. Он может
изменяться и дополняться в зависимости от обстоятельств конкретного
преступления, различных ситуаций, сложившихся на определенный момент в
работе по его раскрытию и расследованию. В частности, желательно узнать
мнение потерпевшего, свидетелей о способе совершения преступления,
обстоятельствах ему предшествовавших. В качестве свидетелей
целесообразно также допрашивать лиц, соприкасавшихся с преступником в
период подготовки к преступлению, либо получавших, приобретавших у него
похищенную компьютерную информацию и программное обеспечение.
Вместе с тем, работая с потерпевшим и свидетелями в ходе расследования
компьютерного преступления, следует не упускать из виду, что некоторые
из них по различным мотивам (например, боязнь разглашения
конфиденциальных сведений об их личной жизни, стремление скрыть свою
вину в происшедшем) могут не сообщать о каких-либо известных им
сведениях о личности преступника. Поэтому данные ими показания должны
оцениваться в совокупности с другими имеющимися фактическими данными о
расследуемом событии.
Со слов лиц, видевших преступника, и в соответствии с их указаниями
составляются композиционные портреты. Они изготавливаются из фотоснимков
различных лиц, отдельные признаки которых в большей или меньшей степени
совпадают с одноименными признаками разыскиваемого. В этих целях
используются идентификационные комплекты рисунков (ИКР-2, ИКР-3, прибор
ПКП-2), компьютерные программы «Фоторобот», «Барс». В необходимых
случаях для составления портрета преступника можно прибегнуть к помощи
профессионального художника. К сожалению, перечисленные методы
практически не помогают в установлении и розыске лица, совершившего
компьютерное преступление способом удаленного доступа, в силу его
специфики. В этих случаях особое внимание следует уделять выявлению
необходимых данных о преступнике путем изучения обнаруженной
компьютерной информации, следов и изменений в электронном информационном
поле, попавшим в сферу расследования. Отметим, что эта сфера борьбы с
компьютерными преступлениями пока не получила должной проработки в
криминалистической науке.
На наш взгляд, можно выделить следующие направления установления
личности компьютерного преступника и его розыска на основе сведений,
полученных из электронного информационного поля.
1. Некоторые группы лиц, осуществляющих незаконное проникновение в чужие
ЭВМ или компьютерные сети путем удаленного доступа (например, «вандалы»
и «шутники»), разрабатывающих вредоносные программы, могут оставлять «на
память» какую-либо информацию о себе. Кроме того, аналогичную информацию
они могут распространять в сети Интернет, среди своих друзей, иных лиц,
увлекающихся компьютерами. Такие действия объясняются особой
субкультурой компьютерных правонарушителей, в частности их стремлением к
хвастовству и экстравагантному образу жизни.
Преступники оставляют в электронном поле следующую информацию о себе:
пол; имена, фамилии; клички; электронный адрес; иные сведения,
позволяющие установить их личность и местонахождение (например, название
своего города, номер телефона, адрес, фотоснимки и пр.). Анализ
оставленной информации также позволяет сделать вывод о возрасте,
интересах, круге общения, месте проведения свободного времени
преступника.
Показателен пример установления личности и задержания компьютерного
преступника Владислава М. Окончив Чувашский государственный университет
(кафедра компьютерного программирования), М. использовал полученные
знания для разработки компьютерного вируса – «трояна». Этот вирус помимо
дестабилизации нормальной работы операционной системы «Windows»,
устанавливал имя и пароль доступа в сеть Интернет пользователя и
отправлял их на заранее заданный электронный почтовый ящик в
закодированном виде. В последующем М. декодировал пароль с помощью
специально разработанной программы «recode.exe». Поначалу, желая
«прославиться» среди компьютерной общественности, М. широко
разрекламировал свой вирус. Свои электронные сообщения он подписывал
«VladBEST» («Влад самый лучший»). Впервые применив вирус в сети
Интернет, он использовал Интернет-класс МГУ Получив с помощью вируса
пароли доступа в сеть «Интернет» некоторых клиентов филиала ОАО
«Связьинформ» Чебоксарской телеграфно-телефонной станции, М. даже
зарегистрировал на сервере “CHAT.RU” в г. Москве свою электронную
страничку и почтовый ящик, которые назвал именем «wladic». На эту
страничку он поместил описание своей программы-вируса. В последующем, М.
стал активно использовать программу-вирус для «кражи» паролей доступа у
законных пользователей и последующего несанкционированного доступа в
сеть «Интернет». Его действия по применению вируса были замечены. В
процессе расследования информация, содержащаяся в компьютерной сети,
была обнаружена и сыграла ключевую роль в установлении преступника.
2. Целесообразно с помощью специалиста-программиста изучать имеющиеся в
большинстве компьютерных систем файлы регистрации. Какое бы событие ни
произошло в системе, информация о нем (кто инициировал, когда и в какое
время оно произошло, какие при этом были затронуты файлы) регистрируется
в данных файлах. В частности, в таких файлах может отражаться информация
о паролях пользователей, их именах, идентификационных номерах.
Впоследствии такая информация используется для выявления компьютера, с
которого осуществлен неправомерный доступ, и установления личности
преступника.
У провайдера можно также установить время выхода на связь определенного
пользователя, продолжительность его работы и другую информацию из
имеющегося на его компьютере log-файла. В ряде случаев через провайдера
можно определить и номер телефона, с которого был произведен звонок.
Если имеется предположение, что неправомерный доступ осуществлен с
одного из компьютеров, включенных в локальную сеть, конкретное рабочее
место можно установить через log-файл сервера локальной сети.
В случае если выход в сеть Интернет осуществлялся с домашней ЭВМ,
необходимо заблаговременно установить: кто имеет доступ к данному
компьютеру; кто мог работать на компьютере в интересующий отрезок
времени; имеется ли возможность подключения «двойников» к конкретной
компьютерной сети.
Однако, следует помнить, что профессиональные компьютерные преступники
могут уничтожить или изменить информацию, содержащуюся в файлах
регистрации. Так, например, С., используя имеющийся у него дома
компьютер, связался через модем с компьютером, расположенным в институте
физики полупроводников РАН, зарегистрированным пользователем которого
являлся. В дальнейшем, через сеть Интернет он вышел на компьютер
администратора сети Института экономики и организации промышленного
производства РАН. Получив доступ к компьютеру администратора сети путем
подбора пароля, С. проник в закрытую компьютерную сеть института и внес
изменения в несколько системных файлов, с целью последующего доступа к
другим компьютерам сети института. Данная программа копировала
информацию и пересылала ее по каналам электронной почты на электронный
адрес, открытый С. на сайте, расположенном в Германии. В целях сокрытия
следов неправомерного доступа в компьютерную сеть института экономики С.
изменил файл регистрации на сервере института, уничтожив информацию о
посещениях сети за несколько дней.
Кроме того, современные возможности и в то же время недостатки
глобальных компьютерных сетей позволяют преступнику маскировать исходную
точку доступа. Если имеют место подобные действия можно с уверенностью
говорить о высочайшем профессионализме компьютерного преступника.
Информацию о личности преступника и его местонахождении можно получить,
произведя комплексный анализ сведений о способе совершения преступления,
противодействии расследованию, месте и времени посягательства, мотивах и
целях деяния. Так, например, выявление двух признаков: знание паролей
различных операций, выполняемых тем или иным компьютером в организации,
и наличие доступа к нему или сети ЭВМ значительно сужают круг
подозреваемых.
Целесообразно также изучать способы совершения различных компьютерных
преступлений в регионе. Способы совершения преступления повторяются у
одних и тех же лиц, неоднократно совершавших аналогичные преступления.
Обобщенная информация, полученная на основе анализа аналогичных способов
совершения преступлений, может дополнить составляемую следователем
розыскную модель личности преступника.
Розыскная модель личности преступника представляет собой систему
признаков, на основе которых можно установить преступника и его
местонахождение.
Приведем следующий пример построения и использования следователем такой
модели. При расследовании неоднократного неправомерного доступа к
компьютерной информации, находящейся на ЭВМ менеджера, расположенной в
торговом зале коммерческой организации, было установлено, что данные
преступления были совершены путем непосредственного проникновения в
компьютерную систему (во время отсутствия в помещении персонала фирмы)
кем-то из посторонних лиц с целью копирования файла (intemetlogin.xls),
содержащего информацию о регистрационном имени пользователя сети
Интернет, необходимую для бесплатного доступа в эту сеть. Это позволило
сделать вывод о том, что преступления совершались одним и тем же лицом,
обладающим познаниями в области компьютерных технологий и часто
посещавшим торговый зал фирмы. В ходе проверки сотрудников коммерческой
организации был установлен молодой человек, совершивший эти
преступления.
Анализ способа совершения преступления (нескольких преступлений), иной
информации о преступнике в некоторых случаях позволяет предположить, где
может появиться или находится преступник. В этой ситуации необходимо
проведести специальный комплекс мероприятий, направленных на создание
условий, побуждающих разыскиваемого действовать в затруднительной для
себя обстановке, мешающих ему свободно передвигаться. В частности,
целесообразно производить систематические обыски в местах вероятного
нахождения разыскиваемого, мероприятия по информированию общественности
о его личности, организовывать засады в местах возможного появления
преступника, давать поручения органам дознания о проведении
оперативно-розыскных мероприятий в среде лиц, увлекающихся компьютерными
технологиями и программированием, занимающихся изготовлением и торговлей
компьютерным оборудованием и программным обеспечением.
В процессе розыскной работы по делам о преступлениях в сфере
компьютерной информации можно попытаться склонить разыскиваемого к
добровольной явке в правоохранительные органы. С этой целью необходимо
путем проведения следственных и оперативно-розыскных мероприятий
установить круг лиц, которые могут общаться с разыскиваемым и пользуются
у него авторитетом, провести допросы или побеседовать с этими лицами,
разъяснить им все положительные моменты добровольной явки разыскиваемого
в правоохранительные органы. В некоторых случаях такие действия
следователя достаточно эффективны. Например, в ранее упоминавшемся деле
С. преступника удалось склонить к добровольной явке с повинной. Более
того, он принял самое активное участие в устранении последствий своего
преступления.
Местонахождение разыскиваемого лица может быть установлено в момент
совершения им нового компьютерного преступления. Для достижения этой
цели необходимо провести комплекс следственных, оперативно-розыскных и
технических мероприятий по установлению возможного объекта нового
преступного посягательства со стороны разыскиваемого лица: установить за
этим объектом технический контроль, позволяющий определить
местонахождение преступника (в случае совершения преступления путем
удаленного доступа к компьютерной информации), либо организовать
визуальное наблюдение (если предполагается непосредственный доступ к
компьютерной информации либо использование похищенной информации в
преступных целях). На возможный объект преступного посягательства
указывают:
характер похищенной компьютерной информации (например, сведения о пароле
и регистрационном имени, необходимые для доступа в сеть Интернет,
какую-либо компьютерную систему, о кодах кредитных карточек потерпевшего
и пр.);
направленность подготовительных действий преступника (сбор информации о
конкретном лице, организации; приобретение необходимого для реализации
определенного преступного замысла компьютерного оборудования,
программного обеспечения; подбор сообщников и пр.);
неоднократные попытки преступника получить несанкционированный доступ к
определенной информации;
традиционно интересующая разыскиваемого преступника информация. В этой
связи интересен опыт зарубежных правоохранительных органов,
применяемых для установления местонахождения разыскиваемого преступника,
способ, называемый «приманка», который заключается в заманивании его к
определенному объекту и удерживании на связи в течении времени,
достаточного для установления его местонахождения. В качестве приманки
используются файлы с информацией, которая может заинтересовать
преступника. При этом рекомендуется воспользоваться специальными
файлами, появление которых у того или иного лица в позволит установить,
что именно он осуществлял незаконный доступ к компьютерной информации.
Для установления и задержания лиц, занимающихся распространением
технических носителей, содержащих вредоносные программы, на практике
часто проводится специальный комплекс оперативно-розыскных мероприятий,
среди которых в качестве ключевого действия выступает проверочная
закупка. После установления местонахождения преступника проводятся его
задержание (в благоприятном случае – с поличным), обыск.
В некоторых случаях сведения о местонахождении разыскиваемого лица можно
получить в ходе мероприятий по контролю за каналами связи, по которым
преступник общается со своими близкими, друзьями. Для достижения этой
цели целесообразны: контроль и запись телефонных и иных переговоров,
выемка почтово-телеграфной корреспонденции, установление
оперативно-технического контроля за электронными средствами связи,
которыми может воспользоваться разыскиваемый.
Ряд преступлений в сфере компьютерной информации, связанные с хищением
денежных средств, разработкой и распространением вредоносных программ,
коммерческим шпионажем, совершается преступными группами. В связи с этим
перед следователем стоит задача установления и розыска всех соучастников
преступления. Сведения об их личности и местонахожде-нии могут быть
получены от уже установленных лиц. Однако, если они отказываются
сотрудничать со следователем, а иная информация незначительна, задача по
выявлению и розыску всех соучастников преступления значительно
усложняется. В таких случаях возникает необходимость в разработке
специальных комплексов следственных действий, оперативно-розыскных и
организационных мероприятий.
Так, в ходе расследования компьютерных преступлений целесообразно
изучить и проверить круг знакомств обвиняемого. К основным источникам
информации, на основании которых можно определить весь круг знакомств и
связей обвиняемого, относятся: супруги, родственники, иные близкие люди;
соседи, сослуживцы по работе; документы личного и делового характера
(например, записные книжки, письма, расписки, доверенности); фотографии,
кино- и видеоматериалы; иные предметы и документы, которые могут указать
на связи и контакты лица, обвиняемого в совершении преступления
(открытки; телефонные счета за междугородние переговоры и др.).
Источники информации о знакомых обвиняемого, которые предположительно
явились соучастниками преступления, могут быть обнаружены при личном
обыске, а также обыске по месту жительства или работы обвиняемого. Это
записные книжки (в том числе электронные), письма, телеграммы, счета,
фотографии, материалы видеозаписи и т.д. Учитывая особенности
рассматриваемого вида преступлений, интересующая следствие информация
может храниться также в памяти персонального компьютера, на машинных
носителях информации.
Установленные преступники, их родственники и знакомых допрашиваются в
целях: определения происхождения тех или иных документов; личности
людей, изображенных на фотографиях и видеозаписи, их места жительства,
работы, номеров телефонов, иных координат; получения пояснений
относительно сделанных в определенный период времени телефонных звонков,
полученных телеграмм, записей и пр.
Показания допрошенных необходимо сопоставить. Если выяснится, что
преступник скрыл свои отношения с кем-либо или попытался направить
следствие по ложному пути, такие лица подлежат особенно тщательной
проверке.
В качестве примера умелой работы по розыску лиц, совершивших
компьютерные преступления, приведем осуществлявшееся международными
правоохранительными органами расследование по делу Левина. Российский
программист Левин, находясь в Санкт-Петербурге, похитил из американского
«Ситибанка» (Нью-Йорк) денежные средства в размере свыше 10 млн.
долларов. Ему удалось подделать пароли клиентов банка с целью выдать
себя за владельца того или иного счета. При этом использовались счета
клиентов со всего света. Преступление было совершено им не в одиночку:
действовала целая преступная группа, включавшая в себя как
профессионального «взломщика», так и лиц, непосредственно получавших
наличную валюту из филиалов «Ситибанка» или других банков после
поступления в них переводов. Похищение было хорошо организовано и
спланировано. Сначала переводы делались небольшими суммами (с целью
проверки качества работы), а затем суммы каждого перевода возросли до
одного миллиона.
Вторжение в систему управления денежными операциями впервые было
замечено в июне 1994 г. (российские правоохранительные органы
подключились к делу в 1995 г.). За компьютерной системой банка
установили круглосуточное техническое наблюдение. Большую помощь оказали
телефонные компании для определения местонахождения «взломщика». Важное
значение в расследовании этого транснационального преступления имело
взаимодействие правоохранительных органов разных стран, разработка
согласившихся на сотрудничество свидетелей, анализ документов со счетов
получателей и телеграфных переводов. Так, был определен номер телефона,
с которого осуществлялся незаконный доступ, и его местонахождение.
Впоследствии при получении крупной суммы наличными в одном из банков
Финляндии был установлен один из членов преступной группы. При получении
денег он был вынужден, согласно правилам банков, оставить свои
координаты. В качестве места своего проживания он указал
Санкт-Петербург, а в графе «телефон» – тот же номер, откуда
производилось проникновение. Почти все участники преступления были
задержаны (часть из них – в России). Сам Левин был арестован в Лондоне,
а затем, как и другие соучастники преступления, выдан властям США.
ГЛАВА 6. Международное сотрудничество в борьбе с преступлениями в сфере
компьютерной информации
Развитие компьютерных технологий коренным образом трансформировало
механизм совершения ряда преступлений. Поскольку коммуникационные сети,
охватившие практически все страны, являются открытой средой, это
предоставляет действительно уникальные возможности пользователям
совершать определенные действия (в том числе и преступные) за пределами
того государства, в котором они находятся.
Однако национальные границы, будучи совершенно прозрачными для
совершения противоправных действий в сфере компьютерной информации,
ограничивают деятельность правоохранительных органов только той
территорией, на которую распространяется их юрисдикция. Реализация
деятельности по расследованию преступлений за пределами национальных
границ допускается только в мере, предусмотренной соответствующими
международно-правовыми актами.
