Способы совершения компьютерных преступлений

Анализ практики борьбы с преступностью на современном этапе развития общества дает основание считать, что неправомерный доступ к информации в компьютерных сетях является хотя и довольно редким, но крайне опасным видом преступлений в сфере компьютерной информации[1].

Неправомерный доступ, как правило, является первоначальным этапом совершения других преступлений такого рода.

Расследование данного преступления связано с установлением большого круга обстоятельств, о чем свидетельствует его криминалистическая характеристика, имеющая специфические особенности[2].

Местом совершения преступления,связанного с несанкционированным доступом к информации, является ряд помещений, где функционируют элементы компьютерной сети, и хранится информация. Необязательно, чтобы эти помещения находились в одном здании и на одной территории[3].

Другая особенность заключается в том, что несанкционированное проникновение в компьютерную сеть возможно с использованием современных технических средств удаленного доступа, когда не требуется присутствие правонарушителя на месте обнаружения та­кого преступления – там, где находятся информационные ресурсы, представляющие для него интерес[4].

В этом случаеместом совершения преступления может быть:

а) место непосредственной обработки и постоянного хранения информации, ставшей предметом преступного посягательства;

б) место непосредственного использования технических средств для неправомерного доступа к компьютерной информации, находящейся в другом отдаленном месте;

 в) место хранения информации на машинных носителях, находящихся в других местах;

г) место непосредственного использования результатов неправомерного доступа к компьютерной информации.

Время совершения преступления.Неправомерный доступ к информации в компьютерных сетях может совершаться в любой период работы компьютеров и не ограничивается каким-то определенным отрезком времени, поскольку элементы компьютерной сети функционируют круглосуточно. Следует иметь в виду, что несанкционированный доступ обычно совершается в течение очень короткого времени, исчисляемого минутами и даже секундами.

Предметомнесанкционированного доступа являются как информационные ресурсы компьютерных сетей, осуществляющие обработку служебных документов, так и программные и аппаратные средства защиты информации.

Последствия преступления.В ст. 272 УК РФ дается перечень последствий такого преступления. К ним относятся: модификация, уничтожение, блокирование или копирование информации либо нарушение работы ЭВМ, системы ЭВМ или их сети.

Объекты преступления.Наиболее вероятными объектами неправомерного доступа к информации, обычно становятся компьютерные сети различных уровней управления[5].

 Способы совершения преступления.В результате анализа возможностей несанкционированного доступа к информации в компьютерных сетях автором установлено несколько разновидностей способов неправомерного доступа к информации компьютерных сетей данного типа, из которых можно выделить наиболее возможные.

Первый способ – непосредственное использование именно того компьютера, который автономно хранит и обрабатывает информацию, интересующую правонарушителя. Воспользоваться компьютером он может как тайно, так и открыто, т.е. без ведома законного пользователя либо с его ведома. Для этого он должен знать соответствующие коды, пароли, идентификационные номера пользователей либо пустить в дело известные ему недостатки в защите информации. Таким же образом преступник может использовать компьютер, являющийся составной частью сети (т.е. когда он служит терминалом), и получить возможность неправомерного доступа к интересующим его данным.

Второй способ заключается в скрытном подключении компьютера преступника к компьютерной сети подразделений, предприятий, учреждений пользователей компьютерными сетями по телефонным каналам.

Третий способсвязанс поиском и использованием уязвимых мест в защите компьютерных сетей подразделений, предприятий, учреждений пользователей компьютерными сетями.

Четвертый способ заключается в скрытном изменении или дополнении компьютерных программ, функционирующих в системе.

Пятый способ осуществляется путем незаконного использования специальных программ, применяемых в аварийных ситуациях (в случае возникновения каких-либо отклонений в работе компьютеров). Особенностью таких программ является возможность доступа к компьютерной информации в обход средств защиты и контроля. Поэтому преступники пытаются овладеть такими программами.

Субъектаминеправомерного доступа к компьютерной информации могут быть как сотрудники подразделений, предприятий, учреждений пользователей компьютерными сетями, так и посторонние лица. При этом субъектынеправомерногодоступа должны обладать хотя бы минимальным объемом умений и соответствующих навыков работы с компьютером.

Среди лиц, постоянно обслуживающих компьютерные сети, наибольшими возможностями несанкционированного доступа к закрытой информации могут располагать: администратор компьютерной сети, программисты, специалисты периферийного оборудования и телекоммуникационных средств, хранители машинных носителей информации с записью информации с ограниченным доступом.

