Особенности производства отдельных следственых действий

Осмотр места происшествия является важным следственным действием, дающим возможность определить исходные положения расследования и выдвинуть соответствующие версии. Осмотр позволяет зафиксировать обстановку места происшествия, обнаружить, с целью последующего изучения, следы преступления и, наконец, уяснить механизм происшествия, что способствует установлению характера и обстоятельств преступления, а также лиц, его совершивших. Конкретные задачи этого действия в каждом случае определяются в зависимости от особенностей места осмотра и специфики преступлений рассматриваемой категории.

Осмотр места происшествия способствует реше­нию ряда важных вопросов, к числу которых, в частности, относятся следующие: к какому виду относится расследуемое компьютерное преступление; каким способом совершено преступление; на кого как на преступника указывают следы и другие вещественные доказательства; каково состояние средств защиты компьютерной информации, охраны помещений, где располагается компьютерное оборудование; как на объекте соблюдаются правила безопасности компьютерной техники и средств связи.

Приведенный перечень вопросов не является исчерпывающим и может дополняться в каждом конкретном случае в зависимости от обстоятельств дела.

Следователь либо прибывает на место происшествия с заранее подобранными понятыми, либо подбирает их из числа лиц, находящихся на месте осмотра. Следователь должен разъяснить понятым их права и обязанности, указать, какие объекты подлежат осмотру, а также предупредить о необходимости внимательно наблюдать за тем, что осматривается, фиксируется и изымается.

По прибытии на место происшествия следователю надлежит удалить всех посторонних, не занятых в данный момент работой на компьютерах, а в случае необходимости принять меры к охране места происшествия. В соответствии со ст. 177 УПК РФ, регламентирующей порядок производства осмотра, следователь вправе пригласить специалиста, не заинтересованного в исходе дела. Вопрос о профиле нужного специалиста решается в зависимости от задач, целей осмотра, с учетом исходных данных о преступлении. В большинстве же случаев на месте осмотра требуется помощь нескольких специалистов, в том числе программиста по операционным системам и прикладным программам, электронщика, хорошо знающего компьютерную технику, специалиста по средствам связи, а также эксперта-криминалиста. Последний может помочь следователю в обнаружении, изъятии и упаковке следов данных потенциальных объектов криминалистической экспертизы.

В случае, если в результате неправомерного доступа произошла утечка информации, составляющей государственную тайну, то для проведения осмотра привлекаются сотрудники соответствующих подразделений ФСБ.

Объектами осмотра могут быть: отдельные компьютеры, не являющиеся составной частью локальных или распределенных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей; сетевые линии связи; рабочие помещения, в которых расположена компьютерная техника; рабочая и проектно-техническая документация, непосредственно относящаяся к технологии обработки информации. В ходе общего осмотра следователь намечает план детального осмотра, охватывающий все возможные версии о способах и мотивах преступления.

Рекомендуется в процессе осмотра применить фотосъемку. Желательно зафиксировать общий вид осматриваемого помещения, расположение компьютеров. Зафиксировать по правилам узловой фотосъемки отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока по правилам детальной съемки — отдельные его компоненты, особенно те, которые, согласно инструкции по эксплуатации, не должны быть установлены на материнской плате или в корпусе блока.

Важно обеспечить правильную последовательность осмотра. Прежде всего, необходимо осмотреть помещение, в котором находится компьютерное оборудование; установить и отразить в протоколе осмотра его локализацию в здании, где размещается подразделение; количество рабочих мест, наличие охранной сигнализации, состояние оконных и дверных проемов (повреждения, техническое состояние), запорных устройств; наличие экранизирующих средств защиты; микроклиматические условия эксплу­атации на момент осмотра (температура, влажность воздуха).

Желательно изготовить план осматриваемого помещения с обозначением на нем мест расположения оборудования. При детальном осмотре необходимо обнаружить, зафиксировать и изъять вещественные доказательства. Это, прежде всего, магнитные носители (диски, дискеты, ленты) с записанной на них информацией, имеющие отношение к рассматриваемому событию; журнал оператора, тексты программ, письма, счета и другие документы, составленные с помощью ЭВМ;регламентирующая документация (технические проекты, инструкции, рабочие журналы); распечатки информации ОЗУ и пошаговых действий компьютера, прошитые схемы ПЗУ; программы-ловушки компьютерных вирусов, ус­тройства защиты и регистрации моментов включения вычислительных систем и подключения к ним извне; протокол работы компьютера за определенный период (время включения и выключения, наименование директорий и файлов, с которыми работал пользователь).

Кроме перечисленных выше, вещественными доказательствами могут также быть сами компьютеры, их отдельные блоки, внешние устройства, соединительные кабели. Они особенно важны в тех случаях, когда имеется подозрение, что имело место преднамеренное (или неосторожное) нарушение правил эксплуатации компьютерной техники, вызвавшее уничтожение файлов, баз данных или вывод из строя узлов и деталей компьютера.

В протоколе осмотра указывается местонахождение изымаемой информации. Она может находиться на жестких магнитных дисках, оптических дисках, дискетах, магнитных лентах, оперативных запоминающих устройствах (ОЗУ), в постоянном запоминающем устройстве (ПЗУ), бумажных носителях (листингах с принтеров), в ведущихся на вычислительных комплексах журналах, иных документах, составленных с помощью ЭВМ.

Следователю при поиске, фиксации и изъятии вещественных доказательств полезно иметь при себе носители информации для копирования на них информации, содержащейся в компьютере, а также для хранения сервисных программ, подбор которых может производиться в ходе накопления опыта расследования уголовных дел рассматриваемой категории, и по мере создания новых или более совершенных программ. Рекомендуемый минимальный набор включает сервисные программы, обеспечивающие определение свойств и качеств компьютера (тестовые программы), проверку исправности отдельных устройств и внешней памяти.

Кроме того, для работы с компьютером следователю необходима любая программа, позволяющая работать с информацией на жестком диске компьютера (копировать и просматривать информацию, содержащуюся в файлах, хранящихся на компьютере).

