ПРОБЛЕМЫ РАССЛЕДОВАНИЯ И РАСКРЫТИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Проблемы расследования и раскрытия компьютерных преступлений.

К особенностям расследования компьютерных преступлений можно отнести:

  • специфические приемы работы (осмотры, изъятие, хранение и т.п.) с компьютерами, программным обеспечением и машинными носителями информации;

  • особенности выдвижения и проверки следственных действий;

  • привлечение при проведении оперативно-розыскных и следственных действий специалистов в области применения информационных технологий.

Следует отметить, что в перечне криминалистических специальностей, организованном по объектно-ориентированному принципу, до сих пор отсутствует специальность, отражающая специфику подобных исследований. Между тем следственная практика нуждается в методологическом обеспечении раскрытия преступлений, одним из эпизодов в которых является использование компьютера.

Необходимость разработки такой методологии обусловлена отсутствием научно-обоснованных технико-криминалистических средств, тактических приемов и рекомендаций по поиску, сбору, фиксации, хранению, исследованию и использованию доказательств, полученных в результате расследования уголовных дел, связанных с применением вычислительной техники.
В настоящее время глава 28 (о компьютерных преступлениях) Уголовного кодекса РФ не может "работать" в полном объеме из-за отсутствия специалистов среди сотрудников правоохранительных органов.

Компьютерные преступления по своей сути можно отнести к преступлениям высокого интеллектуального уровня, следовательно, и борьба с ними должна осуществляться адекватными мерами.

Поэтому одной из важных проблем является повышение уровня специальной криминалистической подготовки следователей, которым предстоит проводить расследования компьютерных преступлений.

Эта проблема должна решаться, в первую очередь, в учебных заведениях. Для этого требуется специальная целевая программа, предусматривающая подготовку соответствующих специалистов.

Методика раскрытия и расследования компьютерных преступлений

В настоящее время перед правоохранительными органами при расследовании компьютерных преступлений возникают криминалистические проблемы, характеризующие одновременно и специфику этого процесса, а именно:

1) сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела;

2) сложность в подготовке и проведении отдельных следственных действий;

3) особенности выбора и назначения необходимых судебных экспертиз;

4) целесообразность использования средств компьютерной техники в расследовании преступлений данной категории;

5) отсутствие методики расследования компьютерных преступлений.

По оценкам отечественных и зарубежных исследователей, решение проблем раскрытия и расследования преступлений данного вида представляет собой задачу на несколько порядков более сложную, чем задачи, сопряженные с их предупреждением.

Поэтому уровень латентности компьютерных преступлений определяется в настоящее время в 90%. А из оставшихся 10% выявленных компьютерных преступлений раскрывается только 1%.

Типичные следственные ситуации первоначального этапа и следственные действия

Типовые ситуации - наиболее часто встречающиеся ситуации расследования, предопределяющие особенности методики расследования.

Они включают в себя типовые следственные версии, типовые задачи расследования и методы и средства их решения.

Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации:1

1. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, обнаружил виновное лицо и заявил от этом в правоохранительные органы.

2. Собственник информационной системы собственными силами выявил нарушение целостности / конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.

3. Данные о нарушении целостности / конфиденциальности информации в информационной системе и виновном лице стали общеизвестными или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).

При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

а) нарушения целостности / конфиденциальности информации в системе;

б) размера ущерба, причиненного нарушением целостности / конфиденциальности информации;

в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности / конфиденциальности информации в системе и характера совершенных виновным действий;

г) отношения виновного лица к совершенным действиям и наступившим последствиям.

Если преступник задержан на месте совершения преступления или сразу же после его совершения для данной ситуации характерны следующие первоначальные следственные действия:

а) личный обыск задержанного;

б) допрос задержанного;

в) обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы в том числе должностных лиц. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояние информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий.

Полученные в результате доказательства могут дать основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе доказательств:

а) нарушения целостности / конфиденциальности информации в системе;

б) размера ущерба;

в) причинной связи между действиями и наступившими последствиями.

Типичные следственные действия аналогичные первой типичной ситуации. Однако одновременно следует принять меры к поиску рабочего места заподозренного, откуда он осуществил вторжение в информационную систему.

Осуществляется поиск:

  • места входа в информационную систему и способа входа в систему (с помощью должностных лиц);

  • "путей следования" злоумышленника или его программы к "атакованной" системе (с помощью должностных лиц).

Такое место может находиться как у него на службе, так и дома, а также в иных местах, где установлена соответствующая аппаратура.

Круг типичных общих версий сравнительно невелик:

  • преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов;

  • ложное заявление о преступлении.

Типичными частными версиями являются:

  • версии о личности преступника(ов);

  • версии о местах совершения внедрения в компьютерную систему;

  • версии об обстоятельствах, при которых было совершено преступление;

  • версии о размерах ущерба, причиненного преступлением.

 

Практические особенности отдельных следственных действий

Осмотр и обыск (выемка) по делам данной категории являются важнейшими инструментами установления обстоятельств расследуемого события.

Известно, что главными процессуальными способами изъятия вещественных доказательств являются осмотр, обыск и выемка.

Следует напомнить, что осмотр - это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию. Обыск - следственное действие, в процессе которого производится поиск и принудительное изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка - следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.

Носители информации, имеющей отношение к расследуемому событию, могут быть с соблюдением установленного УПК РСФСР порядка изъяты и приобщены к уголовному делу в качестве вещественного доказательства.