Цели и мотивы совершения преступления.Неправомерный доступ к компьютерной информации может преследовать (согласно ст. 272 УК РФ): неправомерный доступ с целью модификации, уничтожения, блокирования или копиро­вания информации либо вывода из строя компьютерного оборудования.

Мотивынеправомерного доступа к информации в компьютерных сетях в большинстве случаев связаны с корыстными намерениями.

Однако не исключены и другие мотивы, например, из личной неприязни и пр.

В ходе расследования неправомерного доступа к информации в компьютерных сетях наиболее логичной представляется следующая последовательность установления характерных моментов совершенного противоправного деяния:

1. Установление самого факта неправомерного доступа к информации в компьютерной сети органа внутренних дел.

2. Установление места неправомерного проникновения в ком­пьютерную сеть.

3. Установление времени неправомерного доступа.

4. Установление способа неправомерного доступа.

5. Установление надежности применяемых средств и систем защиты компьютерной информации.

6. Установление лиц, совершивших неправомерный доступ к ком­пьютерной сети органа внутренних дел.

7. Установление виновности и мотивов лиц, совершивших не­правомерный доступ к компьютерной информации органа внутренних дел.

8. Установление последствий неправомерного доступа к компьютерной сети органа внутренних дел.

9. Выявление обстоятельств, способствовавших неправомерному доступу к компьютерной информации органа внутренних дел.

Исходя из специфики данного типа неправомерных действий, первые четыре пункта данной последовательности реализуются соответствующими программными средствами.

Установление самого факта неправомерного доступа к информации в компьютерной сети. С целью уяснения способов установления фактов неправомерного доступа к информации в компьютерных сетях рассмотрим те инструментальные средства, которые обеспечивают решение данной задачи. К таким средствам относятся компоненты системы защиты информации (СЗИ).

Факты неправомерного доступа к информации фиксируются данными компонентами в виде соответствующих идентифицирующих признаков.

На признаки неправомерного доступа или подготовки к нему могут указывать следующие обстоятельства: появление в компьютере модифицированных данных; отсутствие ранее существовавшей информации, нарушение защитных механизмов или попытка их нарушения.

Особо следует выделить признаки неправомерного доступа, обусловленные отступлением от установленного порядка работы с документами, а именно:

а) нарушение установленных правил работы с документами на машинных носителях;

б) нарушение установленного графика работы.

Установление места неправомерного проникновения в компьютерную сеть. Установление такого места вызывает определенные трудности, поскольку может быть несколько мест совершения данного преступления.

При несанкционированном доступе к отдельному изолированному компьютеру необходимо учитывать, что компьютер может находиться в одном помещении, а информация на машинных носителях — в другом. Следовательно, надо выявить и это место. Кроме того, необходимо устанавливать места хранения носителей информации, добытой в результате неправомерного доступа к компьютерной сети.

Установление времени неправомерногодоступа. С помощью программ общесистемного назначения в работающем компьютере обычно устанавливается текущее время, что позволяет в любой момент по соответствующей команде установить дату и время.

Более того, если эти данные введены, то при входе в систему или сеть (в том числе и несанкционированном) время работы на компьютере любого пользователя и время конкретной операции автоматически фиксируется в его оперативной памяти и отражается, как правило, в выходных данных (на дисплее, листинге или на дискете). Исходя из этого точное время несанкционированного доступа можно установить путем следственного осмотра работающего компьютера либо распечаток или дискет. Осмотр следует производить с участием специалиста. Время неправомерного доступа к компьютерной информации можно также установить путем допроса сотрудников, имеющих доступ к данной компьютерной сети, выясняя у них, в какое время каждый из них работал на компьютере, если оно не было зафиксировано автоматически. Вместе с тем наличие множества способов изменения системных значений даты и времени может служить дополнительной характеристикой данного противоправного деяния.

Установление способа неправомерногодоступа. Конкретный способ неправомерного доступа к компьютерной информации можно установить в процессе допроса свидетелей из числа лиц, пользующихся компьютерной сетью, или специалистов в области сетевого программного обеспечения. Необходимо у них выяснить, каким образом преступник смог преодолеть средства защиты (узнать идентификационный номер законного пользователя, код, пароль для доступа к системе, другие методы защиты).

