Особенности Расследования преступлений в сфере компьютерной информации и высоких технологий.
Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений.
При расследовании преступлений с использованием компьютерных технологий, которые совершаются не только в физическом, но и в электронном мире, основой установления истины по уголовному делу является процесс доказывания, который состоит в собирании, проверке и оценке доказательств.
Вещественными доказательствами являются любые предметы, в том числе документы, которые могут служить средствами для обнаружения преступления и установления обстоятельств уголовного дела (ч. 1 ст. 81 УПК РФ). Документы могут содержать сведения, зафиксированные как в письменном, так и в ином виде. К ним следует отнести носителей информации, полученных компетентными лицами в ходе производства следственных и иных процессуальных действиях. Компьютерную информацию в процессе доказывания следует рассматривать как документ, поскольку она обладает признаками документов:
1. Компьютерная информация исходит от органов государственной власти, органов местного самоуправления, общественных объединений и организаций, учреждений, предприятий, должностных лиц и граждан, которые обязаны в установленном порядке предоставлять запрашиваемые документы или их копии.
2. Компьютерную информацию, запечатлённую на магнитном носителе, следует считать доказательством, в том случае если сведения о фактах, изложенных в ней, служат средствами для обнаружения преступления и имеют значение для установления обстоятельств уголовного дела.
3. Компьютерная информация приобретает значение доказательств, когда она отвечает требованиям допустимости.
Доказательства, полученные с нарушением требований УПК РФ, являются недопустимыми, они не имеют юридической силы и не могут быть положены в основу обвинения.
Компьютерная информация может использоваться в качестве доказательства по уголовному делу вследствие запросов суда, прокурора, следователя, дознавателя или изъятия её во время следственных действий.
Учитывая, что практического опыта следователя, как правило, не достаточно для расследования преступлений в виртуальном мире, то при проведении следственных действий необходимо обратиться к помощи специалиста, который бы обладал специальными знаниями в области кибернетики и информатики с целью получения фактических данных, содержащихся в памяти компьютера и компьютерной документации.
Помощью специалиста следует воспользоваться до возбуждения уголовного дела при осмотре места происшествия, связанного с совершением преступлений в компьютерных сетях, что вызвано необходимостью обнаружения и закрепления следов преступления. После возбуждения уголовного дела, знания специалиста помогут проследить цепь сеансов связи от того компьютера, где найдены следы преступления, до компьютера на котором работал подозреваемый. Для сбора доказательств виновности лица в совершении преступления с использованием глобальных компьютерных сетей, следователю следует провести выемку или обыск, прибегая к помощи специалиста с целью получения документированной информации в виде LOG-файлов в соответствии с требованием ч.4 ст. 32 Федерального закона №15 «О связи» от 16 февраля 1995 года. Но, здесь существует проблема, которая требует законодательного разрешения, поскольку изъятие информации – «виртуальных следов» при обыске или выемке не могут обеспечить их сохранность в том виде, в каком они обнаружены. Возможно, произвести лишь копирование этой информации, в результате чего неминуемо произойдут изменения в файле связанные с датой и временем данной операции, замещаясь временем самого копирования, что влечёт утрату информации о фактической дате и времени копируемого файла. Неурегулированность данного обстоятельства в нормах УПК РФ и других законодательных актах является существенным препятствием признания копируемой информации доказательством по уголовному делу. Не часто, но иногда появляется возможность вместо копирования информации произвести выемку системного блока либо других аппаратных средств компьютерной техники с целью проведения экспертных исследований и получения заключения эксперта, что признаётся доказательством. Но, такая возможность может появиться лишь, в случае если эти действия не послужат причиной материального ущерба в отношении пользователей локальной сети, а также, если преступление совершается на территории России, что относится в полной мере и в отношении серверов и провайдеров. Изъятие технических средств невозможно, когда преступление совершается в глобальных компьютерных сетях, а «виртуальные следы» имеются лишь в сегментах этих сетей за пределами нашего государства.
Принципиальная схема организации взлома защитных механизмов информационных системы достаточно однотипна. Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Они снимают квартиру на подставное лицо, подкупают сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников МВД. Чаще всего взлом компьютерной сети осуществляется рано утром, когда дежурный службы безопасности теряет свою бдительность, а вызов помощи затруднен. Может быть предложена некоторая общая схема расследования преступления, связанного с неправомерным доступом к компьютерной информации.
В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:
· установление факта неправомерного доступа к информации в компьютерной системе или сети;
· установление места несанкционированного проникновения в компьютерную систему или сеть;
· установление времени совершения преступления;
· установление надежности средств защиты компьютерной информации;
· установление способа несанкционированного доступа;
· установление лиц, совершивших неправомерный доступ, их виновности и мотивов преступления;
· установление вредных последствий преступления;
· выявление обстоятельств, способствовавших преступлению.
На признаки несанкционированного доступа или подготовки к нему могут указывать следующие очевидные обстоятельства: появление в компьютере фальшивых данных; не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств; частые сбои в процессе работы компьютеров; участившиеся жалобы клиентов компьютерной системы или сети; осуществление сверхурочных работ без видимых на то причин; немотивированные отказы некоторых сотрудников, обслуживающих компьютерные системы или сети, от отпусков; неожиданное приобретение сотрудником домашнего дорогостоящего компьютера; чистые дискеты либо диски, принесенные на работу сотрудниками компьютерной системы под сомнительным предлогом перезаписи программ для компьютерных игр; участившиеся случаи перезаписи отдельных данных без серьезных на то причин; чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров и т.д.
Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа, не входящих в данную информационную систему или сеть, на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов. Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы. Перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.
Несанкционированный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).
Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен. При расследовании компьютерных преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, целесообразно применять следующую последовательность действий:
· установление факта и способа создания вредоносной программы для ЭВМ;
· установление факта использования и распространения вредоносной программы;
· установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ;
· установление вреда, причиненного данным преступлением;
· установление обстоятельств, способствовавших совершению расследуемого преступления.
При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, необходимо прежде всего доказать факт нарушения определенных правил, повлекший уничтожение, блокирование или модификацию охраняемой законом компьютерной информации и причинивший существенный вред. Кроме того, необходимо установить и доказать:
· место и время (период времени) нарушения правил эксплуатации ЭВМ;
· характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации вследствие нарушения правил эксплуатации компьютерной системы или сети;
· способ и механизм нарушения правил;
· характер и размер ущерба, причиненного преступлением;
· факт нарушения правил определенны лицом;
· виновность лица, допустившего преступное нарушение правил эксплуатации ЭBM;
· обстоятельства, способствовавшие совершению расследуемого преступления.
К сожалению следственные действия проводимые в соответствии с уголовно-процессуальным законодательством не всегда эффективны при сборе необходимой информации при расследовании компьютерных преступлений, поскольку сама информация может быть уничтожена в кратчайшие сроки заинтересованными лицами.
Для недопущения сокрытия следов преступления, имеется реальная возможность для отслеживания, фильтрации необходимой информации и установления виновного, с применением «ловушек» в системе оперативно-розыскных мероприятий на сетях электросвязи, что позволяет с помощью технических средств осуществлять её перехват.
Правовым основанием проведения оперативно-розыскных мероприятий с целью прослушивания телефонных переговоров и изъятия информации с линий связи являются Федеральные законы: «Об оперативно-розыскной деятельности», «Об упорядочении организации и проведения оперативно-розыскных мероприятий с использованием технических средств», «Об органах Федеральной службы безопасности», «О связи», которые могут использоваться МВД, ФСБ и другими компетентными органами Российской Федерации.
В соответствии со ст. 7 Федерального закона «Об оперативно-розыскной деятельности» проведение оперативно-розыскных мероприятий возможно при следующих основаниях:
1. наличии возбуждённого уголовного дела;
2. ставшие известными органам, осуществляющим оперативно-розыскную деятельность, сведения о: 1) признаках подготавливаемого, совершаемого или совершённого противоправного деяния, а также о лицах, его подготавливающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела; 2) событиях или действиях, создающих угрозу государственной, военной, экономической или экологической безопасности Российской Федерации; 3) лицах, скрывающихся от органов дознания, следствия и суда или уклоняющихся от уголовного наказания; 4) лицах, без вести пропавших, и об обнаружении неопознанных трупов;
3. поручения следователя, органа дознания, указания прокурора или определения суда по уголовным делам, находящимся в их производстве;
4. запросы других органов, осуществляющих оперативно-розыскную деятельность;
5. постановление о применении мер безопасности в отношении защищаемых лиц;
6. запросы международных правоохранительных организаций и правоохранительных органов иностранных государств в соответствии с международными договорами Российской Федерации.
Законодателем в данной статье не указано основание для проведения оперативно-розыскных мероприятий с целью получения первичной информации о лицах и фактах, представляющих оперативный интерес. Особенно это необходимо в связи с расследованием компьютерных преступлений, для выявления лиц подготавливающих или совершивших преступления с использованием компьютерных сетей.
Следует также обратить внимание на неурегулированность п.6 ч.2 ст.7 данного закона в отношении запросов международных правоохранительных организаций и правоохранительных органов иностранных государств, поскольку в международных договорах нет нормативных указаний об осуществлении каким-либо государством за границей оперативно-розыскных мероприятий и порядке её закрепления.
Законом установлены особые условия для проведения оперативно-розыскных мероприятий, ограничивающих конституционные права человека и гражданина (ст. 8 Федерального закона «Об оперативно-розыскной деятельности») на тайну переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, передаваемых по сетям электрической и почтовой связи, а также права на неприкосновенность жилища, допускается на основании судебного решения и при наличии информации.
Уголовно-процессуальный кодекс РФ значительно расширил компетенцию суда. Аресты и обыски применяются уже не с санкции прокурора, а по решению суда, что требует увеличения дополнительных штатов, а также денежных средств для обеспечения деятельности и без того перегруженных судей. И, если в пояснительной записке по поводу расширения компетенции суда предусмотрено увеличение штата сотрудников, то в отношении отыскания дополнительных бюджетных средств для работы судей речи не ведётся. Закон не подкреплённый деньгами не может быть прогрессивным в отношении населения государства, поскольку становится мертвым.
Высокие требования, предъявляемые к процедуре расследования преступлений в сфере высоких технологий, требуют законодательного урегулирования этой проблемы путём внесения изменений и дополнений в уголовно-процессуальной законодательство Российской Федерации.