Особливості тактики проведення окремих слідчих дій

Для вирішення слідчих ситуацій, що складаються при розслідуванні злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж і мереж електрозв'язку провадяться такі слідчі дії: огляд місця події, обшук і виїмка, допит підозрюваного (обвинуваченого), допит свідків, пред'явлення для впізнання, слідчий експеримент, призначення експертиз та ін.

Огляд місця події. У справах цієї категорії огляд місця події провадиться, як правило, до порушення кримінальної справи під час дослідчої перевірки і за участю спеціаліста в галузі інформатики й обчислювальної техніки. Також бажано понятими запрошувати осіб, знайомих із роботою ЕОМ. Беручи до уваги, що комп'ютерна інформація як предмет злочинного посягання може бути легко видозмінена або знищена, що призведе до втрати слідів злочину, огляд проводиться негайно. При цьому огляду підлягають:

- місце безпосереднього оброблення і збереження комп'ютерної інформації, яка стала предметом злочинного посягання;

- місце безпосереднього використання комп'ютерного обладнання з метою здійснення несанкціонованого втручання в роботу ЕОМ, доступу до баз даних або створення, використання та розповсюдження шкідливих програмних чи технічних засобів;

- місце збереження добутої злочинним шляхом з інших комп'ютерів, комп'ютерних систем і мереж інформації на машинному носії, в ЕОМ, системі ЕОМ або їх мережі;

- місце безпосереднього порушення правил експлуатації ЕОМ, автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється;

- місце шкідливих наслідків, що настали в результаті вчинення злочинів цієї категорії.

Сам огляд місця події варто починати із вжиття заходів щодо запобігання приховування злочинцем своїх дій із машинною інформацією. Для цього необхідно заборонити доступ до засобів обчислювальної техніки всім особам, які працюють на об'єкті. Під час огляду в першу чергу слід звернути увагу на розміщення комп'ютерів у конкретному приміщенні, якщо вони сполучені в мережу — розташування всіх комп'ютерів у мережі, призначення кожного з них, наявність виділеного сервера і його розташування, цілісність і місця прокладки кабелів, стан пристроїв телекомунікації (модемів, факсів-модемів), їхнє розташування і підключення до телефонних каналів. Ця інформація відображується в протоколі огляду, до якого додається схематичний план з'єднання пристроїв.

Під час огляду необхідно з'ясувати наявність спеціальних засобів захисту від несанкціонованого доступу до інформації, до яких можуть бути віднесені:

- спеціальні електронні картки, у які записується інформація про власників, їх паролі і ведеться урахування всіх операцій, виконуваних користувачем;

- електронні ключі доступу до персонального комп'ютера, у яких знаходиться мікропроцесор, у запам'ятовуючий пристрій котрого заноситься унікальна для кожного користувача інформація;

- пристрої ідентифікації користувачів за відбитками пальців; пристрій впізнання користувача за геометричними ознаками руки. При цьому користувач розміщує руку в масиві фоточарунок, де отримується інформація про довжину пальців та їх світлопровідність, потім проводить порівняння з еталоном, що зберігається в персональному комп'ютері;

- пристрої впізнання користувача за почерком, для чого використовуються динамічні (швидкість, тиск на папір) і статичні (форма і розмір) характеристики процесу підпису;

- пристрої впізнання користувачів за голосом на основі впровадження спеціальних багатоканальних фільтрів.

При наявності подібних пристроїв, підключених до комп'ютера, у них провадиться автоматична фіксація всіх незаконних спроб вторгнення. Наприклад, ці системи зчитують інформацію з магнітних карток незаконних власників, записують їхній голос, відбитки пальців. Ці дані надалі можуть бути використані для ідентифікації особи злочинця.

Необхідно вжити заходи щодо встановлення місця перебування і цілісності ключів, журналів, блокнотів або інших об'єктів, у яких відображені паролі доступу та ідентифікаційні коди. Об'єктами огляду також є різні журнали: обліку робочого часу, доступу до обчислювальної техніки, збоїв і ремонту, реєстрації користувачів мережі, проведення регламентних робіт; ліцензійні угоди і договори на користування програмними продуктами та їх розробкою; книги паролів, накази й інші документи, що регламентують роботу установи і використання інформації.

При огляді засобів електронно-обчислювальної техніки рекомендується: описати в протоколі призначення, назву, комплектацію, наявність і тип залучених периферійних пристроїв (принтерів, сканерів, модемів тощо); положення всіх перемикачів на всіх блоках і пристроях обчислювальної техніки. У випадку виявлення включеної техніки насамперед необхідно визначити, яка програма використовується на цей момент, далі зафіксувати в протоколі стан індикаторних ламп (включена або її немає, яким світлом горить, миготить і з якою частотою), а також інформацію, що висвітлюється на всіляких індикаторах, табло і моніторі, сфотографувати їх або зробити відеозапис. Відключити всі телефонні лінії, що підключені до комп'ютера. Описати всі з'єднання на задній стінці системного блока.