Для участия в обыске и выемке целесообразно приглашать специалиста в области компьютерной техники.

При осмотрах, обысках, выемках, сопряженных с изъятием ЭВМ, машинных носителей и информации возникает ряд общих проблем, связанных со спецификой изымаемых технических средств.

Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств.

Например, они могут использовать специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты.

Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожаются.

Желательно иметь с собой и использовать при обыске и осмотре устройство для определения и измерения магнитных полей.

Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказанны резкие броски, удары, повышенные температуры, влажность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры.

Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств (скрытых отпечатков пальцев на клавиатуре, выключателях и др., шифрованных рукописных записей и пр.).

Осмотру подлежат все устройства конкретной ЭВМ.

Фактически оптимальный вариант изъятия ЭВМ и машинных носителей информации - это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.

Указанные следственные действия могут производиться с целями:

а) осмотра и изъятия ЭВМ и ее устройств;

б) поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах;

в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ.

По прибытии на место осмотра или обыска следует принять меры к обеспечению сохранности информации на находящихся здесь компьютерах и магнитных носителях. Для этого необходимо:

1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска, прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры;

2) самому не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен;

3) при наличии в помещении, где находятся СКТ и магнитные носители информации, взрывчатых, легковоспламеняющихся, токсичных и едких веществ или материалов как можно скорее удалить эти вещества в другое помещение.

Особенности производства осмотров и обысков

Если компьютер работает, ситуация для следователя, производящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.

В данной ситуации:

а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его.

После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши "F3" можно восстановить наименование вызывавшейся последний раз программы.

Можно осуществить фотографирование или видеозапись изображения;

б) остановить исполнение программы. Остановка осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break;

в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;

г) определить наличие у компьютера внешних устройств - накопителей информации на жестких магнитных дисках и виртуального диска;

д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог изменить или стереть информацию в ходе обыска (например, отключить телефонный шнур из модема);

е) скопировать программы и файлы данных. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;

ж) выключить подачу энергии в компьютер и далее действовать по схеме "компьютер не работает".

Если компьютер не работает, следует:

а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ПК и его периферийных устройств;

б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением полезно осуществить видеозапись или фотографирование мест соединения;

в) с соблюдением всех мер предосторожности разъединить устройства компьютера, предварительно обесточив его;

г) упаковать раздельно носители на дискетах и магнитных лентах и поместить их в оболочки, не несущие заряда статического электричества;

д) упаковать каждое устройство и соединительные кабели, провода;

е) защитить дисководы гибких дисков согласно рекомендации изготовителя (вставить новую дискету или часть картона в щель дисковода);

ж) особой осторожности требует транспортировка винчестера.

Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах

В компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ).

Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на дисплее.

Если компьютер не работает, информация может находиться в ВЗУ и других компьютерах информационной системы или в "почтовых ящиках" электронной почты или сети ЭВМ.

Необходимо произвести детальный осмотр файлов и структур их расположения; лучше это осуществить с участием специалиста в лабораторных условиях или на рабочем месте следователя.

Следует обращать внимание на поиск так называемых "скрытых" файлов и архивов, где может храниться важная информация.

Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы глубокие специальные познания.

Осмотр компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.

Поиск и изъятие информации и следов воздействия на нее вне ЭВМ

В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:

а) документы, носящие следы совершенного преступления, - телефонные счета, пароли и коды доступа, дневники связи и пр.;

б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;

в) документы, описывающие аппаратуру и программное обеспечение;

г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;

д) личные документы подозреваемого или обвиняемого.

Использование специальных познаний и назначение экспертиз

Юрист-следователь не в состоянии отслеживать все технологические изменения в данной области. Поэтому специалисты крайне необходимы для участия в обысках, осмотрах, выемках.

Поиск таких специалистов следует проводить на предприятиях и в учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях.

Специалисты, привлекаемые в качестве экспертов, могут оказать действенную помощь при решении следующих вопросов (примерный список):

1. Какова конфигурация и состав компьютерных средств и можно ли с помощью этих средств осуществить действия, инкриминируемые обвиняемому?

2. Какие информационные ресурсы находятся в данной ЭВМ?

3. Не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ?

4. Не являются ли представленные файлы с программами, зараженными вирусом, и если да, то каким именно?

5. Не являются ли представленные тексты на бумажном носителе записями исходного кода программы, и каково назначение этой программы?

6. Подвергалась ли данная компьютерная информация уничтоже-нию, копированию, модификации?

7. Какие правила эксплуатации ЭВМ существуют в данной информационной системе, и были ли нарушены эти правила?

8. Находится ли нарушение правил эксплуатации в причинной связи с уничтожением, копированием, модификацией?

Большую помощь в расследовании могут оказать специалисты зональных информационно-вычислительных центров региональных УВД МВД России. Следует иметь в виду, что в системе МВД начато производство так называемых программно-технических экспертиз.

Программно-технической экспертизой (ПТЭ) решаются следующие задачи:

1) распечатка всей или части информации, содержащейся на жестких дисках компьютеров и на внешних магнитных носителях, в том числе из нетекстовых документов;

2) распечатка информации по определенным темам;

3) восстановление стертых файлов и стертых записей в базах данных, уточнение времени стирания и внесения изменений;

4) установление времени ввода в компьютер определенных файлов, записей в базы данных;

5) расшифровка закодированных файлов и другой информации, преодоление рубежей защиты, подбор паролей;

6) выяснение каналов утечки информации из ЛВС, глобальных сетей и распределенных баз данных;

7) установление авторства, места подготовки и способа изготовления некоторых документов;

8) выяснение технического состояния и исправности СКТ.