Как указывает А.Г.Волеводз, «в ныне существующем виде механизмы
международного сотрудничества не способствуют полному и быстрому
получению из иностранного государства доказательств в форме компьютерных
данных». По мнению данного автора, причины тому следующие:
Во-первых, традиционные формы сотрудничества государств в области
правовой помощи по уголовным делам предусматривают направление
письменных ходатайств (просьб) об оказании правовой помощи. Это требует
определенного времени для их пересылки, исполнения и получения
письменных материалов, что для расследования преступлений, совершаемых с
использованием компьютерных технологий, предопределяет утрату
доказательственной информации.
Во-вторых, даже быстро предпринимаемые в рамках взаимной правовой помощи
меры в лучшем случае позволяют обнаружить, закрепить и изъять лишь
информационные следы, находящиеся на серверах, расположенных на
территории определенного государства (например, страны местонахождения
потерпевшего или страны пребывания лица, совершившего компьютерной
преступление). Когда же компьютерное сообщение по телекоммуникационным
каналам проходит через третью (четвертую, пятую) страну, оказание
правовой помощи может длиться бесконечно долго. И чем больше стран,
через которые посылается сообщение, тем выше вероятность того, что
правоохранительным органам не удастся с использованием традиционных форм
взаимной правовой помощи организовать отслеживание пути сообщения до
конца цепочки соединения во время совершения преступления.
В третьих, в рамках большинства действующих ныне международных договоров
по вопросам взаимной правовой помощи в уголовном процессе возможность ее
оказания в формах, ограничивающих права граждан, предопределяется
принципом «двойного определения состава преступления», в соответствии с
которым государство не может сотрудничать с другим в расследовании и
судебном преследовании деяний, не криминализованных в запрашиваемом
государстве. Как справедливо отмечают Е.И.Панфилова и А.Н.Попов, разница
в определениях различных составов преступлений в различных странах
весьма существенна. Это позволяет лицам, совершающим преступления в
сфере компьютерной информации, выбирать для сеансов связи те страны, где
аналогичные деяния не влекут за собой уголовную ответственность.
В – четвертых, на рынке информационных услуг действуют транснациональные
компании, оказывающие услуги (например, в Европе), но хранящие все
данные в головном офисе, расположенном на другом континенте.
Несмотря на обозначенные проблемы, мировое сообщество на протяжении ряда
лет работает над созданием единых стандартов деятельности
правоохранительных органов различных государств в области борьбы с
преступлениями в сфере компьютерной информации.
В августе-сентябре 1990 г. в Гаване состоялся VIII Конгресс ООН по
предупреждению преступности и обращению с правонарушителями, на тему:
«Международное сотрудничество в области предупреждения преступности и
уголовного правосудия в XXI веке». На форуме впервые была принята
резолюция, призвавшая государства активизировать усилия в борьбе с
компьютерными преступлениями, в частности путем принятия следующих мер:
а) совершенствование национальных законов и процедур, направленных на
борьбу с преступностью…:
обеспечить, чтобы существующие определения правонарушений и законы,
касающиеся полномочий на проведение расследований, и допустимость
свидетельских показаний в ходе судебных разбирательств, применялись
должным образом и, в случае необходимости, вносить соответствующие
изменения;
при отсутствии законов, которые применяются должным образом, разработать
определения правонарушения, а также процедур проведения расследовании и
представления доказательств в случае необходимости, для того чтобы
успешно вести борьбу с этой новой и изощренной формой преступной
деятельности;
обеспечить изъятие или реституцию незаконно приобретенных средств в
результате совершения преступлений, связанных с применением компьютеров:
улучшение превентивных мер и мер по обеспечению использования
компьютеров, принимая во внимание проблемы, связанные с обеспечением
защиты личной жизни, уважения прав человека и основных свобод, и любых
механизмов, регулирующих использование компьютеров;
принятие мер в целях повышения степени осознания общественностью, судами
и правоохранительными учреждениями проблемы и важности предупреждения
преступлений, связанных с применением компьютеров;
принятие соответствующих мер по подготовке судей, должностных лиц и
сотрудников учреждений, отвечающих за предупреждение, расследование,
уголовное преследование и рассмотрение в судах дел об экономических
преступлениях и преступлениях, связанных с применением компьютеров;
выработка в сотрудничестве с заинтересованными организациями этических
норм использования компьютеров и обучение этим нормам в рамках учебных
программ и подготовки по вопросам информатики;
принятие политики в отношении жертв преступлений, связанных с
применением компьютеров, соответствующей Декларации основных принципов
правосудия для жертв преступлений и злоупотребления властью, включая
реституцию незаконно полученных средств и мер, направленных на поощрение
жертв к сообщению о таких преступлениях соответствующим властям».
Важным шагом стало издание Руководства ООН по предупреждению
преступлений, связанных с применением компьютеров, и борьбе с ними.
Наиболее значительные положения данного документа можно свести к
следующему:
а) впервые констатировано, что для обеспечения сохранения
доказательственного материала требуется немедленное получение данных,
поскольку в противном случае они могут быть уничтожены;
б) предлагается решать проблему территориальной юрисдикции
правоохранительных органов, ограниченных территорией своего государства,
путем заключения соответствующих межгосударственных договоров и
соглашений, в которых следует предусмотреть возможность в исключительных
случаях прямого проникновения в компьютерные сети иностранного
государства;
в) все случаи прямого трансграничного доступа рекомендуется сопровождать
незамедлительными информированием о них компетентных органов
государства, в котором он обнаружен.
В апреле 2000 г. в Вене состоялся X конгресс ООН на тему: «Преступность
и правосудие: ответы на вызовы XXI века». На нем в числе прочих
обсуждались и проблемы борьбы с преступностью в сфере компьютерной
информации. В итоговом документе конгресса содержится призыв к
государствами мира «работать в направлении укрепления наших возможностей
по предупреждению, расследованию и преследованию преступлений, связанных
с использованием высоких технологий и компьютеров». Однако данное
положение носит, во-первых, рекомендательный, а во-вторых, достаточно
общий характер.
Существенным шагом вперед является принятие в декабре 2000 г. в Палермо
(Италия) Конвенции ООН против транснациональной организованной
преступности, подписанной и Российской Федерацией. Представляет интерес
ст. 20 «Специальные методы расследования», в которой указано, что
«каждое государство-участник в пределах своих возможностей, на условиях,
установленных внутренним законодательством, принимает необходимые меры,
с тем чтобы разрешить надлежащее использование контролируемых поставок,
и в тех случаях, когда оно считает это уместным, использование других
специальных методов расследования, таких, как электронное наблюдение и
другие формы наблюдения, а также агентурные операции на его территории с
целью ведения эффективной борьбы с организованной преступностью».
Общая тенденция к расширению международного сотрудничества в борьбе с
преступностью в сфере высоких технологий отмечается и в деятельности
иных международных организаций, в том числе Совета Европы, участником
которого является Россия. Этой проблеме посвящен ряд принятых Советом
Европы рекомендаций, в которых сделана попытка определить и выделить
отдельные виды преступлений, связанных с использованием компьютерных
технологий.
Так, Рекомендация № R (95)13 по проблемам уголовно-процессуального
права, в части информационных технологий содержит норму следующего
содержания: «…Следственные органы должны обладать полномочиями
принуждать лиц, имеющих в своем распоряжении компьютерные данные,
предоставлять всю необходимую информацию для доступа к компьютерам и
хранящимся там данным. Уголовно-процессуальные органы должны обладать
полномочиями выдавать соответствующие ордера лицам, имеющим знания о
том, как функционируют компьютерные системы и как обеспечивается
безопасность хранимых в них данных. На операторов общественных и частных
сетей, предоставляющих телекоммуникационные услуги, должны быть наложены
обязательства обеспечения всех технических средств для перехвата
телекоммуникаций следственными органами».
Однако рекомендательный характер предписаний этих документов не
способствует разрешению возникающих на практике коллизий, для чего
необходимы полноценные международно-правовые документы. Осознание этого
повлекло за собой формирование Комитетом Министров Совета Европы в
феврале 1997 г. Комитета экспертов по преступности в киберпространстве.
Перед ним была поставлена задача провести доскональное изучение
юридических проблем, возникающих при расследовании преступлений,
совершенных с использованием компьютерных технологий. По результатам
изучения им был разработан проект Европейской конвенции о
киберпреступности. В ст. 23 проекта представлены общие принципы в
отношении международного сотрудничества в рассматриваемой сфере. Стороны
должны максимально широко сотрудничать друг с другом путем применения
соответствующих международных документов о международном сотрудничестве
по уголовным делам, согласованных договоренностей на основе
единообразного или взаимодополняющего законодательства, а также норм
внутригосударственного права в целях осуществления расследований или
судебного преследования в отношении уголовных преступлений, связанных с
компьютерными системами и компьютерными данными, или сбора доказательств
по уголовным преступлениям в электронной форме.
Ст. 24 предусматривает возможность экстрадиции (выдачи) преступников,
совершивших преступление в сфере компьютерной информации на территории
другого государства при условии, что согласно законам обеих Сторон за
них предусматривается наказание в виде лишения свободы на максимальный
срок не менее одного года или более суровое наказание. Каждая Сторона, в
пределах норм своего внутригосударственного права, может без
предварительного запроса направить другой Стороне информацию, полученную
в рамках ее собственного расследования, если полагает, что раскрытие
такой информации поможет Стороне – получателю этих сведений начать
(продолжать) расследование или судебное разбирательство в отношении
уголовных преступлений, установленных в соответствии с положениями
настоящей Конвенции.
Прежде чем предоставить такую информацию, предоставляющая Сторона вправе
попросить о сохранении ее конфиденциальности или поставить определенные
условия по ее использованию. Если получающая Сторона не в состоянии
выполнить такую просьбу, она должна уведомить об этом предоставляющую
Сторону, которая определит, следует ли ей предоставить указанную
информацию. Если получающая Сторона принимает информацию на указанных
условиях, они должны быть для нее обязательными.
Конвенция предусматривает следующий порядок сношений между сторонами.
Поскольку при расследовании преступлений в сфере компьютерной информации
большинство запросов о взаимной правовой помощи затрагивают
конституционные права и свободы граждан, принятие решений по данным
ходатайствам должно находиться в исключительной компетенции не более
одного – двух центральных органов вне зависимости от подследственности
или подведомственности конкретных уголовных дел. Связь друг с другом
должны поддерживать специально назначенные центральные органы.
В соответствии с ч. 3 ст. 25, в обстоятельствах, не терпящих
отлагательства, допускается направление запросов (сообщений) о взаимной
правовой помощи с использованием оперативных средств связи, включая
факсимильные сообщения или электронную почту, если такие средства
обеспечивают соответствующие уровни безопас-ности, с последующим
офици-альным подтверждением по требованию запрашиваемой сторо-ны.
Согласно п. «а» и «Ь» ч. 9 ст. 27 запросы о взаимной правовой помощи или
связанные с ними сообщения могут направляться непосредственно судебными
органами сторон, а также через Интерпол. Наряду с этим, Конвенцией
предлагается введение ранее не урегулированного международно-правовыми
документами порядка сношений – путем создания сети ежедневного
круглосуточного доступа (международное обозначение «24/7 Network»,
которое может быть расшифровано как «доступ 24 часа 7 суток в неделю»).
Запрашиваемая Сторона (ст. 27) может отложить принятие мер по запросу,
если они могут препятствовали бы уголовным расследованиям или судебным
разбирательствам, проводимым ее органами.
Прежде чем отказать в предоставлении помощи или отсрочить ее,
запрашиваемая Сторона должна после консультаций с запрашивающей
Стороной, рассмотреть возможность удовлетворения запроса частично или на
таких условиях, какие она сочтет необходимыми. При этом запрашиваемая
сторона обязана информировать запрашивающую о ходе исполнения запроса о
помощи, о причинах отсрочки в оказании помощи или об отказе в таковой.
Ст. 35 Конвенции предусматривает, что международная правовая помощь
должна включать в себя так же: а) предоставление технических
консультаций; б) обеспечение сохранности компьютерных данных и данных о
потоках информации; с) сбор доказательств, предоставление правовой
информации и обнаружение подозреваемых. Среди ключевых задач контактных
пунктов сети «24/7 Network» – обеспечение быстрого выполнения функций,
предусмотренных Конвенцией, даже если они не отнесены к компетенции
самого пункта. Для осуществления этой деятельности национальная
контактная точка должна быть способна осуществлять связь с контактной
точкой другой страны в срочном порядке, иметь обученный и оснащенный
оборудованием персонал, обеспечивающий функционирование этой сети. В
настоящее время контактные пункты ежедневного круглосуточного доступа
уже действуют в ряде государств. В Российской Федерации такой контактный
пункт сформирован на базе МВД России.
Очень важной является норма, согласно которой одна Сторона может
обратиться к другой с просьбой незамедлительного обеспечения сохранности
информации, хранящейся в базе данных на территории этой Стороны, в
отношении которой запрашивающая Сторона намеревается обратиться с
просьбой о правовой помощи для проведения обыска или выемки этих данных,
получения их иным аналогичным путем, а также их раскрытия.
В запросе об обеспечении сохранности информации необходимо указывать:
наименование органа, заинтересованного в обеспечении ее сохранности;
правонарушение, являющееся предметом уголовного расследования или
судебного разбирательства, с кратким резюме относящихся к делу фактов;
компьютерные данные, сохранность которых должна быть обеспечена, их
связь с правонарушением;
сведения, позволяющие идентифицировать хранителя интересующих
компьютерных данных или местонахождение компьютерной системы;
потребность в сохранении;
намерение запрашивающей Стороны обратиться с просьбой о взаимной
правовой помощи в отношении обыска или иного доступа к системе, выемки
данных или овладения ими иным путем, или их раскрытия.
По получении запроса, запрашиваемая Сторона должна незамедлительно
принять все необходимые для обеспечения сохранности указанных данных
меры с соблюдением норм ее внутригосударственного права. В качестве
условия содействия требуется, чтобы деяние, о котором идет речь,
рассматривалось как преступление обеими Сторонами.
Сторона, которая требует обоюдного признания факта преступления в
качестве условия для ответа на просьбу о взаимной правовой помощи вправе
отказать в просьбе об обеспечении сохранности данных, в случаях, если
есть основания полагать, что в момент раскрытия данных условие обоюдного
признания факта преступления не сможет быть выполнено.
В остальных случаях в просьбе об обеспечении сохранности данных может
быть отказано только если:
запрос касается правонарушения, которое запрашиваемая Сторона
рассматривает как политическое преступление или правонарушение,
связанное с политическим преступлением;
запрашиваемая Сторона полагает вероятным, что исполнение запроса нанесет
ущерб ее суверенитету, безопасности, общественному порядку или другим
существенным интересам.
Если запрашиваемая Сторона считает, что обеспечение сохранности не будет
гарантировать доступность соответствующих данных в будущем, или поставит
под угрозу конфиденциальность, или иным путем нанесет ущерб
расследованию, проводимому запрашивающей Стороной, она незамедлительно
сообщает об этом запрашивающей Стороне, которая должна определить,
должен ли данный запрос быть выполнен в любом случае.
Меры по обеспечению сохранности данных, принятые в ответ на запрос,
должны быть действительны в течение не менее 60 дней, чтобы позволить
запрашивающей Стороне представить свою просьбу. После получения такого
запроса, обеспечение сохранности данных должно продолжаться впредь до
принятия решения по этому запросу.
Если в ходе исполнения запроса об обеспечении сохранности данных,
относящихся к определенному сообщению, запрашиваемая Сторона обнаружит,
что в передачу этого сообщения был вовлечен поставщик услуг в другом
государстве, запрашиваемая Сторона должна незамедлительно раскрыть
запрашивающей Стороне достаточное количество информации о потоках, чтобы
можно было идентифицировать этого поставщика услуг и путь, которым
передавалось сообщение. В раскрытии данных о потоках информации может
быть отказано по тем же основаниям, что и в просьбе об обеспечении их
сохранности.
Конвенция предусматривает также взаимную правовую помощь в осуществлении
следственных полномочий. Так, в соответствии со ст. 31 Сторона может
обратиться к другой Стороне с просьбой в о проведении обыска или иного
доступа к системе, выемки данных, овладения ими иным путем, или их
раскрытия.
По запросу незамедлительно принимаются меры, если: имеются основания
полагать, что соответствующие данные особенно подвержены риску потери
или модификации; документами, соглашениями и законами, иным путем
предусматривается оказание содействия в срочном порядке.
Конвенция предоставляет трансграничный доступ к хранимым компьютерным
данным с согласия или когда они доступны публично. Так, Сторона может
без разрешения другой Стороны получить доступ к публично доступным
(открытым источникам) независимо от того, где эти данные находятся
географически. Кроме того, через собственную компьютерную систему
обеспечить доступ на своей территории к данным, находящимся на
территории другой Стороны, или аналогичным образом принимать такие
данные, если эта Сторона получит законное и добровольное согласие лица,
уполномоченного раскрыть такие данные заинтересованной Стороне через
указанную компьютерную систему.
Ст. 33 предусматривает взаимную правовую помощь в отношении сбора в
реальном масштабе времени данных о потоках информации. В соответствии с
ней стороны оказывают взаимную правовую помощь друг другу в этом
направлении. Оказание подобной помощи регулируется условиями и
процедурами, предусматриваемыми нормами внутригосударственного права.