Если объектами осмотра является неработающий компьютер и находящаяся в нем информация, следует:

а) отразить в протоколе осмотра и прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, «мыши», дисководов и др.) с указанием наименования, номера, модели, формы, цвета каждого из них;

б) описать порядок соединения между собой вышеуказанных устройств с указанием количества соединительных разъемов, их спецификации, вида проводов и кабелей, их цвета и количества; установить, интегрирован ли данный компьютер в локальную или распределенную сеть, и если да, то каковы способ и средства подключения к сети;

в) в случае изъятия компьютера с места осмотра упаковать устройства, соединительные кабели и провода так, чтобы предотвратить их повреждение при транспортировке (особой осторожности требует транспортировка системного блока и винчестера, если он изъят из блока);

г) упаковать отдельно носители информации (дискеты, магнитные ленты, компакт-диски), указав в протоколе осмотра место обнаружения каждого носителя (стол, шкаф, сейф), температуру воздуха, при которой он хранился; характер упаковки носителей (конверт, коробки, обертка из фольги), надписи на упаковке, наклейки на носителях с соответствующими надписями, цвет материала упаковки и наклеек; ти­поразмер в дюймах; изготовитель; плотность записи и номер, если они обозначены на дискете, состояние средств защиты записи от стирания, открытые или отломанные шторки на дискетах и кассетах; особые при­меты (царапины, иные повреждения, гравировки и др.) на магнитных носителях; тип компьютера, для которого предназначен изымаемый магнитный носитель, его марку, фирму-изготовитель;

д) отразить в протоколе осмотра места обнаружения изымаемых документов (журналы, листинги, техническая и технологическая документация) с указанием их наименований, количества экземпляров, числа страниц.

Если объектами осмотра являются работающий компьютер и имеющаяся на нем информация, то, кроме действий, описанных применительно к компьютеру неработающему, следует определить, какая программа выполняется, для чего необходимо изучить и зафиксировать в протоколе информацию, фигурирующую на экране дисплея.

Некоторые программные сервисные средства обеспечивают вызов и исполнение программы и предоставляют возможность просмотра наименований всех ранее вызывавшихся программ. По мере необходимости можно остановить исполнение программы.

Следует отразить в протоколе осмотра все действия по остановке работы программы, т.е. указать наименование программы, которая исполнялась, и полученную после окончания ее работы информацию; установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стримеры, оптические диски) с указанием в протоколе их типа (вида), их количества; скопировать информацию (программы, файлы данных), имеющуюся в компьютере.

Особенно это важно для информации, находящейся в ОЗУ и виртуальном диске, т.к. после выключения компьютера она уничтожается.

Необходимо установить и зафиксировать в протоколе количество подключенных к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети; завершить работу сетевых файл-серверов путем выдачи команды заверше­ния работы сервера, если завершение работы не нанесет ущерба сети (в противном случае организовать оперативный контроль работы сервера до полного исполнения работающей в данный момент программы); по возможности организовать параллельный осмотр включенных в локальную сеть рабочих станций.

Если такая возможность отсутствует, то надо обеспечить остановку их работы и далее производить осмотр по схеме «компьютер не работает»; выключить электропитание серверов, проследив за отключением источников питания и отсоединив вилки от розеток; отключить сетевые серверы от рабочих станций и компьютеров путем отсоединения соответствующих разъемов; отключить от системных блоков серверов модемы, клавиатуру, мониторы, принтеры (несъемные магнитные носители информации серверов изымаются вместе с системным блоком и имеющимися отдельными дисковыми подсистемами).

При значительном весе и объеме изымаемого оборудования необходимо решить вопрос об опечатывании помещения, где оно установлено. При этом надо накрыть системные блоки водонепроницаемыми чехлами для защиты от протечек воды — в том числе и умышленных. Если невозможно осмотреть достаточно полно и тщательно компьютеры, записать на магнитных носителях информацию на месте происшествия, то их дополнительный осмотр производится по месту производства расследования с участием специалистов и в присутствие понятых, которые своими подписями, помимо записей в протоколе, удостоверяют распечатки информации, полученные в ходе дополнительного осмотра.

Некоторые особенности имеет осмотр системного блока компьютера. Необходимо проверить, вскрывался ли системный блок компьютера (повреждена ли гарантийная пломба, на месте ли все винты крепления лицевой панели и крышки блока). Если вскрывался, то необходимо установить причину и последствия этого, снять с помощью специалистов крышку блока и путем визуального осмотра проверить состояние его внутренних узлов, обратив особое внимание на наличие винчестера (если винчестер отсутствует, то, как правило, это означает, что он похищен); наличие дополнительных плат в блоке, не предусмотренных технической и технологической документацией на осматриваемый блок, и его периферийных компонентов (хищение информации может быть, в частности, осуществлено при помощи таких плат, как факс-модем и сетевой адаптер); наличие на материнской плате соединений, не предусмотренных инструкцией по эксплуатации данной платы (это может быть следствием того, что снят пароль на вход компьютера, а информация похищена простой перезаписью на дискеты); наличие дополнительных проводов, что может свидетельствовать о хищении информации путем подключения дополнительного устройства — например, второго винчестера.

Затем следует включить системный блок, подсоединив к нему предварительно все необходимые устройства компьютера (монитор, клавиатура, принтер).

После включения питания необходимо проверить, не нарушен ли пароль на вход в компьютер. Если пароль нарушен или уничтожен, это свидетельствует о том, что преступник вскрывал системный блок и при помощи соответствующей цепочки переключений уничтожил установленный пароль. Если же пароль не нарушен, а факт хищения информации установлен, то это, как правило, свидетельствует о знании пароля похитителем; так же надо проверить, не использованы ли в данном случае вирусы.

Проверка на вирусы осуществляется двумя способами.

Необходимо проверить версию и о непреднамеренном, случайном заражении вирусом, например, произошедшем при использовании посторонних дискет с компьютерными играми, зараженными вирусом.