Наряду с этими основными задачами при проведении ПТЭ могут быть решены и некоторые вспомогательные задачи:

1) оценка стоимости компьютерной техники, периферийных устройств, магнитных носителей, программных продуктов, а также проверка контрактов на их поставку;

2) установление уровня профессиональной подготовки отдельных лиц в области программирования и работы с СКТ;

3) перевод документов технического содержания.

В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования возникает необходимость в назначении криминалистической экспертизы для исследования документов.

Дактилоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.

Значительный опыт уголовно-правовой классификации преступлений в сфере компьютерной информации, накопленный в ведущих промышленно развитых государствах мира, вылился в появление так называемых "Минимального списка нарушений" и "Необязательного списка нарушений", разработанных государствами - участниками Европейского сообщества и официально оформленных как "Руководство Интерпола по компьютерной преступности" . Так, "Минимальный список нарушений" содержит восемь основных видов компьютерных преступлений:
· компьютерное мошенничество;
· подделка компьютерной информации;
· повреждение данных ЭВМ или программ ЭВМ;
· компьютерный саботаж;
· несанкционированный доступ;
· несанкционированный перехват данных;
· несанкционированное использование защищенных компьютерных программ;
· несанкционированное воспроизведение схем.
"Необязательный список" включает в себя четыре вида компьютерных преступлений:
· изменение данных ЭВМ или программ ЭВМ;
· компьютерный шпионаж;
· неразрешенное использование ЭВМ;
· неразрешенное использование защищенной программы ЭВМ.
Еще одной из наиболее распространенных из существующих классификаций преступлений в сфере компьютерной информации является кодификатор рабочей группы Интерпола, который был положен в основу автоматизированной информационно-поисковой системы, созданной в начале 90-х годов. В соответствии с названным кодификатором все компьютерные преступления классифицированы следующим образом :
QA - Несанкционированный доступ и перехват:
QAH - компьютерный абордаж;
QAI - перехват;
QAT - кража времени;
QAZ - прочие виды несанкционированного доступа и перехвата.
QD - Изменение компьютерных данных:
QDL - логическая бомба;
QDT - троянский конь;
QDV - компьютерный вирус;
QDW- компьютерный червь;
QDZ - прочие виды изменения данных.
QF - Компьютерное мошенничество:
QFC - мошенничество с банкоматами;
QFF - компьютерная подделка;
QFG - мошенничество с игровыми автоматами;
QFM - манипуляции с программами ввода-вывода;
QFP - мошенничества с платежными средствами;
QFT - телефонное мошенничество;
QFZ - прочие компьютерные мошенничества.
QR - Незаконное копирование:
QRG - компьютерные игры;
QRS - прочее программное обеспечение;
QRT - топология полупроводниковых устройств;
QRZ - прочее незаконное копирование.
QS - Компьютерный саботаж:
QSH - с аппаратным обеспечением;
QSS - с программным обеспечением;
QSZ - прочие виды саботажа.
QZ - Прочие компьютерные преступления:
QZB - с использованием компьютерных досок объявлений;
QZE - хищение информации, составляющей коммерческую тайну;
QZS - передача информации, подлежащая судебному рассмотрению;
QZZ - прочие компьютерные преступления.
Одним из достоинств предложенного кодификатора является введение литеры "Z", отражающей прочие виды преступлений и позволяющей совершенствовать и дополнять используемую классификацию.
Однако все приведенные выше кодификаторы и системы классификации, на наш взгляд, страдают одним общим недостатком - в них происходит смешение уголовно-правовых начал и технических особенностей автоматизированной обработки информации, что приводит к неоднозначности толкования и существенным проблемам при формулировании частных целей и задач расследования преступлений в сфере компьютерной информации. В связи с этим для расследования преступлений возрастает значение криминалистической классификации, которая (в общем случае) проводится по способу, обстановке, орудиям и месту совершения преступления, его последствиям, непосредственным предметам посягательства, условиям их охраны от преступных посягательств, личности субъекта преступления, личности потерпевших, способов сокрытия следов преступления и лица его совершившего .
На наш взгляд, построение криминалистической классификации преступлений в сфере компьютерной информации должно быть основано на анализе объекта преступного посягательства - компьютерной информации как сложного многоуровневого объекта .
Проведенный анализ сущности информации, обрабатываемой (используемой) в большинстве автоматизированных систем, а также форм ее представления (существования) показал, что компьютерная информация (как объект преступного посягательства) представляет собой достаточно сложную иерархическую структуру с тремя основными уровнями представления - физическим, логическим и семантическим.
1. Физический уровень - уровень материальных носителей информации, где информация представлена в виде конкретных характеристик вещества (намагниченность домена - для магнитных дисков, угол и дальность плоскости отражения лазерного луча - для лазерных компакт дисков) или электромагнитного поля (амплитуда, фаза, частота).
Учитывая, что практически все использующиеся в настоящее время ЭВМ являются цифровыми и используют двоичную систему исчисления, то большие объемы информации могут быть представлены в виде последовательности или поля из элементарных информационных единиц ("0" и "1").
2. Логический уровень - уровень представления более сложных информационных структур (от байта до файла) на основе элементарных компонент физического уровня. Данный уровень включает две группы правил объединения - общие и специальные. Общие правила диктуются физическими основами устройства и техническими особенностями используемых средств обработки информации и не могут быть быстро и произвольно изменены. В качестве примера общих правил объединения множества элементарных информационных единиц в более крупные информационные структуры может служить количество и порядок нанесения информационных дорожек на магнитном носителе, размер кластера и т. п. Специальные правила объединения устанавливаются заказчиками или разработчиками автоматизированных информационных систем и могут быть достаточно просто изменены. В качестве примера специальных правил объединения информации могут быть приведены способы объединения информационных полей в записи базы данных, записей и запросов в банках данных и т. п. Поскольку специальные правила объединения не обусловлены техническими особенностями аппаратных средств, то они могут быть быстро изменены (даже в рамках выполнения одной программы) или же просто проигнорированы. Например, записи баз данных могут быть прочтены не как последовательность записей установленного формата (то есть файл последовательного доступа), а как файл прямого доступа, состоящий из отдельных байтов или даже битов.
3. Семантический уровень - уровень смыслового представления информации. На данном уровне можно говорить о содержательной части компьютерной информации, представленной двумя предыдущими видами.
Названные уровни представления компьютерной информации тесно взаимосвязаны между собой и образуют единую систему.
На наш взгляд, такое представление компьютерной информации позволяет решить основные проблемы уголовно-правовой квалификации деяний в сфере компьютерной информации и основные криминалистические проблемы. Так наличие третьего уровня представления (семантического) позволяет разграничить (в уголовно-правовом смысле) преступления в сфере компьютерной информации от иных информационных преступлений, совершаемых с использованием средств вычислительной техники и новых информационных технологий (разглашение тайны усыновления в результате доступа к базе данных органов ЗАГС, шпионаж и т. п.).
С точки зрения криминалистики представление компьютерной информации в виде сложного многоуровневого объекта позволяет понять суть происходящих явлений при совершении преступления в сфере компьютерной информации. Получить осознаваемую информацию (готовую к восприятию человеком), то есть представленную на третьем - семантическом уровне, невозможно, не преодолев два нижних уровня ее представления. Таким образом, если следователь установил факт того, что преступник добыл информацию из автоматизированной системы и каким-либо образом осознанно воспользовался ею, значит, у него были средства (орудия) совершения действий на первом (физическом) и втором (логическом) уровне ее представления, он владел навыками их использования и специальными познаниями для их настройки и подключения. Отсутствие или невозможность выявления хотя бы одного из элементов деятельности подозреваемого в совершении преступления в сфере компьютерной информации на более низком уровне представления информации заставляет серьезно сомневаться в возможности совершения им самостоятельных действий на более высоком уровне ее представления и говорит о наличии у него сообщника или невольного пособника.