Каждая Сторона должна предоставлять такую помощь по крайней мере в
случаях уголовных преступлений, в отношении которых сбор данных о
потоках в реальном масштабе времени был бы доступен при расследовании
аналогичного дела внутри страны.
Ст. 34 Конвенции регламентирует взаимную правовую помощь в отношении
перехвата информации. Так, Стороны оказывают взаимную правовую помощь
друг другу в отношении сбора или записи в реальном масштабе времени
данных о содержании указанных сообщений, передаваемых с помощью
компьютерной системы в той степени, в какой это разрешено в соответствии
с соглашениями и нормами их внутригосударственного права.
Не остаются в стороне от выработки меадународно-правовых документов в
частие борьбы с преступлениями в сфере высоких технологий и страны СНГ.
1 июня 2001 г. Главами государств Содружества было подписано Соглашение
о сотрудничестве государств – участников СНГ в борьбе с преступлениями в
сфере компьютерной информации. Соглашение определяет такие основные
понятия, как «пре-ступление в сфере компьютерной информации»,
«компьютерная информация», «вредоносная программа» и «неправомерный
доступ».
Согласно Соглашению Стороны признают в соответствии с национальным
законодательством в качестве уголовно наказуемых следующие деяния (если
они совершены умышленно):
неправомерный доступ к охраняемой законом компьютерной информации, если
это деяние повлекло уничтожение, блокирование, модификацию либо
копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети;
создание, использование или распространение вредоносных программ, если
это не является предметом специальной деятельности на которую имеется
разрешение, выданное в установленном законом порядке);
нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом,
имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение,
блокирование или модификацию охраняемой законом информации, если это
деяние причинило существенный вред или имело тяжкие последствия;
незаконное использование программ для ЭВМ и баз данных, являющихся
объектами авторского права, а равно присвоение авторства, если это
деяние причинило существенный ущерб.
Определение понятий «существенный вред», «тяжкие последствия» и
«существенный ущерб» относится к компетенции каждой из Сторон.
Сотрудничество Сторон в рамках Соглашения реализуется непосредственно их
компетентными органами, перечень которых определяется каждой из Сторон и
передается при подписании Соглашения. Об изменении перечня компетентных
органов письменно уведомляется депозитарий.
Сотрудничество сторон в рамках Соглашения осуществляется в следующих
формах:
а) обмена информацией, в том числе:
о готовящихся или совершенных преступлениях в сфере компьютерной
информации и причастных к ним физических и юридических лицах;
о формах и методах предупреждения, выявления, пресечения, раскрытия и
расследования преступлений в сфере компьютерной информации;
о способах совершения преступлений в рассматриваемой сфере;
о национальном законодательстве и международных договорах, регулирующих
вопросы предупреждения, выявления, пресечения, раскрытия и расследования
преступлений в сфере компьютерной информации, участниками которых
являются Стороны;
б) исполнение запросов о проведении оперативно-розыскных мероприятий и
следственных действий;
в) планирование и проведение скоординированных мероприятий и операции по
предупреждению, выявлению, пресечению, раскрытию и расследованию
преступлений в сфере компьютерной информации;
г) оказание содействия в подготовке и повышении квалификации кадров,
(стажировка специалистов, организация конференций, семинаров и учебных
курсов);
д) создание информационных систем, обеспечивающих выполнение задач по
предупреждению, выявлению, пресечению, раскрытию и расследованию
преступлений в сфере компьютерной информации;
е) проведение совместных научных исследований по представляющим взаимный
интерес проблемам борьбы с преступлениями в сфере компьютерной
информации;
ж) обмен нормативными актами, научно-технической литературой по
борьбе с указанными преступлениями.
Взаимодействие в рамках Соглашения осуществляется на основании запросов
компетентных органов Сторон. Информация может предоставляться другой
Стороне без запроса, если имеются основания полагать, что она
представляет интерес для этой Стороны. Компетентные органы Сторон
определяют порядок сотрудничества и перечень уполномоченных на его
осуществление лиц, о которых уведомляют друг друга.
Компетентный орган запрашиваемой Стороны принимает все необходимые меры
для обеспечения быстрого и наиболее полного исполнения запроса. Запрос
исполняется, как правило, в срок, не превышающий тридцать суток с
момента поступления. При этом по возможности учитываются пожелания
компетентного органа запрашивающей Стороны о сроке исполнения запроса.
Если исполнение запроса не входит в полномочия компетентного органа
запрашиваемой Стороны, то он передает его соответствующему органу своего
государства и незамедлительно уведомляет об этом запрашивающую Сторону.
Запрашиваемая Сторона в возможно короткий срок информирует запрашивающую
Сторону о результатах исполнения запроса.
В исполнении запроса может быть отказано (полностью или частично), если
запрашиваемая Сторона полагает, что его исполнение противоречит ее
национальному законодательству.
Каждая из Сторон принимает необходимые меры для обеспечения
конфиденциальности информации, полученной от другой Стороны, если
считает нежелательным ее разглашение. Информация и документы, полученные
в рамках Соглашения, не могут быть использованы без согласия
запрашиваемой Стороны для иных целей помимо тех, которые указаны в
запросе и на которые дал согласие компетентный орган запрашиваемой
Стороны. Они самостоятельно несут расходы, которые возникают в ходе
исполнения настоящего Соглашения, если в каждом конкретном случае не
будет согласован иной порядок.
Соглашение не затрагивает прав и обязательств Сторон, вытекающих из
других международных договоров, участниками которых они являются. Оно
действует в течение пяти лет с даты своего вступления в силу, по
истечении которых автоматически продлевается каждый раз на пятилетний
срок, если участники не примут иного решения.
Соглашение, хотя и заключено региональной организацией, открыто для
присоединения других государств, разделяющих его положения, с согласия
всех его участников путем передачи депозитарию документов о таком
присоединении.
ЛИТЕРАТУРА
Аверьянова Т.В. Задачи компьютерно-технической экспертизы //
Информатизация правоохранительных систем: Тезисы докладов междун. конф.
В 2-х ч. М., 1998. 4.2.
Айков Д., Сейгер К., Фонстрох У. Компьютерные преступления. М., 1999.
Батурин Ю.М., Жодзишский A.M. Компьютерные правонарушения:
криминализация, квалификация, раскрытие // Сов. государство и право,
1990. № 12. С.86-94.
Батурин Ю.М., Жодзишский A.M. Компьютерная преступность и компьютерная
безопасность. М., 1991.
Букин Д. Хакеры. О тех, кто делает это // Рынок ценных бумаг. 1997. №
23. С. 54-57;
Букин Д. Underground киберпространства // Рынок ценных бумаг. 1997. №
18. С. 104-108.
Вехов Б.В. Компьютерные преступления. Способы совершения. Методики
расследования. М. 1996.
Вихорев С.В., Герасименко В.Г. Борьба с преступлениями в банковских
информационно-вычислительных системах // Системы безопасности, связи и
телекоммуникаций. 1997. № 6.
Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной
информации. Дис. … канд. юрид. наук. М., 2000.
Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной
информации. М., 2001.
Гаврилин Ю.В. Зарубежный опыт расследования преступлений в сети Интернет
// Известия ТулГУ. Сер.: «Современные проблемы законодательства России,
юридических наук и правоохранительной деятельности». Вып.З. Тула, 2000.
Горбатов B.C., Полянская О.Ю. Мировая практика криминализации
компьютерных правонарушений. М., 1998.
Гортинский А.В. Компьютеризация печатного дела // Материалы семинара:
«Вопросы квалификации и расследования некоторых преступлений в сфере
экономики». Саратов, 1998. 15-18 декабря. С. 172-179.
Гортинский А.В., Пархоменко А.Н. Некоторые рекомендации по организации и
проведению следственных действий при расследовании преступлений,
совершенных с использованием печатающих средств персональных компьютеров
// Материалы семинара: «Вопросы квалификации и расследования некоторых
преступлений в сфере экономики». Саратов, 1998. 15-18 дек. С. 184-187.
Зубаха B.C., Усов А.И., Саенко Г.В., и др. Общие положения по назначению
и производству компьютерно-технической экспертизы: Метод, рекомендации.
М., 2000.
Иванов В.П. Защита от электронного шпионажа // Сети и системы связи.
1996. №3.
Касаткин А.В. Тактика собирания и использования компьютерной информации
при расследовании преступлений: Дис. … канд. юрид. наук. М.,1997.
Катков С.А. Назначение экспертизы по восстановлению содержания
документов на магнитных носителях ЭВМ // Проблемы криминалистической
теории и практики. М., 1995. С. 68-74.
Коммисаров А.Ю. Материалы Первой международной конференции Интерпола по
компьютерной преступности // Информационный бюллетень. 1995. № 14.
Национальное бюро Интерпола в Российской Федерации. С. 24-32.
Компьютерные преступления и методы борьбы с ними // Проблемы
преступности в капиталистических странах. 1985. №1. С.3-10.
Компьютерные технологии в юридической деятельности. Под ред.
Н.С.Полевого. М., 1994.
Кочои С., Савельев Д. Ответственность за неправомерный доступ к
компьютерной информации // Российская юстиция. 1999. №1. С. 44-45.
Крылов В.В. Информационные компьютерные преступления. М., 1997.
Крылов В.В. Расследование преступлений в сфере информации. М., 1998.
Кузнецов А.В. Некоторые вопросы расследования преступлений в сфере
компьютерной информации // Информационный бюллетень Следственного
комитета МВД России. 1998. № 2. С. 42-48.
Кушниренко С.П., Панфилова Е.И. Уголовно-процессуальные способы изъятия
компьютерной информации по делам об экономических преступлениях. СПб.,
1998.
Лысов Н.Н. Содержание и значение криминалистической характеристики
компьютерных преступлений // Проблемы криминалистики и методики ее
преподавания (тезисы выступлений участников семинара совещания
преподавателей криминалистики) М., 1994. С. 34-38.
Ляпунов Ю.И., Максимов B.C. Ответственность за компьютерные преступления
// Законность. 1997. № 1. С. 11-12.
Осипенко М. Компьютеры и преступность // Информационный бюллетень НЦБ
Интерпола в Российской Федерации. 1994. № 10. С. 13-17.
Положительный опыт расследования хищения, совершенного с использованием
современных возможностей оргтехники // Информационный бюллетень
Следственного комитета при МВД России. 1999. № 3 (100). С. 68-70.
Расследование неправомерного доступа к компьютерной информации.
Научно-практической пособие / Под ред. Н.Г.Шурухнова. М., 1999.
Родионов А.Н., Кузнецов А.В. Расследование преступлений в области
высоких технологий // Вестник МВД России. 1999. № 6. С. 48-59.
Российская Е.Р. Предмет и практические приложения
компьютерно-технической экспертизы // Информатизация правоохранительных
систем: Тезисы докладов междунар.конф. В 2-х ч. М., 1998. Ч. 2.
Российская Е.Р. Судебная экспертиза в уголовном, гражданском,
арбитражном процессе. М., 1996.
Российская E.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.
М., 2001.
Сергеев В.В. Компьютерные преступления в банковской сфере // Банковское
дело. 1997. № 2. С.25-28.
Скоромников К.С. Расследование преступлений в сфере компьютерной
информации // Руководство для следователей / Под ред. Н.А.Селиванова,
В.А.Снеткова. М., 1997.
Толеубекова Б.Х. Компьютерная преступность: вчера, сегодня, завтра.
Караганда, 1995.
Черкасов В.Н. Компьютеризация и экономическая преступность. М., 1992.
Федоров В. Компьютерные преступления: выявление, расследование и
профилактика // Законность. 1994. № 6. С. 44-47.
Фигурнов В.Э. IBM PC для пользователя. М., 1994.
Черных Э., Черных А. «Компьютерные» хищения. Как их предотвратить?//Соц.
юстиция. 1993. №3. С.21-22.
Шурухнов Н.Г., Лучин И.Н. Методические рекомендации по изъятию
компьютерной информации при проведении обыска // Информационный
бюллетень Следственного комитета МВД РФ. 1996. № 4(89). С. 49-57.
Шурухнов Н.Г., Левченко И.П., Лучин И.Н. Специфика проведения обыска при
изъятии компьютерной информации // Актуальные проблемы совершенствования
деятельности ОВД в новых экономических и социальных условиях. М., 1997.
С. 208-216.
Приложение
1. Указ Президента Российской Федерации от 6 марта 1997 г. № 188
(Извлечение)
ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА
1. Сведения о фактах, событиях и обстоятельствах частной жизни
гражданина, позволяющие идентифицировать его личность (персональные
данные), за исключением сведений, подлежащих распространению в средствах
массовой информации в установленных федеральными законами случаях.
Сведения, составляющие тайну следствия и судопроизводства.
Служебные сведения, доступ к которым ограничен органами государственной
власти в соответствии с Гражданским кодексом Российской Федерации и
федеральными законами (служебная тайна).
Сведения, связанные с профессиональной деятельностью, доступ к которым
ограничен в соответствии с Конституцией Российской Федерации и
федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна
переписки, телефонных переговоров, почтовых отправлений, телеграфных или
иных сообщений и так далее).
Сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской Федерации и
федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного
образца до официальной публикации информации о них.
2. Гражданский кодекс Российской Федерации
(Извлечение)
Статья 139. Служебная и коммерческая тайна
1. Информация составляет служебную или коммерческую тайну в случае,
когда информация имеет действительную или потенциальную коммерческую
ценность в силу неизвестности ее третьим лицам, к ней нет свободного
доступа на законном основании и обладатель информации принимает меры к
охране ее конфиденциальности.
Сведения, которые не могут составлять служебную или коммерческую тайну,
определяются законом и иными правовыми актами.
2. Информация, составляющая служебную или коммерческую тайну, защищается
способами, предусмотренными настоящим Кодексом и другими законами.
Лица, незаконными методами получившие информацию, которая составляет
служебную или коммерческую тайну, обязаны возместить причиненные убытки.
Такая же обязанность возлагается на работников, разгласивших служебную
или коммерческую тайну вопреки трудовому договору, в том числе
контракту, и на контрагентов, сделавших это вопреки гражданско-правовому
договору.
3. Федеральный закон от 16 февраля 1995 г. № 15-ФЗ «О связи»
(с изменениями от б января, 17 июля 1999 г.)
(Извлечение)
Статья 2. Основные термины, применяемые в настоящем Федеральном законе
Для целей настоящего Федерального закона применяются следующие основные
термины:
электрическая связь (электросвязь) – всякая передача или прием знаков,
сигналов, письменного текста, изображений, звуков по проводной, радио-,
оптической и другим электромагнитным системам;
сети электросвязи – технологические системы, обеспечивающие один или
несколько видов передач: телефонную, телеграфную, факсимильную, передачу
данных и других видов документальных сообщений, включая обмен
информацией между ЭВМ, телевизионное, звуковое и иные виды радио- и
проводного вещания;
сеть связи общего пользования – составная часть взаимоувязанной сети
связи Российской Федерации, открытая для пользования всем физическим и
юридическим лицам, в услугах которой этим лицам не может быть отказано.
Статья 7. Сеть связи общего пользования
Сеть связи общего пользования как составная часть взаимоувязанной сети
связи Российской Федерации предназначена для предоставления услуг связи
всем физическим и юридическим лицам на территории Российской Федерации и
включает в себя все сети электросвязи, находящиеся под юрисдикцией
Российской Федерации, кроме выделенных и ведомственных сетей связи,
независимо от их принадлежности и форм собственности. Ответственность за
функционирование и развитие сети связи общего пользования возлагается на
федеральные органы исполнительной власти в области связи.
При построении и оборудовании сети связи общего пользования учитываются
требования обеспечения надежности указанной сети при воздействии на нее
дестабилизирующих факторов.
Статья 9. Сети связи для нужд управления, обороны, безопасности и охраны
правопорядка в Российской Федерации
Правительственная связь обеспечивается специально уполномоченными на то
органами, определяемыми Президентом Российской Федерации. Указанные
органы обеспечивают специальными видами связи органы государственной
власти Российской Федерации и организации, осуществляя в пределах своих
полномочий сохранность государственных секретов. Права и обязанности
органов указанной связи определяются законодательством Российской
Федерации.
Связь для нужд обороны, безопасности и охраны правопорядка в Российской
Федерации обеспечивается органами связи соответствующих федеральных
органов исполнительной власти. Им предоставляется право без ущерба для
основной деятельности использовать находящиеся в их ведении сети и
средства связи для передачи или приема сообщений пользователей связи в
коммерческих целях. В этом случае на предоставление услуг связи
распространяется требование о лицензировании в соответствии со статьей
15 настоящего Федерального закона.
Каналы сети связи общего пользования и ведомственных сетей связи для
нужд управления, обороны, безопасности и охраны правопорядка в
Российской Федерации предоставляются на арендной основе в порядке,
предусмотренном законодательством Российской Федерации.
Статья 32. Тайна связи
Тайна переписки, телефонных переговоров, почтовых отправлений,
телеграфных и иных сообщений, передаваемых по сетям электрической и
почтовой связи, охраняется Конституцией Российской Федерации.
Все операторы связи обязаны обеспечить соблюдение тайны связи.
Информация о почтовых отправлениях и передаваемых по сетям электрической
связи сообщениях, а также сами эти отправления и сообщения могут
выдаваться только отправителям и адресатам или их законным
представителям.