Осматривая изъятую документацию, особое внимание следует обратить на подчистки, исправления; дополнительные записи; отсутствие нумерации страниц; дополнительно вклеенные страницы, листки, бланки; письменные распоряжения на исполнение каких-либо работ по изменению программ, вводу дополнительной информации, не предусмотренной технологическим процессом; соответствие ведущихся в системе форм регистрации информации нормам и правилам, установленным технической и технологической документацией.

Все выявленные отступления и отклонения от правил должны быть зафиксированы в протоколе осмотра.

При расследовании компьютерного преступления может возникнуть необходимость в производстве обыска. Основаниями для него иногда служат обнаруженные при осмотре места происшествия следы и другие вещественные доказательства, косвенно указывающие на определенное лицо, как на виновника расследуемого преступления. Данные, полученные при допросах свидетелей, также могут послужить основанием к производству обыска.

Ситуациями, предрасполагающими к производству обыска, могут быть случаи, когда определенное лицо замечено за работой с запрещенными для него базами данных и программами или за копированием информации, с которой по роду своей деятельности он не должен работать, либо за вскрытием блоков компьютера, что не входит в его служебные обязанности. Повод к обыску может дать также факт допуска постороннего лица к работе с защищенными базами данных.

Основанием для производства обыска является наличие достаточных данных полагать, что в каком-либо помещении или ином месте или у какого-либо лица находятся орудия преступления, предметы и ценности, добытые преступным путем, а также другие предме­ты и документы, могущие иметь значение для дела (ст. 182 УПК).

Обыску, как и большинству других следственных действий, должны предшествовать подготовительные мероприятия, в том числе создание следственно-оперативной группы, состав которой определяется в зависимости от характера объектов, подлежащих обыску, а также искомых предметов. Следует иметь в виду, что в эту группу зачастую требуется включить специалиста, в задачу которого входит консультирование следователя по вопросу о возможной относимости обнаруженных при обыске предметов к расследуемому преступлению. В зависимости от ситуации таким специалистом может быть математик-программист, инженер-электронщик (по компьютерам), специалист по средствам связи. Необходимость участия специалиста в производстве обыска по делу о компьютерном преступлении обусловлена тем, что следователь, даже высокой квалификации и специализирующийся на расследовании компьютерных преступлений, не всегда может обратить внимание на некоторые важные для дела носители информации, электронные блоки, их части или неизвестные ему средства связи.

Руководитель группы обыска должен позаботиться о необходимых технических средствах, могущих потребоваться при обыске для обнаружения искомых предметов и тайников, в которых они могут быть скрыты. Не рекомендуется применять технические средства, которые могут нанести повреждения магнитным носителям, электронным устройствам (магнитные искатели, щупы и т.п.). Во избежание неблагоприятных последствий предлагается использовать следующие методы и средства поиска: простукивание мест вероятного нахождения тайников; визуальное исследование укромных мест с соблюдением строгой последовательности осмотра предметов, вещей домашнего обихода или имущества в служебных помещениях; применение эндоскопов для осмотра труднодоступных мест (например, щели, отверстия, вентиляционные отверстия, днища у мебели, сейфов и т.п.); применение портативных приборов на основе слабого гамма-излучения для определения неоднородностей и пустот, например, в монолитных кирпичных и бетонных стенах, в которых могут быть устроены тайники.

Исходными данными, позволяющими определить круг искомых предметов, могут быть, в зависимости от вида компьютерного преступления, результаты осмотра места происшествия, сведения, полученные в результате производства других следственных действий и производства оперативно-розыскных мероприятий.

В зависимости от следственной ситуации местами обыска могут быть:

 а) компьютерные помещения и находящиеся в них сейф, шкафы, рабочие столы;

б) служебные кабинеты должностных лиц, подозреваемых в данном преступлении;

в) дома, квартиры, дачи, садовые домики обвиняемых, их родственников и знакомых, где могут храниться похищенная информация на магнитных носителях, документы и иные предметы, имеющие доказательственное значение по делу.

Основными объектами поиска при обыске являются:

а) различного вида носители информации, в том числе винчестеры;

б) документы с текстами программ, распечатки по результатам работы с базами данных, инструкции для пользователей компьютерной техники, записи с кодами и шифрами для входа в компьютерные системы;

в) похищенные компьютеры, их отдельные устройства;

г) дневники, записные книжки, в частности, с записями о полученных, отпущенных ценностях, адресов, телефонов соучастников;

д) технические средства подделки документов (печати, штампы, реактивы для удаления текстов, отдельных букв, цифр и др.);

е) средства компьютерной техники, с помощью которых обвиняемый мог проникать в информационные компьютерные сети организаций и учреждений.

Для того чтобы не обойти вниманием какие-либо мелкие предметы (например, электронные детали) и не оставить вне поля зрения какие-либо хранилища, поиски следует вести планомерно, соблюдая строгую последовательность обыска.

Обнаружив предметы, свидетельствующие о возможной причастности подозреваемого к преступлению, необходимо обратить на них внимание понятых.

Результаты обыска должны быть точно и достаточно подробно зафиксированы в протоколе обыска с описанием не только обнаруженных предметов, но и мест их обнаружения.

Если предметы, например ценности, обнаружены в результате вскрытия тайников, то тайники с находящимися в них вещами целесообразно сфотографировать так, чтобы на фотографиях был виден не только тайник, но и предметы окружающей его обстановки. Снимки, оформленные в виде фототаблицы, необходимо приложить к протоколу обыска.

Объектами выемки могут быть: а) имеющие значение для дела предметы, в том числе похищенное, нажитое преступным путем; б) орудия преступлений (например, компьютеры, факсы, программы, магнитные носители, а в случае тайного проникновения в компьютерные помещения — отмычки, средства взлома), добровольно выдаваемые лицом, обвиняемым либо заподозренным в преступлении, либо его родственниками, знакомыми, у которых объекты выемки хранятся; в) почтово-телеграфная корреспонденция, которая может свидетельствовать о фактах преступления, местонахождении похищенного, соучастниках, преступных связях обвиняемого (подозреваемого).

Требования к упаковке, транспортировке и хранению изъятых предметов аналогичны тем, которые предъявляются при производстве осмотра места происшествия.