Представление информации в виде трехуровневой системы позволяет определить исчерпывающий перечень действий на каждом из них и представить любое деяние, описываемое в терминах уголовного законодательства, да и других наук информационного цикла, как совокупность элементарных действий соответствующего уровня.
На физическом уровне представления информации технически возможно выполнение всего лишь трех действий - чтения, записи и разрушения. При этом под разрушением понимается такое воздействие на носитель информации, при котором стандартными средствами чтения информации невозможно получить какое-либо определенное значение, то есть нет ни "0" ни "1". Разрушение информации может быть произведено воздействием мощного внешнего магнитного поля на магнитный носитель информации (дискету или винчестер). Таким образом традиционно используемые в законодательстве понятия могут быть представлены через последовательность или сочетание названных трех элементарных действий.
Например, "копирование информации" представляет собой строгую последовательность операций чтения и записи порций информации. "Уничтожение информации", в свою очередь, представляет собой или разрушение информации или запись новой информации на то место носителя, где размещалась уничтожаемая информация.
В существующих вычислительных системах удаление или уничтожение информации как раз и происходит путем записи новой информации поверх уничтожаемой (например, утилита WipeInfo из набора NortonUtility). Говоря о понятии "уничтожение информации", необходимо отметить наличие существенной разницы между действием пользователя автоматизированной системы по уничтожению (удалению) информации (имеющим существенное значение для уголовно-правовой квалификации деяния) и криминалистически значимым (имеющим существенное значение с точки зрения возможности обнаружения и изъятия следов существования информации), то есть действительным удалением информации.
Пользователь автоматизированной информационной системы, совершив удаление информационного файла (запустив стандартную команду операционной системы delete), выполнил все необходимые действия для его уголовно-правовой квалификации как "удаление информации", в то время как в реальности был изменен только первый символ имени удаляемого информационного файла в области FAT магнитного носителя, а весь информационный массив остался неизменным. Внесенная пометка в первом символе имени файла означает, что операционная система может использовать места в которых находились кластеры удаленного информационного файла для записи другой информации. В связи с этим для осуществления криминалистически значимого удаления информации необходимо не только выполнить стандартные действия, но и записать новую информацию на место размещения удаляемой.
Более сложную комбинацию элементарных действий представляют собой действия по "модификации" и "блокированию" информации. Говоря о модификации, следует подчеркнуть, что это действие по изменению значения информации в желаемом (заданном) направлении. Важнейшим элементом в определении понятия "модификация" является направленность изменения информации. Если нет направленности в выполняемых действиях, то это уже не модификация, а уничтожение информации. Модификация означает, что информация не должна быть уничтожена не только на логическом, но и на физическом уровне. Модификацией будет являться заданное изменение лишь нескольких символов в смысловой фразе.
Понятие "блокирования информации" во многом совпадает с понятием "модификация информации" и отличается лишь тем, что модификации подвергается не смысловая, а управляющая информация. Например, для блокирования доступа легального пользователя к базам данных необходимо изменить значение кода доступа этого пользователя в системных файлах администратора безопасности, сохранив содержание самой базы данных.
Анализ известных случаев преступлений в сфере компьютерной информации, а также анализ особенностей развития современных информационных технологий и условий их применения в различных сферах человеческой деятельности позволяет предложить следующую криминалистическую систему их классификации.
1. Неправомерное завладение информацией или нарушение исключительного права ее использования.
1.1. Неправомерное завладение информацией как совокупностью сведений, документов (нарушение исключительного права владения).
1.2. Неправомерное завладение информацией как товаром.
1.3. Неправомерное завладение информацией как идеей (алгоритмом, методом решения задачи).
2. Неправомерная модификация информации.
2.1. Неправомерная модификация информации как товара с целью воспользоваться ее полезными свойствами (снятие защиты).
2.2. Неправомерная модификация информации как идеи, алгоритма и выдача за свою (подправка алгоритма).
2.3. Неправомерная модификация информации как совокупности фактов, сведений (записи на счетах в банке).
3. Разрушение информации.
3.1. Разрушение информации как товара.
3.2. Уничтожение информации.
4. Действие или бездействие по созданию (генерации) информации с заданными свойствами.
4.1. Распространение по телекоммуникационным каналам информационно-вычислительных сетей информации, наносящей ущерб государству, обществу и личности.
4.2. Разработка и распространение компьютерных вирусов и прочих вредоносных программ для ЭВМ.
4.3. Преступная халатность при разработке (эксплуатации) программного обеспечения, алгоритма в нарушение установленных технических норм и правил.
5. Действия, направленные на создание препятствий пользования информацией законным пользователям.
5.1. Неправомерное использование ресурсов автоматизированных систем (памяти, машинного времени и т. п.).
5.2. Информационное "подавление" узлов телекоммуникационных систем (создание потока ложных вызовов).
Приведенная классификация содержит специальные индексы, которые мы будем использовать в дальнейшем при рассмотрении типовых начальных следственных ситуаций и изложении приемов расследования данного вида преступлений, а также включает достаточно много новых (чисто технических) и "непонятных" для практических работников правоохранительных органов терминов и понятий. В связи с эти считаем необходимым остановиться подробнее на краткой характеристике содержания каждого из приведенных видов преступлений.
Неправомерное завладение информацией как совокупностью сведений, фактов (нарушение исключительного права владения). Это наиболее часто встречающийся класс простейших преступных деяний, к которым относятся, как правило, без должного внимания. Примером данного вида деяний является ознакомление служащего банка с записью в базе данных о размере вклада того или иного клиента, его адресе, видах сделок и т. п.
С криминалистической точки зрения это наиболее простое действие, для осуществления которого не обязательна длительная подготовка, высокая квалификация и разработка специальных приспособлений. В данном случае преступник может воспользоваться штатным набором средств аппаратного и программного обеспечения автоматизированной системы, в которой осуществляются данные действия. Результаты данного действия могут быть записаны на машинный носитель информации (магнитный или лазерный диск, магнитную ленту и т. п.), бумагу или просто остаться в памяти человека.
Неправомерное завладение информацией как товаром. Это наиболее распространенный вид преступных, но не считающихся таковыми в современном российском обществе, деяний, который заключается в копировании программ для ЭВМ или целой информационной системы (банка данных, электронного архива и т. п.) без согласия (разрешения) владельца или собственника. Данный вид деяний очень широко распространен в нашей стране как практически единственная форма получения современного программного обеспечения.
Примером такого преступления может быть переписывание программы расчета заработной платы, ведения главной книги бухгалтера, автоматизированного банка данных с адресами предприятий "Регистр РАУ" и др. При этом цель преступления - воспользоваться нужными свойствами неправомерно полученной информации (программы, базы данных): выполнить расчеты с использованием программы, получить справки или отчеты из базы данных.
С криминалистической точки зрения это уже более сложное деяние, для которого обязательно использование машинного носителя информации, так как современные программные продукты занимают весьма значительные объемы памяти. Для достижения целей данного вида действий часто бывает недостаточно завладения только файлами программного продукта, так как для нормального его функционирования необходимо наличие определенных компонент общего (драйверов периферийных устройств, наличия музыкальной карты и др.) или общесистемного программно-математического обеспечения (системы управления базами данных, электронной таблицы и др.).