Прослушивание телефонных переговоров, ознакомление с сообщениями
электросвязи, задержка, осмотр и выемка почтовых отправлений и
документальной корреспонденции, получение сведений о них, а также иные
ограничения тайны связи допускаются только на основании судебного
решения.
Должностные и иные лица, работники связи, допустившие нарушение
указанных положений, привлекаются к ответственности в порядке,
установленном законодательством Российской Федерации.
4. Федеральный закон от 20 февраля 1995 г. № 24-ФЗ
«Об информации, информатизации и защите информации»
(Извлечение)
Статья 2. Термины, используемые в настоящем Федеральном законе, их
определения
В настоящем Федеральном законе используются следующие понятия:
информация – сведения о лицах, предметах, фактах, событиях, явлениях и
процессах независимо от формы их представления;
информатизация – организационный социально-экономический и
научно-технический процесс создания оптимальных условий для
удовлетворения информационных потребностей и реализации прав граждан,
органов государственной власти, органов местного самоуправления,
организаций, общественных объединений на основе формирования и
использования информационных ресурсов;
документированная информация (документ) – зафиксированная на
материальном носителе информация с реквизитами, позволяющими ее
идентифицировать;
информационные процессы – процессы сбора, обработки, накопления,
хранения, поиска и распространения информации;
информационная система – организационно упорядоченная совокупность
документов (массивов документов) и информационных технологий, в том
числе с использованием средств вычислительной техники и связи,
реализующих информационные процессы;
информационные ресурсы – отдельные документы и отдельные массивы
документов, документы и массивы документов в информационных системах
(библиотеках, архивах, фондах, банках данных, других информационных
системах);
информация о гражданах (персональные данные) – сведения о фактах,
событиях и обстоятельствах жизни гражданина, позволяющие
идентифицировать его личность;
конфиденциальная информация – документированная информация, доступ к
которой ограничивается в соответствии с законодательством Российской
Федерации;
средства обеспечения автоматизированных информационных систем и их
технологий – программные, технические, лингвистические, правовые,
организационные средства (программы для электронных вычислительных
машин; средства вычислительной техники и связи! словари, тезаурусы и
классификаторы; инструкции и методики; положения, уставы; должностные
инструкции; схемы и их описания, другая эксплуатационная и
сопроводительная документация), используемые или создаваемые при
проектировании информационных систем и обеспечивающие их эксплуатацию;
собственник информационных ресурсов, информационных систем, технологий и
средств их обеспечения – субъект, в полном объеме реализующий полномочия
владения, пользования, распоряжения указанными объектами;
владелец информационных ресурсов, информационных систем, технологий и
средств их обеспечения – субъект, осуществляющий владение и пользование
указанными объектами и реализующий полномочия распоряжения в пределах,
установленных законом;
пользователь (потребитель) информации – субъект, обращающийся к
информационной системе или посреднику за получением необходимой ему
информации и пользующийся ею.
Статья 10. Информационные ресурсы по категориям доступа
1. Государственные информационные ресурсы Российской Федерации являются
открытыми и общедоступными. Исключение составляет документированная
информация, отнесенная законом к категории ограниченного доступа.
2. Документированная информация с ограниченным доступом по условиям ее
правового режима подразделяется на информацию, отнесенную к
государственной тайне, и конфиденциальную.
3. Запрещено относить к информации с ограниченным доступом:
законодательные и другие нормативные акты, устанавливающие правовой
статус органов государственной власти, органов местного самоуправления,
организаций, общественных объединений, а также права, свободы и
обязанности граждан, порядок их реализации;
документы, содержащие информацию о чрезвычайных ситуациях,
экологическую, метеорологическую, демографическую,
санитарно-эпидемиологическую и другую информацию, необходимую для
обеспечения безопасного функционирования населенных пунктов,
производственных объектов, безопасности граждан и населения в целом;
документы, содержащие информацию о деятельности органов государственной
власти и органов местного самоуправления, об использовании бюджетных
средств и других государственных и местных ресурсов, о состоянии
экономики и потребностях населения, за исключением отнесенных к
государственной тайне;
документы, накапливаемые в открытых фондах библиотек и архивов,
информационных системах органов государственной власти, органов местного
самоуправления, общественных объединений, организаций, представляющие
общественный интерес или необходимые для реализации прав, свобод и
обязанностей граждан.
Отнесение информации к государственной тайне осуществляется в
соответствии с Законом Российской Федерации «О государственной тайне».
Отнесение информации к конфиденциальной осуществляется в порядке,
установленном законодательством Российской Федерации, за исключением
случаев, предусмотренных статьей 11 настоящего Федерального закона.
Статья 11. Информация о гражданах (персональные данные)
1. Перечни персональных данных, включаемых в состав федеральных
информационных ресурсов, информационных ресурсов совместного ведения,
информационных ресурсов субъектов Российской Федерации, информационных
ресурсов органов местного самоуправления, а также получаемых и
собираемых негосударственными организациями, должны быть закреплены на
уровне федерального закона. Персональные данные относятся к категории
конфиденциальной информации.
Не допускаются сбор, хранение, использование и распространение
информации о частной жизни, а равно информации, нарушающей личную тайну,
семейную тайну, тайну переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений физического лица без его согласия, кроме
как на основании судебного решения.
2. Персональные данные не могут быть использованы в целях причинения
имущественного и морального вреда гражданам, затруднения реализации прав
и свобод граждан Российской Федерации. Ограничение прав граждан
Российской Федерации на основе использования информации об их социальном
происхождении, о расовой, национальной, языковой, религиозной и
партийной принадлежности запрещено и карается в соответствии с
законодательством.
Юридические и физические лица, в соответствии со своими полномочиями
владеющие информацией о гражданах, получающие и использующие ее, несут
ответственность в соответствии с законодательством Российской Федерации
за нарушение режима защиты, обработки и порядка использования этой
информации.
Подлежит обязательному лицензированию деятельность негосударственных
организаций и частных лиц, связанная с обработкой и предоставлением
пользователям персональных данных. Порядок лицензирования определяется
законодательством Российской Федерации.
Неправомерность деятельности органов государственной власти и
организаций по сбору персональных данных может быть установлена в
судебном порядке по требованию субъектов, действующих на основании
статей 14 и 15 настоящего Федерального закона и законодательства о
персональных данных.
5. Закон РФ от 23 сентября 1992 г. № 3523-1 «О правовой охране программ
для электронных вычислительных машин и баз данных»
(Извлечение)
Статья 1. Основные понятия
1. Основные понятия, применяемые в настоящем Законе:
программа для ЭВМ – это объективная форма представления совокупности
данных и команд, предназначенных для функционирования электронных
вычислительных машин (ЭВМ) и других компьютерных устройств с целью
получения определенного результата. Под программой для ЭВМ
подразумеваются также подготовительные материалы, полученные в ходе ее
разработки, и порождаемые ею аудиовизуальные отображения;
база данных – это объективная форма представления и организации
совокупности данных (например, статей, расчетов), систематизированных
таким образом, чтобы эти данные могли быть найдены и обработаны с
помощью ЭВМ;
адаптация программы для ЭВМ или базы данных – это внесение изменений,
осуществляемых исключительно в целях обеспечения функционирования
программы для ЭВМ или базы данных на конкретных технических средствах
пользователя или под управлением конкретных программ пользователя;
модификация (переработка) программы для ЭВМ или базы данных – это любые
их изменения, не являющиеся адаптацией;
декомпилирование программы для ЭВМ – это технический прием, включающий
преобразование объектного кода в исходный текст в целях изучения
структуры и кодирования программы для ЭВМ;
воспроизведение программы для ЭВМ или базы данных – это изготовление
одного или более экземпляров программы для ЭВМ или базы данных в любой
материальной форме, а также их запись в память ЭВМ;
распространение программы для ЭВМ или базы данных – это предоставление
доступа к воспроизведенной в любой материальной форме программе для ЭВМ
или базе данных, в том числе сетевыми и иными способами, а также путем
продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для
любой из этих целей;
выпуск в свет (опубликование) программы для ЭВМ или базы данных -это
предоставление экземпляров программы для ЭВМ или базы данных с согласия
автора неопределенному кругу лиц (в том числе путем записи в память ЭВМ
и выпуска печатного текста), при условии, что количество таких
экземпляров должно удовлетворять потребности этого круга лиц, принимая
во внимание характер указанных произведений;
использование программы для ЭВМ или базы данных – это выпуск в свет,
воспроизведение, распространение и иные действия по их введению в
хозяйственный оборот (в том числе в модифицированной форме). Не
признается использованием программы для ЭВМ или базы данных передача
средствами массовой информации сообщений о выпущенной в свет программе
для ЭВМ или базе данных.
Статья 3. Объект правовой охраны
Авторское право распространяется на любые программы для ЭВМ и базы
данных, как выпущенные, так и не выпущенные в свет, представленные в
объективной форме, независимо от их материального носителя, назначения и
достоинства.
Авторское право распространяется на программы для ЭВМ и базы данных,
являющиеся результатом творческой деятельности автора. Творческий
характер деятельности автора предполагается до тех пор, пока не доказано
обратное.
3. Предоставляемая настоящим Законом правовая охрана распространяется на
все виды программ для ЭВМ (в том числе на операционные системы и
программные комплексы), которые могут быть выражены на любом языке и в
любой форме, включая исходный текст и объектный код.
Предоставляемая настоящим Законом правовая охрана распространяется на
базы данных, представляющие собой результат творческого труда по подбору
и организации данных. Базы данных охраняются независимо от того,
являются ли данные, на которых они основаны или которые они включают,
объектами авторского права.
Предоставляемая настоящим Законом правовая охрана не распространяется на
идеи и принципы, лежащие в основе программы для ЭВМ или базы данных или
какого-либо их элемента, в том числе на идеи и принципы организации
интерфейса и алгоритма, а также языки программирования.
Авторское право на программы для ЭВМ и базы данных не связано с правом
собственности на их материальный носитель. Любая передача прав на
материальный носитель не влечет за собой передачи каких-либо прав на
программы для ЭВМ и базы данных.
Статья 4. Условия признания авторского права
Авторское право на программу для ЭВМ или базу данных возникает в силу их
создания. Для признания и осуществления авторского права на программу
для ЭВМ или базу данных не требуется депонирования, регистрации или
соблюдения иных формальностей.
Правообладатель для оповещения о своих правах может, начиная с первого
выпуска в свет программы для ЭВМ или базы данных, использовать знак
охраны авторского права, состоящий из трех элементов:
буквы С в окружности или в круглых скобках;
наименования (имени) правообладателя;
года первого выпуска программы для ЭВМ или базы данных в свет.
Статья 5. Авторское право на базу данных
Авторское право на базу данных, состоящую из материалов, не являющихся
объектами авторского права, принадлежит лицам, создавшим базу данных.
Авторское право на базу данных признается при условии соблюдения
авторского права на каждое из произведений, включенных в эту базу
данных.
Авторское право на каждое из произведений, включенных в базу данных,
сохраняется. Эти произведения могут использоваться независимо от такой
базы данных.
Авторское право на базу данных не препятствует другим лицам осуществлять
самостоятельный подбор и организацию произведений и материалов, входящих
в эту базу данных.
Статья 6. Срок действия авторского права
1. Авторское право действует с момента создания программы для ЭВМ или
базы данных в течение всей жизни автора и 50 лет после его смерти,
считая с 1 января года, следующего за годом смерти автора.
Срок окончания действия авторского права на программу для ЭВМ и базу
данных, созданные в составе, исчисляется со времени смерти последнего
автора, пережившего других соавторов.
Авторское право на программу для ЭВМ или базу данных, выпущенные
анонимно или под псевдонимом, действует с момента их выпуска в свет в
течение 50 лет. Если автор программы для ЭВМ или базы данных, выпущенных
в свет анонимно или под псевдонимом, раскроет свою личность в течение
указанного срока или принятый автором псевдоним не оставляет сомнений в
его личности, то применяется срок охраны, предусмотренный пунктом 1
данной статьи.
Личные права автора на программу для ЭВМ или базу данных охраняются
бессрочно.
6. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в
международном информационном обмене»
(Извлечение)
Статья 2. Термины, используемые в настоящем Федеральном законе, и их
определения
документированная информация (документ) – зафиксированная на
материальном носителе информация с реквизитами, позволяющими ее
идентифицировать;
конфиденциальная информация – документированная информация, доступ к
которой ограничивается в соответствии с законодательством Российской
Федерации;
массовая информация – предназначенные для неограниченного круга лиц
печатные, аудиосообщения, аудиовизуальные и иные сообщения и материалы;
информационные ресурсы – отдельные документы и отдельные массивы
документов, документы и массивы документов в информационных системах
(библиотеках, архивах, фондах, банках данных, других видах
информационных систем);
информационные продукты (продукция) – документированная информация,
подготовленная в соответствии с потребностями пользователей и
предназначенная или применяемая для удовлетворения потребностей
пользователей;
информационные услуги – действия субъектов (собственников и владельцев)
по обеспечению пользователей информационными продуктами;
собственник документированной информации, информационных ресурсов,
информационных продуктов и (или) средств международного информационного
обмена – субъект, реализующий полномочия владения, пользования,
распоряжения указанными объектами в объеме, устанавливаемом законом;
владелец документированной информации, информационных ресурсов,
информационных продуктов и (или) средств международного информационного
обмена – субъект, реализующий полномочия владения, пользования и
распоряжения указанными объектами в объеме, устанавливаемом
собственником;
пользователь (потребитель) информации, средств международного
информационного обмена (далее – пользователь) – субъект, обращающийся к
собственнику или владельцу за получением необходимых ему информационных
продуктов или возможности использования средств международного
информационного обмена и пользующийся ими;
информационные процессы – процессы создания, сбора, обработки,
накопления, хранения, поиска, распространения и потребления информации;
международный информационный обмен – передача и получение информационных
продуктов, а также оказание информационных услуг через Государственную
границу Российской Федерации;
средства международного информационного обмена – информационные системы,
сети и сети связи, используемые при международном информационном обмене;
информационная сфера (среда) – сфера деятельности субъектов, связанная с
созданием, преобразованием и потреблением информации;
информационная безопасность – состояние защищенности информационной
среды общества, обеспечивающее ее формирование, использование и развитие
в интересах граждан, организаций, государства.
Статья 7. Документированная информация, вывоз которой из Российской
Федерации не ограничен
Не ограничивается вывоз из Российской Федерации:
законов и иных нормативных правовых актов, устанавливающих правовой
статус органов государственной власти, органов местного самоуправления,
организаций, общественных объединений, а также права, свободы и
обязанности граждан, порядок их реализации;
документов, содержащих информацию о чрезвычайных ситуациях,
экологическую, метеорологическую, демографическую,
санитарно-эпидемиологическую и другую информацию, необходимую для
обеспечения безопасного функционирования населенных пунктов,
производственных объектов, безопасности граждан иностранных государств;
документов, накапливаемых в открытых фондах библиотек и других видах
информационных систем;
массовой информации и иной информации в соответствии с законодательством
Российской Федерации.
Статья 8. Ограничения при осуществлении международного информационного
обмена
1. Ограничивается вывоз из Российской Федерации документированной
информации, отнесенной к:
государственной тайне или иной конфиденциальной информации;
общероссийскому национальному достоянию;
архивному фонду;
иным категориям документированной информации, вывоз которой может быть
ограничен законодательством Российской Федерации.
Возможность вывоза с территории Российской Федерации такой
документированной информации определяется Правительством Российской
Федерации в каждом отдельном случае.
Данные ограничения распространяются и на перемещение с территории
Российской Федерации документированной информации при предоставлении
доступа пользователям, находящимся за пределами территории Российской
Федерации, к информационным системам, сетям, находящимся на территории
Российской Федерации.
Право ввоза на территорию Российской Федерации иностранных
информационных продуктов, которые могут быть применены для осуществления
запрещенных законодательством Российской Федерации видов деятельности
или промыслов или иных противоправных действий, предоставляется
юридическим лицам, уполномоченным Правительством Российской Федерации.
Собственник или владелец документированной информации, информационных
ресурсов, информационных продуктов, средств международного
информационного обмена вправе обжаловать в суд действия должностных лиц
по ограничению международного информационного обмена, если, по его
мнению, эти действия не обоснованы и нарушают его права.