Назначение судебных экспертиз по делам о преступлениях в сфере компьютерной информации необходимо как для исследования собствен­но информационно-технологических процессов сбора (накопления, хранения, поиска, актуализации, распространения информации и пред­ставления ее потребителю в условиях функционирования компьютерных сетей), так и отдельно взятых технических и иных средств обеспечения этих процессов.

Информационно-технологическая экспертиза назначается в тех случаях, когда для возникающих в ходе расследования вопросов требуются специальные познания в технологии информационных процессов.

Спецификой информационно-технологических экспертиз при расследовании неправомерного доступа к информации в компьютерных сетях является то, что в качестве экспертов привлекаются специалисты в области технических средств обеспечения компьютерных сетей и технологий из числа сотрудников ГУСТМ, УССиА, НПО «Спецтехника и связь» и образовательной системы МВД.

В случае, если в результате неправомерного доступа произошла утечка информации, составляющей государственную тайну, то для проведения экспертизы привлекаются сотрудники соответствующих подразделений ФСБ.

Возможности этой экспертизы достаточно широки. С ее помощью можно определить: соответствие существующего технологического процесса компьютерной обработки информации с проектной и эксплуатационной документацией на конкретную информационную систему либо сеть; конкретные отклонения от установленной информационной технологии; непосредственных исполнителей, допустивших нарушение установленной информационной технологии, надежность организационно-технологических мер защиты компьютерной информации, вредные последствия, наступившие вследствие неправомерного нарушения установленной технологии компьютерной обработки информации; обстоятельства, способствовавшие преступному нарушению технологии электронной обработки информации.

При назначении информационно-технологической экспертизы могут быть поставлены следующие вопросы: соответствуют ли процессы сбора, обработки, накопления, хранения, поиска и распространения информации установленной проектной и эксплуатационной документацией информационной технологии в данной компьютерной системе или сети; если нет, то какие конкретно отклонения от нее допущены; кем именно нарушены технологические требования в процессе эксплуатации данной компьютерной сети; кто из должностных лиц должен был обеспечить соблюдение установленной технологии электронной обработки данных; какие организационно-технологические меры защиты компьютерной системы, предусмотренные эксплуатационной документацией, были приняты; какие вредные последствия связаны с нарушением установленной технологии электронной обработки информации; является ли данное отклонение от технологии обработки данных главной причиной наступивших последствий; каковы основные причины нарушения установленной обработки компьютерной информации; какие меры необходимо принять для их устранения.

Судебная аппаратно-компьютерная экспертизаназначается в том случае, когда в ходе следствия возникает необходимость в специальных исследованиях непосредственно технической части — отдельных узлов, блоков, периферийных устройств, оборудования, составляющих компьютерные системы или сети, пластиковых карт, дисков, дискет, других носителей информации, обрабатываемых компьютерами, а также программных средств. К ее основным задачам относятся: определение технического состояния компьютерного оборудования и пригодности его для решения задач, предусмотренных проектной и эксплуатационной документацией на данную информационную систему, техническое исполнение конкретных технологических информационных процессов и отдельных операций, ставших предметом предварительного следствия; установление конкретного терминала, с которого совершен несанкционированный доступ в данную компьютерную сеть; восстановление содержания поврежденных информационных массивов, отдельных файлов на магнитных носителях; выявление технических причин сбойных ситуаций в работе компьютера; установление подлинности информации, записанной на машинных носителях (дисках, дискетах, пластиковых картах) и внесенных в них изменений; выявление в программе для ЭВМ разного рода неправомерных изменений, дополнений, вставок преступного характера; установление вида компьютерного вируса, источника его проникновения в исследуемую систему и вредные последствия, причиненные им; установление соответствия средств защиты информации от несанкционированного доступа и проникновения компьютерного вируса установленным сертификационным требованиям.

Успешное проведение судебной аппаратно-компьютерной экспертизы зависит от правильной постановки и формулировки вопросов.

Ниже приводится их основной перечень.

1) Позволяет ли техническое состояние компьютерного оборудования
решать в полном объеме задачи, предусмотренные проектной и эксплуатационной документацией на данную компьютерную сеть?

2) С какого терминала и по каким средствам связи и телекоммуникации мог быть совершен несанкционированный доступ в данную компьютерную сеть?

3) Возможно ли восстановить записанную прежде информацию на
частично поврежденном машинном носителе? Если да, то каково ее содержание?

4) Какова причина выявленных в ходе следствия сбоев данного компьютерного оборудования? Можно ли было их предотвратить с помощью технических средств?

5) Какие действия, предусмотренные определенными правилами, не
выполнило данное лицо для предотвращения сбоя, несанкционированного доступа, уничтожения файла, неправомерного копирования компьютерной информации?

6) Является ли подлинным представленный на исследование данный
машинный носитель информации или это его копия?

7) Имеются ли какие-либо несанкционированные изменения информации, записанные на подменные диски (или дискеты)? Если да, то каково их содержание?

8) Могла ли быть использована в данной компьютерной сети посторонняя программа без автоматической регистрации ее использования?

9) Имеется ли в данной программе преднамеренная «закладка» (зарезервированное место в программе на случай необходимости последующей вставки дополнительных команд)? Если да, то для какой конкретной цели она была предусмотрена и кто ее автор?

10) Какие средства защиты от вредоносных программ предусмотрены в данной сети и насколько они надежны? Имеется ли на них сертификат и соответствуют ли они его требованиям?

11) Каким образом могло произойти заражение данной сети компьютерным вирусом?

12) К какому классу (типу) относится вирус, заразивший данную компьютерную сеть? Каков источник его происхождения?

13) Какой вред причинен данным компьютерным вирусом?

Круг вопросов по двум видам экспертиз предлагаемыми перечнями не исчерпывается. По характеру конкретного преступления могут быть поставлены и другие вопросы. Объем их, в конечном счете, определяется следователем в зависимости от расследуемого события и выяснения этих или иных обстоятельств информационно-технологического или информационно-технического характера.