Неправомерное завладение информацией как идеей, алгоритмом (методом преобразования информации). Данный вид преступления заключается в ознакомлении с использующимся методом расчета каких-либо оценок, алгоритмом принятия решений в экспертной системе или другой автоматизированной системе принятия решений. Примером такого деяния может быть ознакомление с методом расчета вероятности преодоления противоракетной обороны средствами воздушно-космического нападения вероятного противника, ознакомление с использующимся типом (механизмом) системы защиты информации в электронной системе платежей банка.
С криминалистической точки зрения это достаточно сложное действие, так как оно предусматривает не только доступ к информации как к совокупности фактов или сведений, но и последующие этапы, связанные с анализом структуры используемых данных, выяснением их смыслового значения, последовательности их применения для получения требуемого результата. Для реализации этого действия необходимо наличие специальных средств анализа программного обеспечения (отладчики, дизассемблеры, интерпретаторы), высокой квалификации исполнителей (или хотя бы одного из них). Как правило, такие действия не могут быть проведены в одиночку, так как, во-первых, очень редко бывает, чтобы в одном человеке были воплощены все необходимые навыки и умения, необходимые для его совершения, и, во-вторых, чтобы он же имел возможность воспользоваться материальной выгодой от использования результатов неправомерного завладения информацией как идеей (алгоритмом). В связи с этим такого рода преступные деяния образуют фабулу промышленного шпионажа, когда крупные фирмы организуют специальные разведывательные операции, проводимые в течение значительного промежутка времени, по единому замыслу, с привлечением многих исполнителей и направленные на добывание промышленных секретов своих конкурентов.