Способ неправомерного доступа может быть установлен и путем производства судебной программно-компьютерной экспертизы. Целесообразно представить эксперту всю необходимую документацию на исследуемое программное обеспечение.

При такой экспертизе рекомендуется использовать компьютерное оборудование той же системы, в которую проник преступник, либо специальные технические и программные средства.

Для установления способа неправомерного доступа к компьютерной информации может быть проведен следственный эксперимент с целью проверки возможности преодоления средств защиты информации одним из вероятных способов.

Установление надежности средств защиты компьютерной информации. Прежде всего, необходимо установить, какие меры защиты от неправомерного доступа предусмотрены в данной компьютерной сети. Это можно выяснить при допросе разработчиков и пользователей, а также изучая проектную документацию и соответствующие инструкции по эксплуатации данной сети. В них должны содержаться специальные разделы, относящиеся к мерам защиты информации, с подробным описанием механизма разграничения полномочий пользователя, организации контроля доступа, конкретных методов защиты информации (аппаратных, программных, крип­тографических, организационных и пр.).

В целях обеспечения высокой степени надежности компьютерных сетей законодательством предусмотрены обязательная сертификация их средств защиты и обязательное лицензирование всех видов деятельности в области проектирования и производства таких средств. Разработчики, как правило, гарантируют надежность своих средств, при условии, что будут соблюдены установленные требования.

Вся вина за выявленные при этом отклонения, ставшие причиной неправомерного доступа к компьютерной информации, возлагается на пользователя сети, освобождая от ответственности разработчика средств защиты.

Установление лиц, совершивших неправомерный доступ к ком­пьютерной сети органа внутренних дел. Неправомерный доступ к компьютерным сетям является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск лиц, совершивших подобное действие, следует начинать с технического персонала тех элементов компьютерных сетей, которые были подвержены несанкционированному доступу (администраторы компьютерной сети, программисты, специалисты по телекоммуникациям и специалисты по защите информации).

Вместе с тем практика показывает, что чем сложнее в техническом плане способ проникновения к информации в компьютерной сети, тем легче установить личность преступника, поскольку круг специалистов, обладающих такими способностями, весьма узок.

Причастность конкретного лица к неправомерномудоступу к компьютерной информации помимо свидетельских показаний, может быть установлена также и по следам, обнаруженным при производстве следственного осмотра компьютера и его компонентов. Это могут быть следы пальцев рук, оставленные на их поверхности, а также отдельные записи на внешней упаковке дискет, дисков, где обычно остаются заметки о характере записанной на них информации, а порой и об их владельцах. Для их исследования назначаются традиционные криминалистические экспертизы: дактилоскопические, почерковедческие, а так­же технико-криминалистическое исследование документов.

Чтобы установить круг лиц, обязанных обеспечивать соблюдение режима доступа к компьютерной сети, необходимо, прежде всего, ознакомиться с имеющимися инструкциями, устанавливающими полномочия должностных лиц, ответственных за защиту информации, после чего следует допросить их.

Допросами лиц, обслуживающих компьютерную сеть, можно установить, кто запускал нештатную программу, было ли это зафиксировано каким-либо способом.

При наличии достаточных оснований у лиц, заподозренных в неправомерном доступе к компьютерной информации, производится обыск, в процессе которого могут быть обнаружены машинные носители, содержащие сведения, имеющие отношение к расследуемому делу (коды, пароли, идентификационные номера пользователей компьютерной сети, а также данные о ее пользователях).

Установление виновности и мотивов лиц, совершивших не­правомерный доступ к компьютерной информации органа внутренних дел.  Установить виновность и мотивы не­правомерногодоступа к компьютерной информации можно только по совокупности результатов всех процессуальных действий. Решающими из них являются допросы свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных аппаратно-компьютерных и программно-компьютерных экспертиз, а также результаты обыска.

В процессе их производства выясняется: во-первых, с какой целью совершен несанкционированный доступ к компьютерной информации; во-вторых, знал ли правонарушитель о существующей системе ее защиты; в-третьих, желал ли он преодолеть эту систему; в-четвертых, если желал, то какие конкретно для этого им приняты меры.

Установление последствий неправомерного доступа к компьютерной сети органа внутренних дел. Прежде всего, необходимо установить: в чем выражены вредные последствия такого доступа (завладение компьютерной информацией путем изъятия ее машинных носителей либо копирования, а также незаконное изменение, уничтожение, блокирование или вывод из строя компьютерного оборудования, введение в компьютерную сеть заведомо ложной информации или компьютерного вируса и пр.).