Так, по делам о неправомерном доступе к охраняемой законом компьютерной информации перед информационно-технологической экс­пертизой могут быть поставлены более частные вопросы, относящиеся к режиму ее обработки и охраны, — главным образом, к организационно-административным мерам защиты этой информации.

Для проведения информационно-технологической экспертизы привлекаются сведущие лица в области информатики и проектирования информационных систем и технологий, формирования банков и баз данных, а также режима использования их.

В процессе расследования преступлений в сфере компьютерной информации, помимо рассмотренных экспертиз, может возникнуть необходимость производства и других видов экспертиз.

Поэтому, прежде чем назначать какую-то идентификационную экс­пертизу по делам о преступлениях в сфере компьютерной информации, надо предварительно проконсультироваться со специалистом, выявить возможности такой экспертизы и определить, какие материалы, сведения и сравнительные образцы для исследования представить эксперту. С ним же следует согласовать формулировку вопросов для включения в постановление о назначении экспертизы.

Нередко экспертные исследования в сфере компьютерной информации носят комплексный характер, когда для их производства приглашаются высококвалифицированные специалисты по информатике, вычислительной технике и программированию, а также в области традиционных видов криминалистической экспертизы.

Кроме того, подлинную информацию на машинных носителях предварительно следует скопировать, и экспертизу проводить только на рабочих копиях, иначе можно случайно безвозвратно уничтожить очень важные доказательства.

Допросы — важное средство установления непосредственного предмета преступного посягательства. Им могут быть данные, составляющие конфиденциальную информацию. Допросы свидетелей, и особенно обвиняемых, могут дать полную картину о характере (механизме, способе) преступления.

По уголовным делам о компьютерных преступлениях, как и по делам иных категорий, в роли допрашиваемых выступают главным образом свидетели и подозреваемые либо обвиняемые.

Среди допрашиваемых, чьи показания способны облегчить расследование, могут оказаться представители различных компьютерных специальностей, занимающие самые разнообразные должности. Это, например, администраторы баз данных, программисты, операторы, работники службы защиты информации, специалисты в области применения средств связи, хранители магнитных лент, дисков и дискет с записью компьютерной информации.

Необходимо иметь в виду, что допрашиваемые могут добросовестно заблуждаться или умышленно искажать известные им факты. Поэтому в процессе допроса очень важно по возможности распознать, дифференцировать то, что представляет собой достоверные сведения, что является субъективным впечатлением (мнением), а что – вымыслом. И в этом специалист тоже может помочь следователю. Круг вопросов, выясняемых на допросах свидетелей и обвиняемых, весьма широк. При допросе свидетели и обвиняемые способны оказать помощь следователю в установлении факта компьютерного преступления.

Допросами свидетелей целесообразно установить, кто первым обнаружил факт расследуемого компьютерного преступления, выявлен ли этот факт кем-либо по собственной инициативе или как-то иначе, например, по жалобе лица, являющегося потерпевшим по данному делу; не обнаружены ли признаки преступления в процессе проверки, проведенной аудитором или прокурором.

Необходимо поинтересоваться, какие признаки позволили предположить факт преступления (частые претензии клиентов, систематические сбои в процессе работы компьютерного оборудования, подозри­тельное поведение кого-либо из персонала компьютерной сети, выразившееся, в частности, в нездоровом любопытстве к технологии работы с информацией в других подразделениях или к чужим распечаткам; исчезновение первичных документов и др.).

При версии о том, что несанкционированному доступу к компьютерной информации способствовало невыполнение требований о периодической замене паролей, кодов, шифров-ключей, целесообразна постановка вопроса: проводились ли соответствующие регулярные проверки, и если да, то с какой периодичностью.

Оператор компьютера в благоприятных случаях может ответить на вопрос: не обнаружил ли он признаков тайного изменения или дополнения используемых в данной компьютерной системе программ, каким изменениям или дополнениям они подвергались и кого он подозревает в манипуляциях с программами.

У лиц, обслуживающих компьютерную сеть, в необходимых случаях надо попытаться выяснить: не известны ли им факты несанкционированного доступа к компьютерной информации при помощи универсальной программы, применяемой в аварийных ситуациях.

При расследовании неправомерного доступа к компьютерной информации на допросе обвиняемого может быть поставлен вопрос о том, совершен неправомерный доступ непосредственно на месте нахождения информационных ресурсов или для этого применены технические средства удаленного доступа. При подтверждении версии об удаленном доступе выясняется, какое техническое средство для этого было применено, и откуда конкретно был осуществлен доступ.

Важной задачей допроса является установление места хранения информации, добытой в результате неправомерного доступа к ней.

Рекомендуется на допросах с точностью до минут устанавливать время совершения преступного деяния, если оно не было зафиксировано в оперативной памяти компьютера и не отражено на дисплее, дискете или распечатке.

Допрашиваемые иногда способствуют установлению последствий расследуемого преступления. В связи с этим целесообразна постановка вопросов относительно того, не явились ли результатами действий преступника блокирование или копирование информации; не была ли она изменена либо уничтожена полностью или частично; не введена ли в компьютерную систему заведомо ложная информация; не является ли программа вредоносной.

При расследовании компьютерных хищений на допросах свидетелей и обвиняемых выясняются размеры похищенного, а при расследовании нарушений правил эксплуатации компьютерного оборудования — какое, по мнению допрашиваемых, оборудование и каким разрушениям, повреждениям подверглось, не произошло ли блокирование компьютерной информации, не подверглась ли она модификации, какая информация подверглась уничтожению (например, отнесенная к государственной тайне, конфиденциальная, представляющая собой персональные данные); какова ее стоимость.

Допросы свидетелей и обвиняемых могут способствовать также установлению лиц, совершивших те или иные компьютерные преступления.

При расследовании неправомерного доступа к компьютерной информации у обслуживающего персонала компьютерной сети выясняется, кто проявлял интерес к соответствующим информационным данным, кто обладает глубокими познаниями и навыками в деле программирования.