Неправомерная модификация информации как товара. Данный вид деятельности, так же как и неправомерное завладение информацией как товаром, является наиболее распространенным преступлением (на наш взгляд, именно преступлением). Многие фирмы -производители программного обеспечения, стараясь защитить себя от компьютерного пиратства, разрабатывают и используют различные методы защиты от копирования и анализа своих разработок. Однако экономические условия, в которых функционирует наша экономика, а также принципиальная невозможность создания абсолютных средств защиты информации приводят к тому, что в программное обеспечение или базу данных, полученную однажды законным (или "полузаконным" путем), вносится модификация, позволяющая делать неограниченное количество копий и использовать полезные свойства информации как товара без каких-либо ограничений (временных или по числу раз запуска), наложенных разработчиком.
Неправомерная модификация информации как идеи. Данный вид преступного деяния встречается гораздо реже и заключается не только в получении какого-либо программного обеспечения, но и его обязательный предварительный анализ. Примером такого рода действий могут служить широко известные случаи преступления в банковской сфере, когда в алгоритмы выполнения действий с записями на счетах, взимания процентов и пр. вносились незапланированные модификации, при которых с каждой операции на заранее подготовленный счет делались отчисления (так называемые атаки "салями"). Практически все известные на сегодняшний день преступления такого рода совершены разработчиками программного обеспечения и чаще всего теми же, которые его эксплуатируют.
Характерной криминалистической чертой данного преступления является, во-первых, то, что направление деятельности (научно-техническая разработка), в которое планируется внедрить чужую идею (алгоритм), должно иметь весьма ощутимую экономическую или другую ценность. Во-вторых, исполнители должны обладать большим багажом специальных познаний в данной области. В-третьих, для совершения данного преступления необходимо наличие специального технического и программного обеспечения.
Неправомерная модификация информации как совокупности фактов. Данный вид преступлений особенно широкое распространение получил в автоматизированных банковских системах, так как именно в них записи в полях баз данных отражают определенные денежные суммы или другие сведения, которые имеют конкретное денежное или иное экономическое выражение.Разрушение информации как товара. Данный вид преступления заключается в том, что законный владелец информации не может воспользоваться программным обеспечением или базой данных как товаром, его полезным свойством.
Распространение по телекоммуникационным каналам информационно вычислительных сетей информации, наносящей ущерб государству, обществу и личности. Данный вид преступлений имеет самостоятельное значение лишь с криминалистической точки зрения (то есть способов выявления субъекта преступления, особенностей его совершения) в то время как с уголовно-правовой может быть полностью охарактеризовано с помощью других (некомпьютерных) составов преступлений, но с использованием компьютера.
Примером такого рода преступных деяний может быть создание и распространение компьютерных игр порнографического характера с известными персонажами, использование компьютерных сетей для передачи и распространения материалов, содержащих призывы к насильственному изменению конституционного строя и пр.
Разработка и распространение компьютерных вирусов. Этот вид деяний является очень распространенным в настоящее время и может соперничать по количеству зарегистрированных фактов разве что только с неправомерным завладением информацией как товаром.
Преступная халатность при разработке программного обеспечения, алгоритма в нарушение установленных технических норм и правил. Развитие вычислительной техники и информатики привело к тому, что автоматизированные системы управления находят свое применение практически во всех отраслях техники и экономики. Не являются исключением и вооружение, объекты атомной энергетики, непрерывные химические производства, системы управления воздушным движением, а также другие объекты, аварии и неисправности которых могут причинить огромный ущерб и непоправимые последствия. В связи с этим уже в настоящее время у нас в стране и за рубежом разработаны стандарты, инструкции и рекомендации, определяющие порядок разработки, испытания, эксплуатации и сопровождения программных средств критического приложения. Таким образом, под составом преступления предусмотренного в п. 4.3. следует понимать нарушение этих установленных правил, которые повлекли за собой тяжкие последствия.