Неправомерное завладение компьютерными программами вследствие несанкционированного допуска к сети, их незаконное использование также выявляются чаще всего самими пользователями.

Похищенные программы, информационные базы данных могут быть обнаружены в процессе производства обысков у обвиняемых, а также при проведении оперативно-розыскных мероприятий.

Так как в результате неправомерного доступа к информации в компьютерных сетях происходит утечка конфиденциальной информации или сведений, содержащих государственную тайну, то конкретный вред, причиненный ее разглашением, устанавливается представителями ФСБ. Факты незаконного изменения, уничтожения информации, блокирования либо вывода из строя компьютерного оборудования или введения в компьютерную сеть заведомо ложной информации устанавливаются, прежде всего, самими пользователями. Это, пожалуй, самые распространенные последствия неправомерного доступа к компьютерной информации.

Однако при расследовании следует иметь в виду, что не все эти последствия наступают в результате умышленных действий. Нередко их причиной становятся различные сбои в работе компьютерного оборудования. Вместе с тем, следует отметить, что подобные сбои фиксируются компонентой поддержания целостности информации СЗИ «Кобра» или «Снег», обеспечивающей периодический контроль целостности информационных ресурсов компьютерной сети с целью обнаружения несанкционированных изменений в ее вычислительной среде, вызванных не только действиями лиц, получивших доступ к информации, но и изменений, вызванных машинными сбоями или износом магнитных носителей.

Негативные последствия неправомерного доступа к компьютерной информации могут устанавливаться и в процессе следственного осмотра компьютерного оборудования, носителей информации (анализа баз и банков данных), допросов технического персонала, владельцев информационных ресурсов.

Вид и размер ущерба устанавливаются также посредством комплексной экспертизы, проводимой с применением специальных познаний в области информатизации, средств компьютернойтехники и связи, либо заключением специалиста.

Выявление обстоятельств, способствовавших неправомерному доступу к компьютерной информации. На заключительном этапе расследования формируется целостное представление об обстоятельствах, способствовавших неправомерномудоступу к компьютерной информации. В данном аспекте важно последовательное изучение различных документов, главным образом относящихся к защите информации.

Особое значение могут иметь материалы служебной проверки.

По материалам такой проверки могут быть подготовлены конкретные рекомендации по устранению причин и условий, способствующих неправомерномудоступу в компьютерную сеть.

При назначении судебных аппаратно-компьютерных и программно-компьютерных экспертиз следователь обязательно должен ставить вопросы об установлении обстоятельств, способствовавших неправомерному доступу к информации. Устанавливаются они и другими следственными действиями: допросами персонала, следственным экспериментом, осмотром документов. Обстоятельства эти связаны главным образом с неэффективностью применяемых методов защиты компьютерной информации отнеправомерногодоступа. Постоянное увеличение числа узлов компьютерных сетей, количества различных линий связи между ними повышает риск доступа к важной информации, содержащейся в компьютерной сети.

В подобном случае необходимы надежные средства идентификации пользователей в сети, обеспечивающие доступ к информации лишь в случае полной уверенности в наличии у пользователей прав доступа к ней. Приведем обстоятельства, способствующие несанкционированному доступу, которые, в свою очередь, можно назвать типичными.

1)Нарушение технологического цикла проектирования, разработки, испытаний и сдачи в эксплуатацию компьютерных сетей. Это объясняется невниманием руководителей к необходимости соблюдения установленных правил и ГОСТов, касающихся использования компьютерной техники, программных средств защиты и т.д.

Нередко в практике не проводятся в полном объеме тестирование и приемно-сдаточные испытания программных средств не оформляется должным образом их ввод в эксплуатацию. Программисты имеют возможность практически бесконтрольно вносить изменения в программы и даже подменять (временно или постоянно) одни версии программ другими, в том числе в процессе их эксплуатации.

Невыполнение требований порядка разработки и ввода в эксплуатацию программных средств приводит к систематическому использованию не отлаженного программного обеспечения, что обусловливает необходимость постоянного присутствия программистов на элементах компьютерной сети уже на этапе ее эксплуатации, их участия в доработке программных средств. Все это существенно затрудняет обнаружение умышленных изменений информации и программы в преступных целях.