Должностных лиц, ответственных за доступ к компьютерной сети, следует допросить по вопросу о том, не обнаруживались ли ими попытки нарушения порядка доступа к информации, и при утвердительных ответах узнать, кем такие попытки предпринимались, кого они подозревают в расследуемом неправомерном доступе и по каким основаниям. При расследовании компьютерных хищений бывает необходимо путем допросов выяснить, кто, в каком качестве участвовал в определенной операции.

Допросами обвиняемых важно выяснить цель и мотив, по которым совершено то или иное компьютерное преступление. В связи с этим могут быть заданы вопросы: с какой целью совершено преступление, в частности, если осуществлен неправомерный доступ к компьютерной информации, не явился ли он подготовкой к совершению другого преступления, и при положительном ответе, — какого именно (хищения или иного), не совершен ли несанкционированный доступ к информации с целью ознакомления с нею, ее копирования, уничтожения, изменения или блокирования, вывода из строя компьютерного оборудования, получения данных о системе защиты информации; не совершено ли компьютерное преступление по корыстному мотиву либо из чувства мести.

С помощью умелых допросов свидетелей и обвиняемых облегчается установление обстоятельств, способствовавших совершению расследуемых компьютерных преступлений. Следует иметь в виду, что многие компьютерные злоупотребления совершаются с использованием дефектов компьютерной системы, средств защиты и технологии обработки информации. Путем допросов могут выясняться «врожденные» пороки компьютерной сети и ее функциональные возможности.

При сомнении в изначальной надежности компьютерной сети перед допрашиваемыми могут быть поставлены вопросы о том, какой организацией и по чьему заказу произведена разработка данной системы; в какой срок она была осуществлена; были ли составлены все необходимые документы на разработку (договор, техническое задание, технический проект, регламенты внесения изменений в систему и др.); определялись ли условия выполнения работ и ответственность сторон; предусмотрены ли в системе технологические операции по приему, хра­нению, обработке и передаче электронных документов, допускающие бесконтрольное вмешательство человека, имеющего прямой доступ к информации, либо опосредованный доступ.

На допросах разработчиков компьютерной сети, прежде всего, выясняются функции, выполнявшиеся ими в процессе разработки (автор технического проекта, идеолог, менеджер системы и т.д.).

Существенное значение имеет выяснение вопроса, проводились ли официальные испытания программы на моделях соответствующих документов.

Не менее важно получить, благодаря допросам свидетелей и обвиняемых, представление о состоянии, порядке функционирования компьютерной сети.

Применительно к средствам защиты информации на допросах целесообразно выяснять, предусмотрены ли вообще таковые в данной компьютерной сети, если да, то какие именно (программные, аппаратные, организационные, криптографические). Рекомендуется выяснить, сертифицированы ли средства защиты, обеспечено ли их изготовление соответствующей лицензией.

Следует получить объяснения допрашиваемых относительно существующего порядка допуска пользователей к тем или иным базам данных.

При версии о совершении каких-либо компьютерных манипуляций с использованием технического несовершенства системы целесообразно ставить перед допрашиваемыми вопрос, допускает ли данная система выполнение операций, не предусмотренных или запрещенных техническим заданием на разработку компьютерной сети, либо без согласия заинтересованного учреждения.

Иногда компьютерным злоупотреблениям способствует несовершенный порядок внесения изменений в систему. В связи с этим на допросах рекомендуется выяснять, имеются ли нормативная документация и регламент, определяющие порядок внесения изменений в программное обеспечение; могли ли вноситься измерения программистом или оператором по чьей-либо просьбе.

Компьютерным преступлениям во многом способствует отсутствие или низкое качество контроля над функционированием системы. Поэтому на допросах необходимо выяснять, осуществлялись ли проверки компьютерной системы, если да, то как, кем они проводились и что выявляли. Существенное значение может иметь выяснение частных вопросов организации контроля, например: в чем конкретно заключается контроль над действиями оператора (нормативный и фактический); разрешено ли оператору действовать самостоятельно в рамках установленного порядка выполнения определенных операций; в присутствии какого должностного лица должна осуществляться та или иная операция.

Поскольку одним из обстоятельств, способствующих совершению компьютерных преступлений, является совмещение в одних лицах функций по разработке и эксплуатации компьютерных сетей или программного обеспечения, на допросах выясняется, не имело ли место такое совмещение. Очень важно выяснить на допросах, осуществлялись ли все необходимые процедуры регистрации и протоколирования компьютерных операций.

При расследовании неправомерного доступа к компьютерной информации возникает необходимость выяснить на допросах, не нарушались ли сроки изменений паролей, кодов, шифров-ключей, а также сроки хранения копий компьютерных программ и компьютерной информации. В процессе расследования нарушений правил эксплуатации компьютерной сети приходится посредством допросов устанавливать, не способствовали ли нарушениям правил неисправность компьютерного оборудования, его несоответствие техническому заданию и техническому проекту, неприменение средств защиты, имеющих надлежащую сертификацию; не обусловлены ли допущенные нарушения слабым контролем над операциями на компьютере со стороны администратора сети.

Предметом допроса являются иногда функциональные обязанности, квалификация, уровень профессиональной подготовки персонала, обслуживающего компьютерную сеть. Особенно важно выяснить это при расследовании нарушений правил эксплуатации компьютерной сети. В связи с этим целесообразно ставить вопросы о том, какую техническую подготовку и когда, в каком учебном заведении получил допрашиваемый; какую работу он призван выполнять; каков нормативный порядок выполнения данной работы; считает ли свои знания и практические навыки достаточными для ее квалифицированного выполнения.

При расследовании компьютерных преступлений, как и по уголовным делам иных категорий, наибольшую сложность представляют допросы обвиняемых.

Применительно к стадии подготовки, к таким допросам необходимо заметить, что среди подлежащих выяснению данных о допрашиваемых наряду с психологическими качествами большое значение могут иметь сведения об уровне их подготовки в области компьютерной техники и компьютерной технологии. Представление о квалификации подлежащих допросам обвиняемых облегчает оценку их показаний и, в конечном счете, решение вопроса о фактической возможности совершения ими тех или иных действий, например, проникновения в компьютерную сеть определенным способом. В случаях нарушений правил эксплуатации ЭВМ или сетей недостаточный уровень техничес­кой подготовки обвиняемых позволяет менее строго подойти к оценке степени их ответственности за содеянное.