Неправомерное использование ресурсов автоматизированных систем. Развитие вычислительной техники, появление сетей ЭВМ привело к возможности ее коллективного использования различными субъектами. При этом потребители запрашивают и оплачивают определенный вычислительный ресурс (объем внешней и оперативной памяти, время работы процессора). При этом под составом преступного деяния следует понимать скрытный неправомерный захват вычислительного ресурса коллективного пользования каким либо субъектом с намерениями минимизации либо полного исключения своих затрат за его использование.
Информационное "подавление" узлов телекоммуникационных систем. Появление доступных информационных систем коллективного пользования, построенных на основе стандартных телефонных каналов взаимосвязанной системы связи России (Internet, Relcom), позволило решать задачи информационного обеспечения самых широких кругов потребителей. В частности, с использованием этой информационной технологии разрабатывались системы электронных торгов на биржах, передачи ценовой информации, проведения электронных платежей. Большую роль в этом играет оперативность получения информации с использованием систем такого рода. Например, автору известны случаи, когда одна из брокерских фирм имела торговые места на биржах Красноярска и Воронежа, и, используя разницу в часовых поясах этих городов, до начала торгов в Воронеже успевала по модемной связи получить все основные параметры интересующих сделок на торгах в Красноярске и сыграть на разнице цен. Временной интервал, при котором необходимо было получить информацию, то есть период, когда она имела ценность, равнялся разнице в часовых поясах. Использование стандартных телефонных коммутируемых каналов делало все это достаточно уязвимым от так называемого "информационного подавления", когда по заданному телефонному номеру осуществляется постоянный "автодозвон" с нескольких источников, создавая тем самым поток ложных вызовов, при котором истинный абонент не мог установить желаемое телефонное соединение.
Таким образом, представленная криминалистическая классификация охватывает весь известный на сегодняшний день диапазон противоправных деяний в сфере компьютерной информации и может быть использована в качестве основы для совершенствования действующего уголовного законодательства.

Понятие информационных компьютерных преступлений

Встречаются наименования и "компьютерные преступления", и "коммуникационные преступления", и "кибербандитизм". Преступников именуют "хакеры", "кракеры", "киберпанки", "бандиты на информационных супермагистралях".

Информационные правоотношения - это отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и представления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Пресс-служба УФСБ по РО сообщает, что обеспечение информационной безопасности становится одним из приоритетных направлений в работе донских контрразведчиков, поскольку распространение компьютерных вирусов может явиться причиной катастрофы в таких областях использования ЭВМ, как оборона, космонавтика, борьба с преступностью и госбезопасность.

Да и статус сайта как средства массовой информации окончательно не определен. Согласно Закону РФ "О средствах массовой информации" под СМИ понимается "форма периодического распространения массовой информации", а под массовой информацией -- "предназначенные для неограниченного круга лиц сообщения и материалы". Следовательно, все ресурсы интернета -- странички, сайты, серверы -- являются средствами массовой информации. А значит, на любой сайт или страничку должны распространяться законодательные акты, регулирующие деятельность СМИ. Все ресурсы подлежат регистрации. Можно только представить, насколько бы снизились темпы прироста сетевых ресурсов, если бы это требование закона непреложно выполнялось, можно только гадать, каким был бы облик российского интернета. Думаю, он стал бы значительно менее интересным.

Кое-что в этом направлении пытаются делать провайдеры. Например, "ААА" при подписании договора на оказание услуг доступа к сети специально оговаривает законность информации. А, например, компания "Инфоком" может предоставить место для сайта, на котором содержится, мягко говоря, ненормальная информация, но ссылок на такие сайты не делает. Но самое главное, что провайдер не обязан этим заниматься. Это так, для сохранения морального облика нашей сети, за что их можно только благодарить. В основном, все эти вещи регулируются моралью отдельно взятого пользователя, чего явно уже недостаточно.

Очевидно, что требуется регулирование на государственном уровне. Интересно, что если на родине интернета, в Америке, у истоков стояло государство, и только потом интернетом занялись частные лица и коммерческие компании, в нашей стране все происходит наоборот. Колыбель российского интернета -- коммерция, и лишь спустя несколько лет государство обратило внимание на интернет и связанные с ним проблемы. Вероятно, именно сейчас эти проблемы начнут решаться. Неясно пока, каким образом. Вот в Китае, например, есть только один провайдер, и тот государственный.

Как показывают проведенные исследования, 55% опрошенных респондентов не имеют об этих категориях ни малейшего понятия, а 39% - лишь частично знакомы с криминалистической характеристикой лиц, склонных к совершению компьютерных преступлений по ненаучным источникам, из которых 66% - средства массовой информации, 28% кино- и видеофильмы (как правило зарубежного производства).

И при этом в качестве респондентов выступали в основном начальники городских и районных отделов и управлений органов внутренних дел и их заместители (начальники следственных отделов), которые в первую очередь должны обладать именно научной информацией о том, с чем им приходится сталкиваться в своей непосредственной практической работе. Такое положение, естественно, нельзя признать положительным. Поэтому весьма актуальной как с научной, так и с практической точки зрения, является разработка проблемы криминалистической характеристики данных видов преступных деликтов.

Как известно, криминалистическая характеристика преступления представляет собой систему описания криминалистически значимых признаков вида, группы и отдельного преступления, проявляющихся в особенностях способа, механизма и обстановки его совершения, дающую представление о преступлении, личности его субъекта и иных его обстоятельствах, об определенной преступной деятельности и имеющую своим назначением обеспечение успешного решения задач раскрытия, расследования и предупреждения преступлений.

Преступления в сфере компьютерной информации известны сравнительно недавно. Отечественная практика расследования таких преступлений пока весьма невелика, поскольку лишь в последние годы в результате развития программно-технических средств и повышения так называемой “компьютерной граммотности”, информационные системы внедрены в такие отрасли, как бухгалтерский учет, экономические расчеты, планирование и др.