Содержание
TOC \* MERGEFORMAT ПРЕДИСЛОВИЕ PAGEREF _Toc50520531 \h 3
ГЛАВА 1. Уголовно-правовая характеристика преступлений в сфере
компьютерной информации PAGEREF _Toc50520532 \h 4
§ 1. Общие положения PAGEREF _Toc50520533 \h 4
§ 2. Неправомерный доступ к компьютерной информации PAGEREF
_Toc50520534 \h 8
§ 3. Создание, использование и распространение вредоносных программ для
ЭВМ PAGEREF _Toc50520535 \h 16
§ 4. Нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети
PAGEREF _Toc50520536 \h 21
ГЛАВА 2. Криминалистическая характеристика преступлений в сфере
компьютерной информации PAGEREF _Toc50520537 \h 26
§ 1. Данные о способах совершения преступления PAGEREF _Toc50520538 \h
26
Способы совершения неправомерного доступа к компьютерной информации
PAGEREF _Toc50520539 \h 27
Способы совершения создания, использования и распространения вредоносных
программ для ЭВМ PAGEREF _Toc50520540 \h 31
§ 2. Данные о способах сокрытия преступлений в сфере компьютерной
информации PAGEREF _Toc50520541 \h 33
§ 3. Данные об орудиях и средствах совершения преступлений в сфере
компьютерной информации PAGEREF _Toc50520542 \h 34
§ 4. Данные об обстановке совершения преступления PAGEREF _Toc50520543
\h 34
§ 5. Данные о следах совершения преступления в сфере компьютерной
информации PAGEREF _Toc50520544 \h 36
§ 6. Данные о предмете преступного посягательства PAGEREF _Toc50520545
\h 39
§ 7. Данные о личностных свойствах субъектов преступлений в сфере
компьютерной информации PAGEREF _Toc50520546 \h 40
ГЛАВА 3. Типичные исходные следственные ситуации и особенности
первоначального этапа расследования преступлений в сфере компьютерной
информации PAGEREF _Toc50520547 \h 43
§1. Первоначальный этап расследования неправомерного доступа к
компьютерной информации PAGEREF _Toc50520548 \h 43
§ 2. Первоначальный этап расследования создания, использования и
распространения вредоносных программ PAGEREF _Toc50520549 \h 50
Создание вредоносных программ PAGEREF _Toc50520550 \h 50
Использование вредоносных программ PAGEREF _Toc50520551 \h 51
Распространение вредоносных программ PAGEREF _Toc50520552 \h 51
§ 3. Первоначальный этап расследования нарушения правил эксплуатации
ЭВМ, системы ЭВМ или их сети PAGEREF _Toc50520553 \h 53
ГЛАВА 4. Особенности тактики отдельных следственных действий PAGEREF
_Toc50520554 \h 57
§ 1. Тактика осмотра места происшествия PAGEREF _Toc50520555 \h 57
§ 2. Тактика допроса свидетелей PAGEREF _Toc50520556 \h 61
§ 3. Тактика производства обыска PAGEREF _Toc50520557 \h 64
§ 4. Допрос подозреваемого и обвиняемого PAGEREF _Toc50520558 \h 67
§ 5. Следственный эксперимент PAGEREF _Toc50520559 \h 69
§ 6. Назначение экспертиз PAGEREF _Toc50520560 \h 73
§ 7. Предъявление для опознания PAGEREF _Toc50520561 \h 75
§ 8. Проверка и уточнение показаний на месте PAGEREF _Toc50520562 \h
77
ГЛАВА 5. Розыскная деятельность следователя по делам о преступлениях в
сфере компьютерной информации PAGEREF _Toc50520563 \h 82
§ 1. Объекты розыска по делам о преступлениях в сфере компьютерной
информации PAGEREF _Toc50520564 \h 82
§ 2. Тактико-организационные основы розыскной деятельности следователя
по делам о преступлениях в сфере компьютерной информации PAGEREF
_Toc50520565 \h 85
§ 3. Установление и розыск лиц, совершивших преступления в сфере
компьютерной информации PAGEREF _Toc50520566 \h 90
ГЛАВА 6. Международное сотрудничество в борьбе с преступлениями в сфере
компьютерной информации PAGEREF _Toc50520567 \h 95
ЛИТЕРАТУРА PAGEREF _Toc50520568 \h 100
Приложение PAGEREF _Toc50520569 \h 102
Головин А.Ю., Мусаева У.А., Толстухина Т.Е. Актуальные проблемы
расследования преступлений в сфере компьютерной информации. Тула, 2001.
С. 6.
Кочои С., Савельев Д. Ответственность за неправомерный доступ к
компьютерной информации // Российская юстиция. 1999. № 1. С. 44.
По материалам Следственного комитета при МВД России.
Права и обязанности субъектов в области защиты информации предусмотрены
ст. 22 Закона РФ «Об информации, информатизации и защите информации» от
20 февраля 1995 г. № 25-ФЗ.
Зарубежная статистика свидетельствует о том, что из 10 обнаруженных
преступлений в сфере компьютерной информации раскрывается одно. См.:
Edwards L, Waelde Ch. Law and the Internet. Regulating Cyberspace.
Oxford, 1997. P. 8.
В последнее время вышел ряд работ, посвященных как проблемам
расследования компьютерных преступлений в целом, так и расследованию
неправомерного доступа к компьютерной информации. Например, см.:
Вехов Б.В. Компьютерные преступления: Способы совершения, методики
расследования. М.,1996; Крылов В.В. Расследование преступлений в сфере
информации. М., 1998; Расследование неправомерного доступа к
компьютерной информации: Научно-практической пособие / Под ред.
Н.Г.Шурухнова. М., 1999; Родионов А.Н., Кузнецов А.В. Расследование
преступлений в области высоких технологий // Вестник МВД России. 1999. №
6; Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной
информации. М., 2001, и др.
Crime in Cyberspace First Draft of International Convention Released
for Public Discussion //
http://conventions.coe.mt/treaty/en/projets/cybercrime.htm.
Здесь под подавлением данных понимается создание невозможности их ввода
в компьютерную систему.
International review of criminal policy – United Nations Manual on the
prevention and control of computer related crime //
http://conventions.coe.int/treaty/en/projets/cybercrime.htm.
Marc D. Goodman. Why the Police Don’t Care About Computer Crime, 10
Harvard Journal of Law & Technology 465, 468-469 (1997).
Более подробно см.: Толеубекова Б.Х. Компьютерная преступность: вчера,
сегодня, завтра. Караганда, 1995. С. 13.
Горбатов B.C., Полянская О.Ю. Мировая практика криминализации
компьютерных правонарушений. М., 1998.
Ряд авторов различают следующие криминологические группы компьютерных
преступлений: экономические компьютерные преступления, компьютерные
преступления против личных прав и неприкосновенности частной сферы,
компьютерные преступления против общественных и государственных
интересов. См.: Вопросы квалификации и расследования некоторых
преступлений в сфере экономики: Материалы семинара (15-18 декабря 1998
г.). Саратов, 1999. С. 166-168.
Селиванов Н.А. Проблемы борьбы с компьютерной преступностью. 1993. № 8;
Ляпунов Ю.И., Максимов С.В. Ответственность за компьютерные
преступления// Законность. 1997. № 1; Курушин В.Д., Минаев В.А.
Компьютерные преступления и информационная безопасность. М., 1998 и др.
Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.
М., 2001. С. 21.
Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.
М., 2001. С. 22.
Под объектом преступления понимается охраняемое уголовным законом
общественное отношение, которому общественно-опасное деяние причиняет
вред либо ставит под угрозу причинения такого вреда. См.: Динека В.И.
Объект преступления // Уголовное право. Общая часть / Под. ред.
Н.И.Ветрова, Ю.И.Ляпунова. М., 1997. С. 184. Об объекте преступления
более подробно см.: Кудрявцев В.Н. Общая теория квалификации
преступлений. М., 1972; Куриное Б.А. Научные основы квалификации
преступлений. М., 1984; Ляпунов Ю.И. Общественная опасность деяния как
универсальная категория советского уголовного права. М., 1990;
Никифоров Б. С. Об объекте преступления по советскому уголовному праву
// Сов. государство и право. 1956. №6. и др.
Ветров Н.И. Уголовное право. М., 1999. С. 183-184.
Под информацией понимается определенные сведения о лицах, предметах,
фактах, событиях, явлениях и процессах независимо от формы их
представления. См. ст. 1 Федерального закона «Об информации,
информатизации и защите информации» // Собрание законодательства
Российской Федерации. 1995. №8. Ст. 609.
Информационная система – организационно упорядоченная совокупность
документов (массивов документов) и информационных технологий, в том
числе с использованием средств вычислительной техники и связи,
реализующих информационные процессы (сбор, обработка, накопление,
хранение, поиск и распространение информации). См.: ст. 1 Федерального
закона «Об информации, информатизации и защите информации» // Собрание
законодательства Российской Федерации. 1995. №8. Ст. 609.
Крылов В.В. Расследование преступлений в сфере информации. М., 1998. С.
2.
А.В.Касаткин определяет криминалистически значимую компьютерную
информацию как фактические данные, обработанные компьютером и полученные
на его выходе, в форме, доступной восприятию ЭВМ либо человека или
передающиеся по телекоммуникационным каналам, на основе которых в
определенном законом порядке устанавливаются обстоятельства, имеющие
значение для правильного разрешения дела. См.: Касаткин А.В. Тактика
собирания и использования компьютерной информации при расследовании
преступлений: Автореф. дис. … канд. юрид. наук. М., 1997. С. 13.
Шурухнов Н.Г., Левченко И.П., Лучин И.Н. Специфика проведения обыска
при изъятии компьютерной информации // Актуальные проблемы
совершенствования деятельности ОВД в новых экономических и социальных
условиях. М., 1997. С. 208.
Комментарий к Уголовному кодексу РФ. Особенная часть./ Под ред.
В.М.Лебедева и Ю.М.Скуратова. М, 1996. С. 412.
Ляпунов Ю.И., Пушкин А.В. Преступления в сфере компьютерной информации
// Уголовное право. Особенная часть / Под ред. Н.И. Ветрова,
Ю.И. Ляпунова. М., 1998. С. 549.
Расследование неправомерного доступа к компьютерной информации:
Научно-практическое пособие / Под ред. Н.Г.Шурухнова. М., 1999. С.
55-67.
Криминалистически значимые свойства компьютерной информации как
предмета преступного посягательства нами рассмотрены во второй главе
учебного пособия.
Закон РФ от 23 сентября 1992 г. № 3523-1 «О правовой охране программ
для электронных вычислительных машин и баз данных».
Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации,
информатизации и защите информации».
Закон РФ от 9 июля 1993 г. № 5351 -I «Об авторском праве и смежных
правах» (с изменениями от 19 июля 1995 г.)
Закон РФ от 23 сентября 1992 г. № 3523-1 «О правовой охране программ
для электронных вычислительных машин и баз данных».
Комментарий к Уголовному кодексу Российской Федерации М., 1997.
Комментарий к Уголовному кодексу Российской Федерации. Особенная часть.
/ Под ред. Ю.И.Скуратова и В.М.Лебедева. М., 1996. С. 416.
Комментарий к Уголовному кодексу Российской Федерации / Под общей ред.
руководителя Департамента законодательства о государственной
безопасности и правоохранительной деятельности Министерства юстиции
Российской Федерации, государственного советника юстиции 2-го класса
С.И.Никулина. М., 2001. С. 883.
Комментарий к Уголовному кодексу Российской Федерации. М., 1997. С.
596.
Комментарий к Уголовному кодексу Российской Федерации. Особенная часть.
/ Под ред. Ю.И. Скуратова и В.М. Лебедева. М., 1996. С. 416.
Комментарий к Уголовному кодексу Российской Федерации / Под общей
редакцией руководителя Департамента законодательства о государственной
безопасности и правоохранительной деятельности Министерства юстиции
Российской Федерации, государственного советника юстиции 2-го класса
С.И.Никулина. М, 2001. С. 883.
Ляпунов Ю.И. Объективная сторона преступления. Уголовное право. Общая
часть / Под. ред. Н.И.Ветрова, Ю.И.Ляпунова М., 1997. С. 194. Об
Объективной стороне состава преступления более подробно см.:
Кудрявцев В.Н. Объективная сторона преступления. М., 1960; Тимейко Г.В.
Общее Учение об объективной стороне преступления. Ростов-на-Дону, 1977;
Ковалев М.И. Проблемы учения об объективной стороне преступления.
Красноярск, 1991; Кузнецова Н.Ф. Значение преступных последствий. М.,
1958; Михлин А.С. Последствия преступления. М., 1969., и др.
Особенностью анализируемого преступления является то, что в ряде
случаев невозможно говорить о копировании в привычном понимании,
поскольку, например, при посекторном копировании информации, копия
полностью тождественна оригиналу. Более удачным, на наш взгляд, здесь
было бы употребление термина «дублирование».
Научно-практический комментарий к Уголовному кодексу Российской
Федерации. Н. Новгород, 1996. Т. 2. С. 235-236.
Кочои С., Савельев Д. Ответственность за неправомерный доступ к
компьютерной информации // Российская юстиция. 1994. № 1. С. 44.
Расследование неправомерного доступа к компьютерной информации:
Научно-практическое пособие / Под ред. Н.Г.Шурухнова. М., 1999. С. 70.
Ветров Н.И. Субъективная сторона преступления. Уголовное право. Общая
часть / Под ред. Н.И.Ветрова, Ю.И.Ляпунова М., 1997. С. 239; О
содержании субъективной стороны состава преступления более подробно см.:
Волков Б.С. Мотивы преступлений (уголовно-правовое и
социально-психологическое исследование). Казань, 1982; Ворошшин Е.В,
Кригер Г.А. Субъективная сторона преступления. М., 1987; Дагелъ П.С.
Неосторожность. Уголовно-правовые и криминологические проблемы. М.,
1977; Злобин Г.А., Никифоров Б.С. Умысел и его формы. М., 1972.;
Лунеев В.В. Мотивация преступного поведения. М., 1991; Рарог А.И.
Проблемы субъективной стороны преступления. М., 1991; Утевский Б.С. Вина
в советском уголовном праве. М., 1950 и др.
Комментарий к Уголовному кодексу Российской Федерации / Под ред.
А.В.Наумова. М., 1996. С.665.
Пашин С.А. Комментарий к ст. 274-274 УК РФ . Комментарий к Уголовному
Кодексу Российской Федерации / Под ред. Ю.И.Скуратова и В.М.Лебедева. М,
1996. С.640.
Этот показатель подтверждается данными В.П.Панова, отмечавшего, что
соотношение корысти с другими мотивами преступлений в сфере компьютерной
информации составляет 66%. См.: Панов В.П. Сотрудничество государств в
борьбе с международными уголовными преступлениями. М., 1993. С.14.
Под субъектом преступления понимается достигшее возраста,
установленного уголовным законом, вменяемое физическое лицо, совершившее
противоправное общественно опасное деяние. См.: Савюк Л.К. Субъект
преступления. //Уголовное право / Общая часть. Под ред. Н.И.Ветрова,
Ю.И.Ляпунова. М., 1997. С. 270.
См. Крылов В.В. Расследование преступлений в сфере информации. М.,
1998. С. 163-164.
Об этом более подробно см. Расследование неправомерного доступа к
компьютерной информации: Научно-практическое пособие / Под ред.
Н.Г.Шурухнова. М., 1999. С. 93-102.
По материалам Следственного комитета при МВД России.
В случае если провайдером предусмотрен многопользовательский режим
доступа под одним именем и паролем, то блокирования информации не
происходит.
По материалам Следственного комитета при ГУВД Московской области.
Ляпунов Ю.И., Пушкин А.В. Преступления в сфере компьютерной информации
// Уголовное право. Особенная часть / Под ред. Н.И.Ветрова,
Ю.И.Ляпунова. М., 1998. С. 554.
Ляпунов Ю.И., Пушкин А.В. Указ. раб. С. 554.
Адаптация программы для ЭВМ или базы данных – это внесение изменений,
осуществляемых исключительно в целях обеспечения функционирования
программы для ЭВМ или базы данных на конкретных технических средствах
пользователя или под управлением конкретных программ пользователя. См.:
ч. 1 ст. 1 Закона РФ от 23 сентября 1992 г. № 3523-1 «О правовой охране
программ для электронных вычислительных машин и баз данных».
Часть 1 ст. 1 Закона РФ от 23 сентября 1992 г. № 3523-1 «О правовой
охране программ для электронных вычислительных машин и баз данных».
Пушкин А.В. Комментарий к ст. 273 УК РФ. Комментарий к Уголовному
кодексу Российской Федерации. М,, 1997. С. 600.
Часть 1 ст. 1 Закона РФ от 23 сентября 1992 г. № 3523-1 «О правовой
охране программ для электронных вычислительных машин и баз данных».
См.: Пушкин А.В. Указ. раб. С. 600; Ваулина Т.Н. Преступления в сфере
компьютерной информации // Уголовное право. Особенная часть / Под ред.
И.Я.Козаченко, З.А.Незнамова, Г.П.Новоселова. М., 2000. С. 560 и др.
Бородулин С.В., Полубинская С.В. Преступления в сфере компьютерной
информации. Российское уголовное право. Особенная часть / Под ред.
В.Н.Кудрявцева, А.В.Наумова. М., 1997. С. 350.
Michel J. Palmiotto. Criminal investigation. Nelson-Hall publishers.
Chicago. 1994. P. 489.
Способ «мистификация». См.: Батурин Ю.М., Жодзижский A.M. Указ, раб. С.
31.
Обнаруженные «бреши» могут эксплуатироваться неоднократно.
Ляпунов Ю.И., Пушкин А.В. Указ. раб. С. 555.
Аргументы и факты. 1996. № 12.
Труд. 1997. 10 нояб.
Комментарий к Уголовному кодексу Российской Федерации / Под ред.
А.В.Наумова. М., 1996. С. 666.
Ляпунов Ю.И., Пушкин А.В. Указ. раб. С. 559.
Согласно п. 5 ст. 151 УПК РФ, предварительное расследование по делам о
преступлениях, предусмотренных ст. 274 УК РФ может производиться
следователями органов внутренних дел, прокуратуры, федеральной службы
безопасности и налоговой полиции.
Ляпунов Ю.И., Пушкин А.В. Преступления в сфере компьютерной информации.
Уголовное право. Особенная часть / Под. ред. Н.И.Ветрова, Ю.И.Ляпунова.
М, 1998. С. 560.