Качество технической подготовки обвиняемого устанавливается как при подготовке к его допросу, например, по объяснениям его руководителей, коллег, так и в начале самого допроса, путем постановки вопросов о том с какими затруднениями была связана его учеба, какие оценки имел по предметам, касающимся устройства и эксплуатации компьютерного оборудования, компьютерной технологии, каков стаж его работы по специальности, как сам оценивает свои познания и опыт, имеет ли хобби в технической сфере, какими компьютерными операциями занимается с особым увлечением (программирование, формирование и использование баз данных, проверка надежности системы защиты информации и т.д.).

При наличии нескольких обвиняемых следует оптимально определить очередность их допросов. Здесь действует общее тактическое правило — в первую очередь допросить тех, кто по имеющимся данным в совершении преступления играл второстепенную роль, против кого имеется наибольшее количество улик, кто обладает менее выраженными волевыми качествами или наделен в большей степени положительными свойствами.

На допросе лица, более склонного к даче правдивых показаний, целесообразно получить максимально подробные сведения о подготовке, совершении преступления, сокрытии его следов, отношениях допрашиваемого с организатором преступления, истории, характере, эволюции их взаимоотношений, всех известных допрашиваемому деталях, характеризующих роль в расследуемом событии других соучастников.

При сомнении в правдивости даваемых показаний оправдывает себя повторный, максимально детализированный допрос по тем же обстоятельствам, с некоторым изменением последовательности выясняемых вопросов, последующим выявлением возможных противоречий в разновременных показаниях и их использованием с целью изобличения допрашиваемого в неправдивости.

Не вызывающие сомнений показания, уличающие другого обвиняемого, могут быть с успехом использованы при допросе последнего.

Нередко достаточно эффективным оказывается предъявление обвиняемому материалов уголовного дела компрометирующего характера и показывающих осведомленность следователя о существенных обстоятельствах дела. Обычно это результаты различных следственных действий (следственного осмотра, допросов свидетелей и других обвиняемых, обыска), а также заключений судебных экспертов.

При расследовании по уголовному делу о неправомерном доступе к компьютерной информации позитивное психологическое воздействие на обвиняемого может оказать зафиксированный в рабочем журнале или в протоколе работы компьютера факт включения вычислительной системы или подключения к ней извне во время, когда обвиняемый, судя по имеющимся в деле сведениям, находился на соответствующем рабочем месте.

Подобное воздействие на обвиняемого способно оказать также оз­накомление его с той частью протокола осмотра места происшествия, где зафиксированы:

а) признаки вскрытия системного блока компьютера (повреждение гарантийной пломбы, отсутствие некоторых винтов крепления лицевой панели или крышки блока, нарушение или уничтожение пароля на вход в компьютер и др.);

б) отсутствие винчестера;

в) наличие в блоке плат, не предусмотренных технической и технологической документацией, в частности факс-модема или сетевого адаптера, при­меняемых с целью хищения информации;

г) наличие на материнской плате не предусмотренных инструкцией соединений, позволяющих снять пароль на вход в компьютер и похитить информацию путем ее перезаписи на дискеты;

д) наличие дополнительных проводов, что характерно для случаев подключения дополнительного устройства, например, второго винчестера, с целью хищения информации.

Изобличающей силой обладают показания свидетелей, видевших обвиняемого за использованием, в том числе копированием, баз данных и компьютерных программ, работать с которыми он не вправе, или за вскрытием блоков компьютера, вскрывать которые ему также запрещено.

Достаточно эффективным тактическим приемом, способным побудить обвиняемого дать правдивые показания, является предъявление ему вещественных доказательств, например, обнаруженных у него при обыске каких-либо из следующих предметов: похищенных носителей информации (винчестеров, дисководов и др.); программ; средств компьютерной техники, позволяющих проникать в компьютерные системы и сети; записей кодов и шифров для входа в компьютер; орудий взлома и инструментов, предназначенных для проникновения в помещения с вычислительным оборудованием; почтово-телеграфной корреспонденции, свидетельствующей о факте преступления, соучастниках, местонахождении носителей информации.

Эффективность допроса обвиняемого можно обеспечить путем предъявления ему заключения по результатам той или иной компьютерно-технической экспертизы.

Ими, в частности, могут быть экспертные заключения: о возможности неправомерного доступа в данную компьютерную сеть с терминала и при помощи средств связи, имеющихся в распоряжении обвиняемого: о наличии изменений на подменном но­сителе информации (диске, дискете); о возможности использования в компьютерной сети посторонней программы без автомати­ческой фиксации факта ее применения.

На лицо, обвиняемое в преступном нарушении правил эксплуатации ЭВМ, их системы или сети, серьезное психологическое воздействие, побуждающее к даче правдивых показаний, может оказать ознакомле­ние его с протоколом осмотра места происшествия и приложенными к нему фотоснимками, свидетельствующими о выведении из строя узлов и деталей компьютера, уничтожении файлов и баз данных.

При этом акцент может быть сделан на той части протокола осмотра, в которой зафиксирована неисправность определенных устройств, выявленная посредством специальной сервисной программы. При версии о наступлении отрицательных последствий из-за несоблюдения режима хранения носителей информации (компакт-дисков, магнитных лент, дискет и др.) целесообразно с тактической целью ознакомить обвиняемого с записями в протоколе осмотра относительно неблагоприятных условий, в которых хранились соответствующие объекты (температура воздуха и пр.).

Побудить допрашиваемого к даче правдивых показаний и признанию своей вины может ознакомление его с заключением эксперта, сведуще­го в вопросах компьютерной техники и технологии, о факте нарушения определенных правил эксплуатации ЭВМ, систем ЭВМ или их сети либо непосредственных причинах сбоев в компьютерном оборудовании, возможности их предотвращения с помощью определенных технических средств, а также о том, что нарушения допущены обвиняемым.