Общественная опасность преступных действий в указанной сфере становится все более очевидна и опыт формализации законодателем главным образом зарубежных криминалистических знаний о “компьютерных преступлениях” происходит на наших глазах.

Недостатки правовой регламентации в данной области и дефицит у следователей знаний о современных информационных технологиях в значительной мере способствуют сохранению высокого уровня латентности противоправных действий в области информационных отношений и их безнаказанности.

Существенную помощь в выявлении, раскрытии и расследовании таких преступлений может оказать детальная проработка криминалистической характеристики преступлений данного вида. При этом крайне важно точно понимать смысл норм материального права, описывающих предмет доказывания и определяющих цели процесса расследования.

Анализ нового Уголовного Кодекса показывает, что законодатель в главе “Преступления в сфере компьютерной информации” ввел ряд понятий, не содержавшихся ранее не только в уголовно-правовой терминологии, но и в законодательстве, регулирующем информационные отношения. Эти термины нуждаются в существенных пояснениях. Криминалистического анализа требуют большинство понятий, приведенных в таблице (на стр.), однако наиболее важными из них, базовыми, являются понятия “информация” и “компьютерная информация”.

 

В описании объекта преступного воздействия при совершении преступлений данного вида Закон использует 3 различных формулировки, относящиеся к термину информация: “охраняемая законом компьютерная информация” (ст.272 УК РФ); “информация” (ст.273 УК РФ); “охраняемая законом информация ЭВМ” (ст.274).

 

Надо отметить, что информация может интерпретироваться как совокупность формализованных сведений (знаний), предназначенных для передачи. Не является существенным, если информация не передается. Важно, что информация, предназначенная для передачи, всегда имеет определенную форму представления и отражается на конкретном носителе.

 

Как было видно из анализа действующего законодательства (ст.21 закона “Об информации”), правовой защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

 

Анализ текста ст.273 УК РФ, где при упоминании термина “информация” снято указание на ее охраняемость законом, показывает, что когда осуществляются действия с вредоносным программами для ЭВМ (ст.273), уголовно-правовой защите подлежит любая (с ограничениями, о которых речь пойдет ниже) информация, независимо от того, документирована она или нет, имеет ли она собственника или предназначена для использования неограниченным кругом лиц.

 

Тем самым подчеркивается общественная опасность манипулирования вредоносными программами.

 

При совершении же двух других преступлений в сфере компьютерной информации (ст.272, 274 УК РФ) уголовно-правовой защите подлежит документированная информация, способ использования которой установлен ее собственником.

 

Предметом преступного воздействия может быть также информация в виде программных средств, обеспечивающих правильную работу компьютерной техники. Однако это обстоятельство не нашло отражения в научных комментариях УК РФ.

 

Тем не менее известные случаи противоправного проникновения В ЭВМ показывают, что для воздействия на информацию злоумышленники обычно вынуждены прежде всего изменять различными способами программные средства (или порядок их работы), обеспечивающие взаимодействие устройств ЭВМ между собой и с пользователем. Воздействие данного вида осуществляется на операционные системы и сервисные программы, обеспечивающие коммуникационные задачи.

 

Вопрос об отнесении программ к категории компьютерной информации требует дополнительных пояснений. Закон “Об информации” причислил программы для ЭВМ (ст.2) к средствам обеспечения автоматизированных информационных систем. В комментарии к этому положению закона специально подчеркивается целесообразность разделения терминов “документированная информация” и “программные средства” во избежание путаницы при решении задач правового регулирования отношений, связанных с данными объектами.

 

Дело в том, что программа для ЭВМ фактически имеет двойственную природу: с одной стороны, она является инструментом воздействия на информацию, с другой - она сама как совокупность команд и данных является информацией.

С криминалистической точки зрения программа, хранящаяся в ЭВМ, как и всякий иной ограниченный объем информации, может быть подвергнута любому из воздействий, предусмотренных уголовным законом (уничтожение, модификация, блокирования и др.). Нельзя не видеть, что программа для ЭВМ обладает и совокупностью признаков, характерных для документированной информации, и прямо охраняется соответствующими законами. Статьей 273 УК РФ предусмотрен и специальный случай неправомерного доступа к компьютерной информации - внесение изменений в существующие программы.

Очевидно, что прямое использование в криминалистической практике представления об информации, изложенного в Законе “Об информации”, без учета уточненной в УК РФ позиции законодателя было бы не корректным. Однако точки зрения авторов комментариев к УК РФ в этом вопросе разделились. Одни сочетают позиции двух законов, другие предлагают использовать в практике непосредственно определение, данное законодателем. Третьи, осознавая возникшие противоречия, предлагают собственное определение.

Так, по мнению авторов одного из комментариев, компьютерная информация - это информация, зафиксированная на машинном носителе и передаваемая по телекоммуникационным каналам в форме, доступной восприятию ЭВМ.1

Наивысшая угроза

Виды атак, выявленные за последние 12 месяцев

Вирус 83%

Злоупотребление сотрудниками компании доступом к Internet 69%

Кража мобильных компьютеров 58%

Неавторизованный доступ со стороны сотрудников компании 40%

Мошенничество при передаче средствами телекоммуникаций 27%

Кража внутренней информации 21%

Проникновение в систему 20%