Утверждены Постановлением Госкомсанэпиднадзора России от 14.07.1996. №
14 // Социальная защита. 1998. № 5. Документ признает утратившим силу
«Временные санитарные нормы и правила для работников вычислительных
Центров».
Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления //
Законность. 1997. № 1.
Яблоков Н.П. Исследование обстоятельств преступных нарушений правил
безопасности труда. М., 1980. С. 32-33; О криминалистической
характеристике преступления более подробно см.: Белкин Р.С. Курс
криминалистики. В 3-х томах. М., 1997. Т. 3. С. 306-319; Лавров В.П.
Учение о способе преступления. Криминалистическая характеристика
преступления: Курс лекций по криминалистике / Под ред. А.Ф.Волынского.
Вып. 10. М., 1999. С. 75-91; Колесниченко А.Н., Коновалова В.Е.
Криминалистическая характеристика преступлений. Харьков, 1985.;
Шурухнов Н.Г. Криминалистическая характеристика преступлений.
Криминалистика (актуальные проблемы) / Под ред. Е.И.Зуева. М., 1988. С.
119 и др.
Шурухнов Н.Г. Указ. раб.
Шурухнов Н.Г. Расследование краж. М., 1999. С. 21.
Лавров В.П. Указ. раб. С. 85.
Р.С.Белкин отмечает в качестве одного из элементов криминалистической
характеристики типичные следственные ситуации, под которыми понимается
характер исходных данных. (См.: Белкин Р.С. Указ. раб. С. 312.)
Зуйков Г.Г. Поиск преступников по способу совершения преступлений. М.,
1970. С. 26; О криминалистическом учении о способе совершения
преступлений см.: Зуйков Г.Г. Указ, раб.; Лавров В.П. Учение о способе
преступления. Криминалистическая характеристика преступления // Курс
лекций по криминалистике / Под ред. А.Ф.Волынского. Вып. 10. М., 1999.
С. 75-84; Кустов A.M. Теоретические основы криминалистического учения о
механизме преступления М., 1997. С. 107-105; Белкин Р.С. Курс
криминалистики. В 3 томах. М., 1997. Т. 3. С. 183-192. и др.
Способы совершения компьютерных преступлений рассмотрены в работах:
Батурин Ю.М., Жодзишский A.M. Компьютерная преступность и компьютерная
безопасность. М., 1991. С. 18-34; Вехов Б.В. Компьютерные преступления:
Способы совершения, методики расследования. М., 1996. С. 49-105;
Касаткин А.В. Тактика собирания и использования компьютерной информации
при расследовании преступлений: Дис. … канд. юрид. наук. М.,1997. С.
83-101; Крылов В.В. Указ. раб. С. 224-230; Родионов А.Н., Кузнецов А.В.
Расследование преступлений в области высоких технологий // Вестник МВД
России. 1999. № 6. С. 65-70 и др.
Родионов А.Н., Кузнецов А.В. Расследование преступлений в области
высоких технологий // Вестник МВД России. 1999. № 6. С. 67.
Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной
информации. М., 2001. С. 18-27.
Способ «уборка мусора». См.: Ю.М.Батурин и A.M.Жодзишский. Указ. раб.
С. 28.
Архив суда района им. Лазо Хабаровского края. Уголовное дело 1-503/98
по обвинению К. по ст. 272 ч.1 УК РФ.
Батурин Ю.М., Жодзишский A.M. Указ. раб. С. 28.
Специалисты считают, что для поиска и восстановления программы,
«стертой» из памяти компьютера требуется не более 40 минут. См.:
Федоров В. Компьютерные преступления: выявление, расследование и
профилактика//Законность. 1994. №6. С. 45.
При таком количестве одновременно атакующих компьютеров даже самые
надежные системы защиты от несанкционированного доступа не успевают
адекватно отреагировать на созданную нештатную ситуацию.
См.: Сергеев В.В. Компьютерные преступления в банковской сфере //
Банковское дело. 1997. № 2. С. 27-28
Архив Кировского районного суда Саратовской области. Уголовное дело №
60/98 по обвинению гр. У. по ст. 272 ч.2 УК РФ.
Michel J. Palmiotto. Criminal investigation. Nelson-Hall publishers.
Chicago. 1994. P. 486.
Современные технические средства позволяют снимать и расшифровывать
излучения работающего принтера на расстоянии до 150 м., излучения
мониторов и соединительных кабелей – до 500 м.
Архив Ленинского районного суда г. Воронежа. Уголовное дело № 1-138 по
обвинению гр. Л. и М. по п. «а» ч.2 ст. 272 УК РФ.
Способ «троянский конь». См.: Ю.М.Батурин, А.М.Жодзишский. Указ. раб.
С. 30.
Данный способ также характерен для создания и распространения
вредоносных программ для ЭВМ.
Michel J. Palmiotto. Criminal investigation. Nelson-Hall publishers.
Chicago. 1994. P. 489.
Способ «мистификация». См.: Батурин Ю.М., Жодзижский A.M. Указ, раб. С.
31.
Способ «маскарад». См.: Батурин Ю.М., Жодзижский A.M. Указ. раб. С. 32.
Обнаруженные «бреши» могут эксплуатироваться неоднократно.
Проведенное нами исследование показало, что на 01.09.99 г. в России не
было зарегистрировано ни одного случая неправомерного доступа к
компьютерной информации, сопряженного с применением насилия или угрозой
его применения.
«Под механизмом преступления следует понимать систему процессов
взаимодействия участников преступления как прямых, так и косвенных,
между собой и с материальной средой, сопряженных с использованием
соответствующих орудий, средств и иных отдельных элементов обстановки».
См.: Кустов A.M. Теоретические основы криминалистического учения о
механизме преступления / Под ред. Р.С.Белкина. М., 1997.
См.: Сергеев В.В. Компьютерные преступления в банковской сфере //
Банковское дело. 1997. №2. С.27-28.
Безруков Н.Н. Компьютерные вирусы. М., 1991.
В отличие от загрузочных вирусов, которые практически всегда
резидентны, файловые вирусы могут быть нерезидентны.
Мостовой Д.Ю. Современные технологии борьбы с вирусами // Мир ПК. 1993.
№8.
IP-адрес – четырехбайтное число, однозначно идентифицирующее какой-либо
узел (компьютер) сети Интернет.
Белкин Р.С. Курс криминалистики: В 3 т. М., 1997. Т. 3. С 364.
См.: Белкин Р.С. Указ. раб. С 366-368.
При изучении более 200 уголовных дел по преступлениям в сфере
компьютерной информации нам ни разу не встретился подобный способ
сокрытия.
См.: Головин А.Ю., Мусаева У.А., Толстухина Т.В. Актуальные проблемы
расследования преступлений в сфере компьютерной информации. Тула, 2001.
С. 26.
Архив Нагатинского межмуниципального суда ЮАО г. Москвы. Уголовное дело
№ 123688-98
Куликов В.И. Обстановка совершения преступления и ее криминалистическое
значение: Автореф. дис. … канд. юрид. наук. М, 1983. С. 15.
Образцов В.А. Криминалистическая классификация преступлений.
Красноярск, 1988. С. 99.
Это связано с тем, что преступники проявляют большой интерес к местам
хранения и учета сведений о регистрации граждан по месту жительства
одиноких, престарелых граждан, а так же алкоголиков, наркоманов и пр.
Черных Э., Черных А. «Компьютерные» хищения: как их предотвратить? //
Юстиция. 1993. №3. С. 21.
Черных Э., Черных А. Указ. раб. С. 21.
В этой связи представляют интерес обобщенные сведения о потерпевшей
стороне, указанные профессором Е.Р.Российской. Рассматривая все
преступления в сфере компьютерной информации в целом, она подразделяет
потерпевших на три основные группы: собственники компьютерной системы,
клиенты, пользующиеся их услугами, иные лица. См.: Криминалистика / Под
ред. Р.С.Белкина. М, 1999. С. 952.
Под следами преступления понимаются любые изменения среды, возникшие в
результате совершения в этой среде преступления. См.: Белкин Р.С. Курс
криминалистики. В 3 т. Т. 2. М., 1997. С 57; В общей форме механизм
следообразования выглядит как воздействие на объекты следообразования,
что приводит к взаимодействию, в результате чего возникает следовой
контакт. Там же. С 61.
Касаткин А.В. Тактика собирания и использования компьютерной информации
при расследовании преступлений: Автореф. дисс… канд. юрид. наук. М.,
1997. С. 14.
Например, результаты работы широко распространенной антивирусной
программы «DrWeb»отражаются в файле «report, web», содержимое которого
можно легко просмотреть.
Под провайдером понимается фирма, предоставляющая услуги по доступу в
Интернет конкретным пользователям.
Например, изменение статуса файла (только чтение, архивный, скрытый,
системный).
Под конфигурацией компьютера понимается сочетание свойств отдельных
устройств ЭВМ. Программным обеспечением может предусматриваться
возможность изменения конфигурации. К примеру, «в системе Windows может
быть изменена конфигурация экрана (цвет, разрешение, расположение
пиктограмм и т.п.), конфигурация клавиатуры (изменение значения и
функций клавиш и их сочетаний) и др. В системах Windows и MS-DOS
существуют специальные файлы настройки конфигурации, считываемые
операционной системой при загрузке и восстанавливающие «рабочую среду»
пользователя, а так же «запоминающие», сделанные пользователем в ходе
сеанса работы изменения в конфигурации устройств» – Крылов В.В.
Информационные компьютерные преступления. М., 1997. С. 108.
«Операционная система – специальная программа, обеспечивающая
взаимодействие всех устройств ЭВМ между собой и с оператором
(пользователем). Это единственная программа, которая хранится в ОЗУ
компьютера в течение всего времени работы с ним до выключения питания».
См. Крылов В.В. Указ. раб. С. 95.
Механизм следообразования – это специфическая конкретная форма
протекания процесса, конечная фаза которого представляет собой
образование следа-отображения. Элементами этого механизма являются
объекты следообразования – следообразующий, следовоспринимающий,
вещество следа, следовой контакт как результат взаимодействия между ними
вследствие приложения энергии к объектам следообразования. См.:
Белкин Р.С. Курс криминалистики. В 3 т.М., 1997. Т.2. С. 61.
См.: Мещеряков В.А. Механизм следообразования при совершении
преступлений в сфере компьютерной информации // Известия Тульского
государственного университета. Вып. 3. Тула, 2000. С. 170-172.
Под информацией понимаются определенные сведения о лицах, предметах,
фактах, событиях, явлениях и процессах независимо от формы их
представления. См. ст. 1 Федерального закона «Об информации,
информатизации и защите информации» // Собрание законодательства
Российской Федерации. 1995. №8. Фт. 609.
Комментарий к Уголовному кодексу РФ / Под ред. В.М.Лебедева и
Ю.М.Скуратова. Особенная часть. М., 1996. С. 412.
Букин Д. Хакеры. О тех, кто делает это // Рынок ценных бумаг. 1997. №
23. С. 55.
По мнению некоторых ученых, используемый в криминалистике термин
«хакер» не совсем точно характеризует рассматриваемую группу лиц,
совершающих компьютерные преступления. В специальной литературе по
вопросам компьютерной безопасности, обращается внимание на разделение
всех профессионалов-компьютерщиков на две группы: уже упоминавшихся
«хакеров» и так называемых «кракеров». Фактически и те, и другие
занимаются поиском уязвимых мест в вычислительных системах и
осуществлением атак на данные системы («взломы»). Однако основная задача
«хакера» состоит в том, чтобы, исследуя вычислительную систему,
обнаружить слабые места в ее системе безопасности и информировать
пользователей и разработчиков системы с целью последующего устранения
найденных недостатков, внести предложения по ее усовершенствованию.
«Слово «хакер» во многих случаях обозначает талантливого
законопослушного программиста». «Кракер» же, осуществляя взлом
компьютерной системы, действует с целью получения несанкционированного
доступа к чужой информации. Мотивы этого могут быть различными:
хулиганские побуждения, озорство, месть, корыстные побуждения,
промышленный и иной шпионаж и пр. Таким образом, для обозначения одной
из основных групп лиц, совершающих преступления в сфере компьютерной
информации, предлагается использовать термин «кракер». См.: Головин А.Ю.
Криминалистическая характеристика лиц, совершающих преступления в сфере
компьютерной информации //
http://www.crime-research.org/library/Golovin.htm.
В информатике языки программирования подразделяются на языки высокого и
низкого уровней. Наибольшие возможности, в том числе и по созданию
языков программирования высокого уровня, имеют языки программирования
низкого уровня – программирование в машинных кодах (язык Ассемблер).
Специалисты по программированию в машинных кодах составляют элиту
программистов.
Букин Д. Указ. раб. С. 54-57; Букин Д. Underground киберпространства //
Рынок ценных бумаг. 1997. № 18. С. 104-108.
Криминалистика / Под ред. Р.С.Белкина. М.,1999. С.950-951.
Крылов В.В. Расследование преступлений в сфере компьютерной информации.
Криминалистика / Под ред. Н.П. Яблокова М., 1999. С. 620.
По материалам: hack.com.ua
Использованы данные Michel J. Palmiotto. Criminal investigation.
Nelson-Hall publishers. Chicago, 1994. P. 495-499.
Скоромников К. С. Особенности расследования неправомерного доступа к
компьютерной информации. Расследование преступлений повышенной
общественной опасности: Пособие для следователя / Под ред.
Н.А.Селиванова, А.И.Дворкина. М., 1998. С. 348-349.
По оценкам ведущих зарубежных и отечественных специалистов, 90 %
компьютерных преступлений остаются необнаруженными или о них не
сообщается в правоохранительные органы по различным причинам. См.:
Вехов Б.В. Указ. раб. С. 44; Сергеев В.В. Указ. раб. С. 26.
Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной
информации. М., 2001. С. 49.
Белкин Р.С. Курс криминалистики в 3 т. Т. 3. Гл. 6. М., 1991.С.
129-148.; Лузгин И.М. Методика изучения, оценки и разрешения исходных
следственных ситуаций. Исходные следственные ситуации и
криминалистические методы их разрешения: Сб. научных трудов. М., 1991.
С. 10-21.; Драпкин Л.Я. Общая характеристика следственных ситуаций.
Следственная ситуация. М., 1985. С. 13.; Колесниченко А.Н. Научные и
правовые основы расследования отдельных видов преступлений: Автореф.
дис…. д-ра юрид. наук. Харьков, 1967. С. 509, и др.
Лузгин И.М. Указ. раб. С. 14.
Под проверочными ситуациями в данном случае нами понимается обстановка,
сложившаяся на момент возбуждения уголовного дела. Проверочная ситуация
разрешается принятием одного из решений, предусмотренных ст. 145 УПК РФ:
о возбуждении уголовного дела; об отказе в возбуждении уголовного дела;
о передаче сообщения по подследственности в соответствии со ст. 151 УПК
РФ.
Крылов В.В. Расследование преступлений в сфере информации. М., 1998. С.
235.
Комментарий к Уголовно-процессуальному кодексу Российской Федерации /
Под общ. ред. В.В.Мозякова. М., 2002. С. 328.
Провайдер: организация, предоставляющая клиентам услуги по доступу в
Интернет.
Далее: имя пользователя – логин.
Инсталляция – процедура установки программного обеспечения на ПК
Архив Тверского межрайонного суда г. Москвы. Уголовное дело № 020374.
Архив Касимовского городского суда Рязанской области. Уголовное дело
1-170/99 г.
Архив Московского городского суда. Уголовное дело № 142067.
О расследовании данной категории уголовных дел более подробно см:
Егоров Г.А., Ващенко B.C., Кузнецов А.В. Учебное уголовное дело по ч.1
ст. 273 Уголовного кодекса Российской Федерации: Учебно-практическое
пособие. Иркутск, 2000.
Изучение следственной практики показало, что наиболее распространенными
условиями, способствовавшими совершению данного преступления, являются:
использование несертифицированного программного обеспечения;
использование нелегальных копий программ для ЭВМ; отсутствие резервных
копий программ и системных файлов; отсутствие учета и контроля за
доступом к компьютерным системам; использование компьютеров не по
назначению (для компьютерных игр, обучения посторонних, написания
программ лицами, в обязанности которых это не входит); нерегулярное
проведение антивирусной проверки компьютерной системы и машинных
носителей, и др.
По материалам ГСУ при ГУВД Свердловской области. Обвинительное
заключение по уголовному делу № 613104.
См.: Скоромников К.С. Расследование компьютерных преступлений.
Расследование преступлений повышенной общественной опасности. Пособие
для следователя / Под ред. Н.А.Селиванова и А.И.Дворкина. М., 1998. С.
377-386.
Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.
М., 2001. С. 350-358.
Об осмотре места происшествия по делам о преступлениях в сфере
компьютерной информации более подробно см. Белкин Р.С., Лившиц ЕМ.
Тактика следственных действий. М., 1997. Гл. 2.; Крылов В.В. Указ. соч.
С. 242; Веков Б.В. Компьютерные преступления. Способы совершения.
Методики расследования. М., 1996.С. 155-159.; Кушниренко С.П.,
Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной
информации по делам об экономических преступлениях. СПб., 1998. С.
29-35; Головин А.Ю., Коновалов С.И., Толстухина Т.В. Тактика осмотра и
обыска по делам о преступлениях в сфере компьютерной информации: Лекция.
Тула, 2002 и др.
Головин А.Ю., Коновалов С.И., Толстухина Т.В. Указ. раб. С. 12.