Позитивному психологическому воздействию на обвиняемого может содействовать и ознакомление его с экспертным заключением, устанавливающим причины и условия, способствовавшие допущенным нарушениям.

Позиция обвиняемого, характеризуемая установкой на отрицание вины и дачу неправдивых показаний, может быть в известной мере ослаблена при ознакомлении его с заключением компьютерно-технической экспертизы, например, о том, что в какой-либо программе, с которой работал обвиняемый, предусмотрено свободное место для последующего включения дополнительных команд либо о ненадежности защиты компьютерной сети от вредоносных программ или об однородности вирусов, которыми заражены программа, изъятая из компьютерной сети, и программа, обнаруженная при обыске у обвиняемого.

ЗАКЛЮЧЕНИЕ

В заключении могут быть сформулированы следующие выводы, предложения и рекомендации:

1. Методика расследования преступлений в сфере компьютерной информации и высоких технологий является сложной и трудоемкой. Поэтому успех расследования обусловливается четким знанием следователем и оперативным работником уголовного законодательства и строгое руководство им при квалификации расследуемого деяния, правильным применением тактических приемов проведения отдельных следственных действий и умелым использованием информации, полученной в ходе осуществления оперативно-розыскных мероприятий.

2. Практика показывает, что создание постоянно действующих следственно-оперативных групп, специализирующихся на раскрытии и расследовании преступлений в сфере компьютерной информации, является наиболее эффективной формой взаимодействия. Следственно-оперативная группа обеспечивает оперативное решение о возбуждении уголовного дела, своевременное производство неотложных следственных действий: задержание подозреваемых, их личный обыск и допрос, допрос потерпевших и свидетелей, осмотр предметов преступлений в сфере компьютерной информации, предъявление для опознания, а также препятствует уничтожению вещественных доказательств заинтересованными лицами.

3. Взаимодействие между следователем и подразделением уголовного розыска должно начинаться в форме согласованного планирования ещё на стадии, предшествующей возбуждению уголовного дела, с целью наиболее эффективного использования всех сил и средств, которыми располагают следователь и оперативные работники для доказывания преступной деятельности подозреваемого в преступлениях в сфере компьютерной информации. В качестве первоочередных необходимо планировать следственные действия и оперативно - розыскные мероприятия, направленные на фиксацию и изъятие следов преступления и других доказательств.

4. Существенное значение для дела имеют результаты тактически правильно проведенного допроса подозреваемого. Использовать фактор внезапности при допросе мошенника практически невозможно, поскольку тот заранее и со всей основательностью бывает подготовлен к возможной встрече с сотрудниками правоохранительных органов и располагает целым набором легенд, на воспроизведение которых факт задержания не влияет. Поэтому первый допрос целесообразно несколько отложить, с тем чтобы подготовить его более тщательно: пригласить очевидцев, могущих опознать и разоблачить преступника, подготовить заключения экспертиз, вещественные доказательства и т.д.

5. При допросе обвиняемого целесообразно использовать приемы логического воздействия, они эффективны при разоблачении ложного заявления обвиняемого, его алиби, т.е. его нахождении в момент, интересующий следователя, в другом месте, а не там, где он был в действительности. Кроме того, они с успехом могут быть использованы и в случаях так называемой «пассивной лжи» обвиняемого, когда он скрывает правду, заявляя в ответ на вопросы следователя: «не знаю», «не помню», «не видел» и т.п.

9. Для улучшения борьбы с преступлениями в сфере компьютерной информации и высоких технологий необходимо проводить научно-практические конференции, на которых бы рассматривались не только вопросы уголовно-правовой квалификации и профилактики данного вида преступления, но и методика расследования, в частности проблемы возникающие при расследовании и пути их решения. На оперативных совещаниях в следственных отделах должно проводится ознакомление следователей с новыми способами преступлений в сфере компьютерной информации и высоких технологий и методиками их расследования. Не исключено, что профессионализм в расследовании «новых» способов преступлений в сфере компьютерной информации и высоких технологий может быть приобретен и у следователей зарубежных стран путем обмена положительным опытом.

Список литературы:

1. Криминалистика. Учебник. В 2-х т. / Под ред. А.И. Бастрыкина / Т. Аверьянова, И. Александров, А. Бастрыкин и др. – М.: Экзамен, 2014.

2. Криминалистика: учебник для бакалавров / под ред. Л. Я. Драпкина. - М.: Издательство Юрайт, 2013.

3. Криминалистика: учебник для бакалавров / под ред. Н.П. Яблокова. - М.: Издательство Юрайт, 2013.

4. Вражнов А.С. Криминалистический риск при расследовании неправомерного доступа к компьютерной информации: монография. - М.: Юрлитинформ, 2014.

5. Косынкин А.А. Преодоление противодействия расследованию преступлений в сфере компьютерной информации: монография / Под ред.: Подольный Н.А. - М.: Юрлитинформ, 2013.

[1] Мирошников Б.Н. Борьба с киберпреступлениями – одна из составляющих информационной безопасности Российской Федерации / Б.Н.Мирошников // Информационная безопасность России в условиях глобального информационного общества «Инфофорум-5»: сборник материалов 5-ой Всероссийской конференции. М.: «Бизнес + безопасность», 2003. С. 40 - 45.

[2] Пособие для следователя по расследованию преступлений повышенной общественной опасности / под ред. Н.А. Селиванова и А.И. Дворкина. М.: «Лига Разум», 1998. С. 345.

[3] Мешков В.М. Компьютерные преступления и защита компьютерной информации: научно-практическое пособие/ В.М. Мешков, А.Н. Григорьев, Н.Ю. Проценко. Калининград: Калининградский юридический институт МВД России, 2003. С. 90.

[4] Расследование неправомерного доступа к компьютерной инфор­мации / под ред. Н.Г. Шурухнова. М.: Издательство «Щит-М», 1999. С. 134.

[5] Карпычев В.Ю. Теоретические и организационно-технические основы адаптивного управления информационными системами специального назначения: дис… д-ра техн. наук / В.Ю. Карпычев. М.: НПО «Спецтехника и связь» МВД России, 1999. С.187-189