О подготовке к проведению осмотра места происшествия см.:
Винницкий Л.В. Осмотр места происшествия: организация, процессуальные и
тактические вопросы. Караганда., 1986. С. 18-36.
Это также относится и к обыску, выемке, следственному эксперименту,
проверке и уточнению показаний на месте и др.
Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза.
М., 2001. С. 93.
Касаткин А.В. Тактика собирания и использования компьютерной информации
при расследовании преступлений: Автореф. дис…. канд. юрид. наук. М.,
1997. С. 17-18.
См.: Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной
информации: Дис…. канд. юрид. наук. М., 2000. С. 73; Касаткин А.В.
Тактика собирания и использования компьютерной информации при
расследовании преступлений: Дис…. канд. юрид. наук. М.,1997. С. 91.
Осипенко М. Компьютеры и преступность // Информационный бюллетень НЦБ
Интерпола в Российской Федерации. 1994. № 10. С. 16.
Андрианов В.И., Бородин В.А., Соколов А.В. «Шпионские штучки» и
устройства защиты объектов информации: Справочное пособие. СПб., 1996.
С. 149-150.
Волеводз А. Г. Указ. раб. С. 164.
Корректные способы выключения компьютеров при их изъятии более подробно
см.: Российская Е.Р., Усов А.И. Судебная компьютерно-техническая
экспертиза. М., 2001. С. 399-411; Зубаха В.С., Усов А.И., Саенко Г.В.,
Волков Г.А., Белый С.Л., Семикаленова А.И. Общие положения по назначению
и производству компьютерно-технической экспертизы: Методические
рекомендации. М., 2000. С. 16-21.
Более подробно об изъятии и обращении с вещественными доказательствами,
предметами и документами см.: Инструкция о порядке изъятия, учета,
хранения и передачи вещественных доказательств по уголовным делам,
ценностей и иного имущества органами предварительного следствия,
дознания и судами: Утверждена Прокуратурой СССР, МВД, КГБ, Верховным
судом СССР № 34/15 18 октября 1989 г., с дополнением, внесенным
Генеральной прокуратурой, Верховным Судом, МЮ, МВД, ФСБ РФ
соответственно 23 августа 1995 г.; 7 сентября 1995 г.; 31 августа 1995
г.; 6 сентября 1995 г.; 1 сентября 1995 г.
Поскольку магнитные носители подвержены различным видам
электромагнитных воздействий, необходимо после снятия с них копий
обеспечивать особые условия их хранения. Эти условия должны предполагать
исключение влияния электромагнитных полей, рентгеновских и других видов
излучений. Для этого они помещаются в специальные контейнеры. Хранить
магнитные носители следует при комнатной температуре от 15-20 °С и
влажности воздуха от 50 – 70 %. Недопустимо подвергать носители прямому
воздействию солнечного света, делать на них надписи (допускается только
мягким карандашом или фломастером). Гибкие магнитные диски размером 5,25
необходимо хранить только в защитном конверте. Категорически запрещается
касаться магнитной поверхности диска.
О тактических и психологических приемах допроса более подробно см.:
Белкин Р.С., Лившиц Е.М. Указ. раб. С. 97-129.; Васильев А.Н.,
Карнеева Л.М. Тактика допроса при расследовании преступлений. М., 1970.;
Порубов Н.И. Тактика допроса на предварительном следствии. М., 1998.;
Леей А.А., Пичкалева Г.И., Селиванов Н.А. Проверка и получение показаний
следователем. М., 1987. С. 6-31.; Ефимичев С.П., Кулагин Н.И.,
Ямполъский А.Е. Допрос. Волгоград, 1978.; Шепитько В.Ю. Теоретические
проблемы систематизации тактических приемов в криминалистике. Харьков,
1995.; Доспулов Г.Г. Психология допроса на предварительном следствии.
М., 1976 и др.
Крылов В.В. Расследование преступлений в сфере компьютерной информации.
Криминалистика / Под ред. Н.П. Яблокова. М., 1999. С. 629.
Имеется в виду пополнение, получение новых версий и т.п.
О тактике очной ставки более подробно см.: Гаврилов А.К., Закатов А.А.
Очная ставка. Волгоград, 1978. С. 10-38; Закатов А.А., Цветков С.И.
Тактика допроса при расследовании преступлений, совершаемых
организованными преступными группами: Лекция. М., 1998. С. 29-34.
Закатов А.А. Психологические особенности очных ставок / Следственные
действия. М., 1994. С. 178-184.
О тактических приемах преодаления добросовестного заблуждения более
подробно см.: Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г.,
Российская Е.Р. Тактика допроса: Криминалистика / Под ред. Р.С.Белкина.
М., 1999. С. 600-608.
О подготовке к очной ставке более подробно см.: Гаврилов А.К.,
Закатов А.А Указ. раб. С. 14-22.
Сергеев Л.А. Очная ставка. – В кн. :Руководство для следователей. М.,
1971.С. 402.
Уголовно-процессуальный закон не требует получения такого согласия,
однако это желательно в целях обеспечения эффективности проведения
следственного действия.
Соловьев А.Б. Использование доказательств при допросе. М., 1981. С. 76.
О понятии и общих вопросах тактики обыска более подробно см.:
Долгинов С.Д. Использование обыска в раскрытии, расследовании и
предотвращении преступлений. М., 1997; Белкин Р.С., Лившиц ЕМ. Указ.
раб. С. 81 -97; Михайлов А.И., Юрин Е.С. Обыск. М., 1971 и др; О
тактических особенностях обыска по преступлениям в сфере компьютерной
информации см.: Шурухнов Н.Г., Левченко И.П., Лучин И.Н. Специфика
проведения обыска при изъятии компьютерной информации // Актуальные
проблемы совершенствования деятельности ОВД в новых экономических и
социальных условиях. М., 1997. С. 208-216; Шурухнов Н.Г., Лучин И.Н.
Методические рекомендации по изъятию компьютерной информации при
проведении обыска // Информационный бюллетень Следственного комитета МВД
РФ. М., 1996. № 4(89). С. 22-28; Кушниренко С.П., Панфилова Е.И. Указ.
раб. С. 19-26. и др.
См.: Головин А.Ю., Коновалов С.И., Толстухина Т.Е. Указ. раб. С. 23.
Если такая локальная сеть существует, то необходимо дополнительно
установить: кто на предприятии отвечает за сетевую систему и программное
обеспечение, т.е. является администратором системы; количество и типы
используемых серверов; количество и типы рабочих мест; типы используемых
операционных сетевых систем; прикладное программное обеспечение,
используемое в сети (например, сетевые базы данных, система
документооборота и пр.); наличие резервных копий серверных дисков и баз
данных и место их хранения; используются ли распределенные сети или
почтовые программы для связи с удаленными подразделениями организации
или с другими предприятиями; используются ли другие средства
компьютерной связи (например, модемы и радиомодемы, выделенные линии);
наличие выхода в Интернет и системы электронной почты.
Если это программист со стажем, то для изъятия и анализа компьютерной
информации может понадобиться специальное программное обеспечение для ее
поиска, просмотра, распаковки, расшифровки или иного исследования.
Местом обыска по делам о преступлениях в сфере компьютерной информации,
как правило, выступают жилые и служебные помещения: квартиры, дома
граждан, помещения государственных и негосударственных организаций,
предприятий и учреждений. Среди коммерческих организаций следует особо
отметить помещения фирм, занимающихся торговлей компьютерным
оборудованием и программным обеспечением, компьютерные центры,
Интернет-кафе, компьютерные классы учебных заведений, компьютерные
клубы. Обыск в таких помещениях осложняется большим количеством
компьютерной техники и оборудования, а так же присутствием посторонних
лиц. В этой связи дополнительными задачами следователя будут сбор
информации о персонале подобных организаций с целью не допустить
возможность осуществления противодействия расследованию с их стороны,
обеспечение безопасности компьютерного оборудования от случайных лиц,
привлечение к следственному действию достаточного для эффективного его
проведения числа специалистов. См.: Головин А.Ю., Коновалов С.И.,
Толстухина Т.В. Указ. раб. С. 25.
Зубаха В.С., Усов А.И., Саенко Г.В., Волков Г.А., Белый С.Л.,
Семикаленова А.И. Общие положения по назначению и производству
компьютерно-технической экспертизы: Методические рекомендации. М., 2000.
С. 15.
Об устройстве компьютера более подробно см.: Фигурнов В.Э. IBM PC для
пользователя. М., 1998.; Зинченко К.Е., Исмаилова Л.Ю., Караханъян А.Н.
и др. Компьютерные технологии в юридической деятельности: Учебное и
практическое пособие / Под ред. Н.С.Полевого, В.В.Крылова. М.,1994. С.
25-49 и др.
Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной
и информации // Законность. 1999. № 3.
Виртуальный или “псевдодиск” – это часть оперативной памяти, отведенная
для имитации работы несуществующего диска. За счет большой скорости
работы оперативной памяти пользователь получает виртуальный диск с очень
высокими характеристиками. Недостаток такого диска в том, что он (и вся
его информация) исчезает после выключения компьютера. Поэтому перед
выключением эта информация должна быть скопирована на магнитный
носитель. Обозначен такой диск всегда последней буквой в общем списке
дисков. Копирование осуществляется командой COPY.
Шурухнов Н.Г., Лучин И.Н. Указ. раб. С. 28
Особенности допроса в качестве подозреваемого более подробно см.:
Белкин Р.С., Лившиц Е.М. Указ. соч. С. 97-129.; Крылов В.В. Указ. раб.
С. 250-252.; Филиппов А.Г. Тактика допроса и очной ставки:
Криминалистика / Под ред. А.Г.Филиппова, А.Ф.Волынского. М., 1998. С.
289-291 и др.
Соловьев А.Б. Использование доказательств при допросе. М., 1981. С. 77.
См.: Карнеева Л.М., Статкус В.Ф. Предъявление обвинения. М., 1973. С.
10.
См.: Кулагин Н.И., Порубов Н.И. Организация и тактика допроса в
условиях конфликтной ситуации. Минск, 1977; Ратинов А.Р., Адамов Ю.П.
Лжесвидетельство. М., 1977 и др.
Более подробно о повышении эффективности производства допросов
обвиняемых см.: Казинян Г.С., Соловьев А.Б. Проблемы эффективности
следственных действий. Ереван, 1987. С. 76-86.
О понятии и целях следственного эксперимента см.: Белкин Р.С.,
Белкин А.Р. Эксперимент в уголовном судопроизводстве. М., 1997.;
Шурухнов Н.Г. Тактика следственного эксперимента. Криминалистика: Курс
лекций / Под ред. В.П.Лаврова. Вып. 7. М., 1997. С.
21-44.;Глазырин Ф.В., Крутиков АЛ. Следственный эксперимент. Волгоград,
1981.; Жукова Н.И, Жуков A.M. Производство следственного эксперимента.
Саратов, 1989. и др.
Выделяют следующие виды следственного эксперимента: а) по установлению
возможности наблюдения, восприятия какого-либо факта, явления; б) по
установлению возможности осуществления какого-либо действия; в) по
установлению возможности существования какого-либо явления; г) по
установлению отдельных деталей механизма события; д) по установлению
объекта процесса образования следов преступления. См.: Белкин Р.С.
Эксперимент в следственной, судебной и экспертной практике. М., 1964. С.
223.; Белкин Р.С., Белкин А.Р. Эксперимент в уголовном судопроизводстве.
М., 1997. С. 34.
В качестве таких операций могут рассматриваться копирование, удаление,
модификация информации. Кроме этого, отдельно фиксируется время на
запуск программ и время окончания работы.
Белкин Р.С., Лившиц Е.М. Тактика следственных действий. М., 1997. С.
136-151.; Шурухнов Н.Г. Тактика следственного эксперимента.
Криминалистика: Курс лекций / Под ред. В.П.Лаврова. Вып. 7. М., 1997. С.
3-20.
Белкин Р.С., Белкин А.Р. Указ. раб. С. 36.
Астапкина С.М., Дубровицкая Л.П., Плесовских Ю.Г. Участие
специалиста-криминалиста в расследовании преступлений. М., 1992. С.
55-57; Слепнева Л.И. Взаимодействие следователя ОВД с сотрудниками
криминалистических подразделений в процессе раскрытия и расследования
преступлений: Дис. … канд. юрид. наук. М., 1987 и др.
Куванов В.В. Реконструкция при расследовании преступлений. Караганда,
1978.; Лузгин И.М. Моделирование при расследовании преступлений. М.,
1981.
Существенное значение для результатов следственного эксперимента имеет
выбор места его проведения. При этом надо принимать во внимание
конкретные обстоятельства совершения данного преступления. Безусловно,
лучше всего проводить опыты там, где произошел неправомерный доступ.
Выяснение условий, в которых должен проходить следственный эксперимент,
может осуществляться различными путями. Во-первых, следователю
необходимо на допросах выяснить место, где происходило событие, время,
погодные и иные условия, обстановку, предметы, которые были на месте
преступления, какая компьютерная техника и программное обеспечение
использовались и др. Во-вторых, следователь должен внимательно
проанализировать результаты других процессуальных действий, которые
имеют отношение к решению вопроса о производстве эксперимента (например,
осмотр места происшествия, обыск и т.д.). К данным, помогающим получить
сведения по этим вопросам, могут относиться и оперативные, а также иная
информация, полученная от должностных лиц, граждан, предприятий,
организаций, учреждений.
См.: Глазырин В.Ф. Психологические особенности следственного
эксперимента. Следственные действия. М, 1994. С. 208-212.
В случаях, когда возникает необходимость проверить возможность
совершения определенных действий обвиняемым (обладающим определенными
навыками работы с компьютером), проводить следственный эксперимент
необходимо с его непосредственным участием.
Разглашение сведений о мерах безопасности, применяемых в отношении
участников уголовного процесса влечет уголовную ответственность по ст.
311 УК РФ «Разглашение сведений о мерах безопасности, применяемых в
отношении судьи и участников уголовного процесса».
Марченко С.Л. Обеспечение безопасности участников уголовного процесса:
Автореф. дисс. … канд. юрид.наук. М.,1994. С. 15-16.
Бобраков И.А. Воздействие преступников на свидетелей и потерпевших и
криминалистические методы его преодоления: Автореф. дисс. … канд.
юрид. наук. М, 1997. С. 15.
При этом следователь от указанных лиц отбирает подписку с
предупреждением об ответственности по статье 310 Уголовного кодекса
Российской Федерации «Разглашение данных предварительного
расследования».
Григорьев В.Н. Расследование преступлений в чрезвычайных условиях. М.,
1994. С. 151-158.
О подготовке к следственному эксперименту более подробно см.:
Белкин Р.С., Белкин А.Р. Эксперимент в уголовном судопроизводстве. М.,
1997. С. 42-48.; Шурухнов Н.Г. Указ.раб. С. 12-17.
О перечисленных экспертизах более подробно см.: Российская Е.Р.
Криминалистика. М., 1999. С. 220-237\ Российская Е.Р. Судебная
экспертиза в уголовном, гражданском, арбитражном процессе. М., 1996. С.
63-115, 116-140, 198-210; Корухов Ю.Г. Современные возможности судебных
экспертиз. Криминалистическое обеспечение деятельности криминальной
милиции и органов предварительного расследования / Под ред.
Т.В.Аверьяновой, Р.С.Белкина. М., 1997. С. 159-200; Аверьянова Т.В.,
Белкин Р.С., Волынский А.Ф. и др. Криминалистическая экспертиза:
возникновение, становление, тенденции развития. М., 1994;
Аверьянова Т.В. Интеграция и дифференциация научных знаний как источники
и основы новых методов судебной экспертизы. М., 1994. и др.; О
заключении эксперта как источнике доказательств см.: Постановление
Пленума Верховного Суда СССР № 1 от 16 марта 1971 г. «О судебной
экспертизе по уголовным делам» / Бюллетень Верховного суда СССР, 1971. №
2. С. 6-8.
Российская Е.Р., Усов А.И. Указ. раб. С. 121.
Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной
информации: Дисс… канд. юрид. наук. М., 2000; Гаврилин Ю.В.
Расследование неправомерного доступа к компьютерной информации. М.,
2001.
Катков С.А. Назначение экспертизы по восстановлению содержания
документов на магнитных носителях ЭВМ / Проблемы криминалистической
теории и практики. М., 1995. С. 149-155.
Архив Новомосковского районного суда Тульской области. Уголовное дело
№21-1-1025-97.
О криминалистической диагностике более подробно см.: Дубровин С.В.
Криминалистическая диагностика. М., 1989; Корухов Ю.Г.
Криминалистическая диагностика при расследовании преступлений:
Научно-практическое пособие. М., 1998.
О криминалистической идентификации более подробно см.: Лузгин И.М.,
Хазиев Ш.Р. Криминалистическая идентификация и диагностика и их
использование в раскрытии и расследовании преступлений: Лекции по
криминалистике. М., 1992; Терзиев Н.В. Идентификация и определение
родовой (групповой) принадлежности. М., 1961; Колдин В.Я. Идентификация
и ее роль в установлении истины по уголовным делам. М., 1969 и др.
Как справедливо отмечают авторы учебника “Криминалистика”, данный
вопрос решается комплексно при производстве компьютерно-технической и
автороведческой экспертизы. См.: Аверьянова Т.Е., Белкин Р.С.,
Корухов Ю.Г., Российская Е.Р. Криминалистика / Под ред. Р.С. Белкина.
М., 1999. С. 962.
Родионов А.Н., Кузнецов А.В. Расследование преступлений в области
высоких технологий // Вестник МВД России. 1999. № 6. С. 67.;
Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Российская Е.Р. Указ.раб. С.
962.
Агафонов В.В., Филиппов А.Г. Некоторое дискуссионные вопросы
использования заключения эксперта как средство доказывания по уголовным
делам. Соотношение и связи криминалистики и теории оперативно-розыскной
деятельности органов внутренних дел. Краснодар, 1996. С. 54.
Коммисаров А.Ю. Материалы Первой международной конференции Интерпола по
компьютерной преступности // Информационный бюллетень Национальное бюро
Интерпола в Российской Федерации. М., 1995. № 14. С. 29.
А.Я.Гинзбург по объектам выделяет следующие виды предъявления для
опознания: живых лиц; трупа; движимых предметов; недвижимого объекта;
уникального предмета, объекта; аудиоматериалов, кино-, фото-,
видеоизображений. См.: Гинзбург А.Я. Опознание в следственной,
оперативно-розыскной и экспертной практике: Учебно-практическое пособие
/ Под ред. Р.С.Белкина. М., 1996. С. 17-18.
Основными отличительными признаками носителей компьютерной информации
являются различные условные обозначения, пометки на дискетах и т.п. Сами
же носители информации (дискеты, CD ROM-диски и пр.) по внешним
признакам одинаковы.
Более подробно о предъявлении для опознания см.: Кочаров Г.И. Опознание
на предварительном следствии. М., 1955.; Белкин Р.С., Лившиц Е.М. Указ,
раб. С. 152-161.; Гинзбург А.Я. Указ.раб.; Леей А.А., Пичкалева Г.И.,
Селиванов Н.А. Проверка и получение показаний следователем. М., 1987. С.
35-63.
Гл. 1 настоящей работы.
Исключение составляет только предъявление для опознания трупов.
Если опознающий может опознать дискету (тип дискеты, наименование
программного продукта, упаковку и т.п.), целесообразно сначала
предъявить ее для опознания в традиционном порядке, а затем переходить к
опознанию самой программы.
Вопрос о предъявлении для опознании при помощи ЭВМ уже рассматривался в
литературе. Так, В.Н.Григорьев предлагает вводить в память ЭВМ словесные
портреты всех подозреваемых. Затем, по указанным следователем приметам
из их числа отбираются те, которые необходимо реально предъявить для
опознания. Данный прием может использоваться при организации опознания
вещей. См.: Григорьев В.Н. Расследование преступлений в чрезвычайных
условиях. М., 1994. С. 163.
Такой вид предъявления для опознания ошибочно именуют проверкой или
уточнением показаний на месте или следственным экспериментом
следственным экспериментом, хотя при этом не воспроизводятся обстановка
или отдельные обстоятельства события.
О предъявлении на опознание по фотоизображениям более подробно см.:
Григорьев В.Н. Указ. раб. С. 161-164.
Белкин Р.С., Лившиц Е.М. Указ. раб. С. 129-136.; Дубровина А.Н.,
Фефилатъев А.В. Некоторые проблемы системы следственных действий: Лекции
по криминалистике / Под ред. В.П.Лаврова. М., 1992. С. 47-48;
Соя-Серко Л.А. Проверка показаний на месте. М., 1966. С. 15;
Хлынцов Н.Н. Проверка показаний на месте. Саратов, 1971; Шурухнов Н.Г.
Тактика проверки и уточнения показаний на месте. Криминалистика: Курс
лекций / Под ред. В.П.Лаврова. Вып. 7. М., 1997. С. 21-44; и др.
См.: Шурухнов Н.Г. Тактика проверки и уточнения показаний на месте.
Криминалистика: Курс лекций / Под ред. В.П.Лаврова. Вып. 7. М., 1997. С.
21.
Л.А.Соя-Серко указывает четыре ситуации, в которых возникает
необходимость в проверке и уточнении показаний на месте: а) в показаниях
допрошенного лица есть данные о значимом месте или маршруте, которые он
не смог назвать или описать так, чтобы следователь получил о них полное
представление, исключающее необходимость их непосредственного
восприятия; б) в показаниях допрошенного лица содержатся сведения о
местонахождении каких-либо предметов, могущих служить вещественными
доказательствами по делу; в) нужно сопоставить показания двух или более
лиц относительно события, происшедшего в определенном месте, или
маршрута следования к этому месту; г) в показаниях допрошенного лица
содержатся сведения об обстановке места, где произошло расследуемое
событие. См.: Соя-Серко Л.А. Проверка показаний на месте. М., 1966. С.
16-17.
О подготовке к проверке и уточнению показаний на месте более подробно
см.: Шурухнов Н.Г. Указ. раб. С. 25-33.
Более подробно о изучении личности обвиняемого см.: Глозырин Ф.В.
Изучение личности обвиняемого и тактика следственных действий.
Свердловск, 1973.; Коченов М.М., Ефимова Н.И., Кривошеее А.С.,
Ситковская О.Д. Изучение следователем психологии обвиняемого:
Методическое пособие. М., 1987.; Цветков П.П. Исследование личности
обвиняемого. М., 1973.; Ведерников Н.Т. Личность обвиняемого и
подсудимого (понятие, предмет и методика изучения). Томск, 1978 и др.
Шурухнов Н.Г. Указ. раб. С. 26-27.
«Пункт – место, в точности означенное», Даль В. Толковый словарь живого
русского языка. Том 3. М., 1980. С. 536.
Л.А.Соя-Серко перечисляет эти «опорные пункты». При этом под “опорными
пунктами” понимаются своеобразные разделы, элементы маршрута,
характеризующие отдельные этапы исследуемого события. Соя-Серко Л.А.
Проверка показаний на месте. М., 1966. С. 39.
Астапкина С.М., Дубровицкая Л.П., Плесовских Ю.Г. Указ. раб. С. 5-13.
174
О тактических особенностях проверки и уточнения показаний на месте
более подробно см.: Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г.,
Российская Е.Р. Указ. раб. С. 629-631.; Шурухнов Н.Г. Указ. раб. С.
33-41 и др.
Зуев Е.И. Криминалистическое понятие микрообъектов, особенности их
обнаружения, фиксации и исследования / Криминалистика (актуальные
проблемы) / Под ред. Е.И.Зуева. М., 1988. С. 77-89; Розенталъ М.Я.
Теория и практика использования микрочастиц в расследовании тяжких
преступлений против личности. Красноярск, 1993; и др.
О криминалистических средствах и методах выявления причин и условий
совершения преступлений см.: Ваксян А.З. Деятельность следователя по
предупреждению преступлений: Руководство для следователей / Под ред.
Н.А.Селиванова, В.А.Снеткова. М., 1997. С. 97-103; Аверьянова Т.В.,
Белкин Р.С., Корухов Ю.Г., Российская Е.Р. Криминалистика. М., 1999. С.
964-969.; и др.
Закатов А.А. Криминалистическое учение о розыске. Криминалистика / Под
ред. Р.С.Белкина, В.Г.Коломацкого, И.М.Лузгина. М, 1995. С. 188-189.
Белкин Р.С. Очерки криминалистической тактики. Волгоград, 1993. С. 42.
Белкин Р.С. Курс криминалистики. В 3 т., М., 1997. Т. 2. С.216.
Криминалистика / Под ред. Р.С.Белкина. М., 1999. С. 483.
Белкин Р.С. Криминалистическая энциклопедия. М., 1997. С. 151;
Сырков С.М. Орудие преступления: Автореф. дисс….канд. юрид. наук. Л.,
1973. С.7.
Уголовное дело 1-503/98. Архив суда района им.Лазо Хабаровского края.
Криминалистика / Под ред. Р.С.Белкина. М., 1999. С.945.
Касаткин А.В. Тактика собирания и использования компьютерной информации
при расследовании преступлений: Дисс… канд. юрид. наук. М., 1997;
Крылов В. Информационные преступления – новый криминалистический объект
// Российская юстиция. 1997. №4.
Сереброва С.П. Использование компьютерной информации при расследовании
преступлений в сфере экономики // Российский следователь. 2000. №4. С.5.
Большая юридическая энциклопедия. Электронный правовой справочник. М.,
1998.
Кукарникова Т.Э. Некоторые проблемы правового регулирования
электронного документооборота // Воронежские криминалистические чтения.
Вып. 1. Воронеж, 2000. С.111.
Сереброва С.П. Указ. раб. С.6.
Виртуальная статья // Молодой коммунар, от 9 сентября 2000 г.
Уголовное дело 16496. Архив Краснооктябрьского районного суда
г.Волгограда.
Скоромников К.С. Особенности расследования неправомерного доступа к
компьютерной информации: Пособие для следователей. Расследование
преступлений повышенной опасности. М., 1998. С.354.
Значительный вклад в развитие криминалистического учения о розыске
внесли Р.С.Белкин, А.А.Закатов, Е.Ф.Коновалов, Н.Г.Шурухнов и другие
ученые-криминалисты (См.: Белкин Р.С. Курс криминалистики. В 3 т. М.,
1997 Т.2.; Закатов А.А Криминалистическое учение о розыске. Волгоград,
1988; Коновалов Е.Ф. Розыскная деятельность следователя. М., 1973;
Шурухнов Н.Г. Розыскная и поисковая деятельность следователя.
Криминалистика / Под ред. А.Ф.Волынского. М., 1999).
Шурухнов Н.Г. Указ. раб. С. 262-263.
Белкин Р.С. Курс криминалистики. В 3 т. М.,1997. Т.2. С. 227.
Уголовное дело №176709. Архив Чкаловского районного суда
г.Екатеринбурга.
Уголовное дело №45536. Архив Октябрьского районного суда г. Саратова.
Доспулов Г.Г. Оптимизация предварительного следствия. Алма-Ата, 1984.С.
102.
Учитывая специфику преступлений в сфере компьютерной информации,
розыскную работу по данной категории дел должны производить специально
созданные подразделения МВД России по борьбе с преступлениями в сфере
высоких технологий.
Белкин Р.С. Курс криминалистики. Т.2.С.227.
Белкин Р.С. Курс криминалистики. Т.2. С.219.
Белкин А.Р. Указ. раб. С.332.
См.: Закатов А.А. Розыскная работа следователя. Криминалистика / Под
ред. А.Г.Филиппова, А.Ф.Волынского. М.,1998. С.214.
Белкин А.Р. Указ. раб. С.332.
Постановление Правительства РФ №1190 от 14 октября 1996г.// Собрание
законодательства . 1996,№43.Ст.4916.
Приказ МВД России №10 от 11 января 1994 г.// Вопросы расследования
преступлений. Справочное пособие /Под ред. И.Н.Кожевникова. М., 1997. С.
207.
Действия, направленные на получение исходной информации для розыска,
также относятся к числу розыскных (см.: Криминалистика / Под ред.
Р.С.Белкина. М., 1999. С. 488).
Подробнее о предмете, задачах и объектах компьютерно-технической
экспертизы см.: Российская Е.Р., Усов А.И. Судебная
компьютерно-техническая экспертиза. М., 2001.
Такое описание может иметься в технической документации, изъятой в ходе
следственных действий, протоколах допросов и т.д.
В настоящее время существуют возможности идентификации автора того или
иного компьютерного документа. В частности, в
экспертно-криминалистическом центре МВД РФ создана методика
идентификации оператора ЭВМ по его «компьютерному почерку» (см.:
Коммисаров А.Ю. Материалы Международной конференции Интерпола по
компьютерной преступности // Информационный бюллетень №14. М., 1995. С.
29). Вопрос об авторстве компьютерного документа также может решаться в
ходе комплексной компьютерно-технической и автороведческой экспертизы
(см.: Криминалистика / Под ред. Р.С.Белкина. М., 1999. С. 962).
Агафонов В.В., Филиппов А.Г. Некоторое дискуссионные вопросы
использования заключения эксперта как средство доказывания по уголовным
делам. // Соотношение и связи криминалистики и теории
оперативно-розыскной деятельности органов внутренних дел. Краснодар,
1996. С. 54; Белкин Р.С., Белкин А.Р. Эксперимент в уголовном
судопроизводстве. М., 1997. С. 35.
Белкин Р.С., Белкин А.Р. Указ. раб. С.63.
Бордиповский Э.И. Раскрытие неочевидных преступлений. М., 1991. С.57.
Подробнее об использовании криминалистических учетов в раскрытии
компьютерных преступлений см.: Расследование неправомерного доступа к
компьютерной информации / Под ред. Н.Г.Шурухнова. М., 1999. С. 153-157.
См.: Лавров В.П., Сидоров В.Е. Расследование преступлений по горячим
следам. М., 1989. С. 47.
К числу свидетелей-очевидцев следует относить лиц, которые не только
видели преступника в месте, где совершено преступление, но и на путях
подхода к нему или отхода от него, с какими-либо предметами,
относящимися к расследуемому преступлению.
Под электронным информационным полем понимается массив данных,
содержащихся на различных машинных (электронных) носителях, могущих
выступать в качестве доказательств по делу, либо указывать на факт
совершения компьютерного преступления или местонахождение искомой
компьютерной информации.
См.: Айков Д., Сейгер К, Фонстрох У. Компьютерные преступления. М.,
1999. С.97.
По материалам прокуратуры г.Чебоксары.
Интересен опыт некоторых западных стран, в которых компания–провайдер
может быть подвергнута судебному преследованию, если она не принимает
мер против своих клиентов, нарушивших закон (см.: Полицейские ищут
преступников в «электронных джунглях»// Вестник МВД России. 1998. №4. С.
104).
Гаврилин Ю.В. Зарубежный опыт расследования преступлений в сети
Интернет // Известия ТулГУ. Сер.: «Современные проблемы законодательства
России, юридических наук и правоохранительной деятельности». Вып.З.
Тула, 2000. С. 138.
Уголовное дело №73313. Архив СО Советского РУВД г. Новосибирска.
В криминалистической литературе указывается, что сходные способы
преступления могут быть свойственны не только одному и тому же лицу. Они
могут использоваться и различными лицами как связанными, так и не
связанными между собой (См.: Зуйков Г.Г. Поиск преступника по признакам
способов совершения преступления. М., 1970). Это обстоятельство, на наш
взгляд, необходимо учитывать и при сборе розыскных сведений в ходе
расследования преступлений в сфере компьютерной информации, поскольку в
последнее время в свободной продаже часто появляются издания,
представляющие собой, по сути, руководство по совершению компьютерных
преступлений (например, «Как стать хакером», «Хакерские штучки» и т.д.).
Аналогичные издания распространяются и на технических носителях, а также
в сети «Интернет». При их использовании различные лица будут
реализовывать фактически одни и те же способы компьютерного
преступления.
Уголовное дело №2645. Архив Мотовилихинского районного суда Пермской
области.
В западных странах подразделения правоохранительных органов,
занимающихся борьбой с компьютерными преступлениями («электронные
полицейские») имеют специальные электронные координаты («странички»),
позволяющие напрямую получать различную информацию о преступлениях от
добровольных помощников (См.: Полицейские ищут преступников в
«электронных джунглях» // Вестник МВД России. 1998. №4. С. 104).
Панфилова Е.И., Попов А.С. Компьютерные преступления. СПб., 1998.
С.7-11.
Волеводз А.Г. Противодействие компьютерным преступлениям: правовые
основы международного сотрудничества. М., 2002. С. 218.
Европейская Конвенция о взаимной правовой помощи по уголовным делам от
20 апреля 1959 г. (ст. 5) // Бюллетень международных договоров. 2000.
№9. С. 51-59.
Волеводз А.Г. Указ. раб. С. 225-227.
Руководство Организации Объединенных Наций по предупреждению
преступлений, связанных с применением компьютеров, и борьбе с ними //
Международный обзор уголовной политики. 1994. Нью-Йорк: ООН, № 43, 44.
С. 50.
См.: Венская декларация о преступности и правосудии: ответы на вызовы
XXI века. Вена, 2000 г. 10-17 апреля
Конвенция Организации Объединенных наций против транснациональной
организованной преступности //Десятый конгресс ООН по предупреждению
преступности и обращению с правонарушителями: Сборник документов / Сост.
Волеводз А.Г. М., 2001. С. 427-466.
Рекомендация № R (85)10 Комитета Министров стран – членов Совета Европы
по практическому применению положений Европейской конвенции о взаимной
правовой помощи по уголовным делам касательно судебных поручений о
перехвате телекоммуникационных сообщений; Рекомендация № R (87)15 о
регулировании использования персональных данных в полицейском секторе;
Рекомендация № R (94) 4 о защите персональных данных в сфере
телекоммуникационных услуг, связанных с телефонными переговорами;
Рекомендация № R (88) 2 о борьбе с пиратством в области авторского права
и смежных прав; Рекомендация № R (95)13 по проблемам
уголовно-процессуального права, связанным с информационными
технологиями.
Согласно Федеральному закону от 15 ноября 1997 г. № 143-ФЗ сведения,
ставшие известными работнику органа записи актов гражданского состояния
в связи с государственной регистрацией акта гражданского состояния,
являются персональными данными.
О сборе, хранении, использовании и распространении информации о частной
жизни см. Конституцию РФ от 12 декабря 1993 г.
Нашли опечатку? Выделите и нажмите CTRL+Enter