Учасникам огляду необхідно роз'ясняти всі дії слідчого і спеціаліста в ході маніпуляцій із ЕОМ. Неприпустиме втручання в інформаційну базу без наочного і доступного коментаря своїх дій. Має бути пояснено будь-яке натискання на клавіатуру, пересування миші тощо. Якщо для пошуку інформації задіюються програмні продукти, що не знаходяться в комп'ютері, а використовувані слідчим, це необхідно відзначити в протоколі огляду. Такі програми мають бути стандартними. Необхідно забезпечити наочність контролю, тобто всі ключові етапи роботи програми зображуються на екрані дисплея. У випадку виявлення шуканої інформації поточне зображення екрана дисплея також необхідно сфотографувати, після чого стандартними засобами переписати інформацію на постійний носій (зазвичай — магнітний диск) або роздрукувати.

Комп'ютери та їх комплектуючі опечатуються, магнітні носії упаковуються, зберігаються і перевозяться в спеціальних екранованих контейнерах або в стандартних дискетних футлярах заводського виробництва. У протоколі слідчої дії описуються основні фізичні характеристики пристроїв, що вилучаються, магнітних та інших постійних носіїв інформації, серійні номери, їх видимі індивідуальні ознаки. Машинні роздруківки оформляються як додаток до протоколу.

Обшук і виїмка. Беручи до уваги те, що комп'ютерне обладнання й комп'ютерна інформація можуть виступати не лише предметом злочинного посягання, а й знаряддям злочину, обшук та виїмка мають бути спрямовані на пошук і вилучення всіх можливих слідів, що пов'язані із функціонуванням зазначених об'єктів, наприклад:

- інформації щодо незаконних бухгалтерських і фінансових операцій, здійснених у кредитно-фінансовій сфері;

- програм, що відповідають за проведення електронних платежів у мережі Інтернет із використанням послуг Інтернет-магазинів та віртуальних фірм, а також списки здійснених перерахувань із чужих рахунків і кредитних карток;

- програмного забезпечення і баз даних, законними володарями яких є інші особи;

- файлів із конфіденційною інформацією, якою на законних підставах не може володіти наявний суб'єкт;

- шкідливих програмних та технічних засобів;

- особистої переписки та переписки співучасників, що стосується організації і вчинення злочину;

- відомості, що становлять державну, комерційну, банківську таємницю;

- зашифровані відомості, що пов'язані з учиненням злочину;

- записи кодів та паролів доступу;

- записні книжки, у тому числі й електронні, в яких можуть бути імена, прізвиська хакерів і співучасників, номери телефонів, банківських рахунків, ПІН-коди пластикових карток;

- телефонні рахунки за користування провайдерськими послугами;

- нестандартні периферійні прилади, прилади доступу до телефонної мережі та мережі ЕОМ;

- документи, посадові інструкції, якими регламентовані правила роботи з певною ЕОМ та комп'ютерною системою, мережею, із відповідними позначками співробітника, що засвідчують його ознайомлення з ними;

- особисті документи підозрюваного (обвинуваченого).

Допит підозрюваного (обвинуваченого).Тактика допиту, а також коло питань, які необхідно з'ясувати у підозрюваного (обвинуваченого) зумовлені конкретною слідчою ситуацією, що склалася на певному етапі розслідування цієї категорії злочинів. Проте в усіх випадках у процесі допиту підозрюваного (обвинуваченого) встановлюються такі обставини:

1) яку освіту має підозрюваний (обвинувачений), місце і час навчання, де і ким (на якій посаді) працював, з якою комп'ютерною технікою і з яким програмним забезпеченням має навички користування, де ними оволодів;

2) до якої комп'ютерної інформації має доступ; які операції з інформацією він має право проводити; яка його категорія доступу до інформації;

3) який його рівень підготовки як програміста, досвід роботи зі створення програм конкретного класу певною мовою програмування, знання алгоритмів роботи програм, що зазнали впливу;

4) які ідентифікаційні коди і паролі закріплені за ним (у тому числі при роботі в комп'ютерній системі або мережі);

5) до яких видів програмного забезпечення має доступ, яке джерело їх походження; чи виявлялися програми, джерело походження яких невідоме;

6) які види операцій з комп'ютерною інформацією виконував у досліджуваний час;

7) з якого джерела або від кого конкретно дізнався про інформацію, що зберігається на комп'ютері;

8) від кого була отримана інформація про заходи захисту комп'ютерної інформації, що використовуються, і способи їх подолання;

9) яким чином був подоланий фізичний, технічний і програмний захист комп'ютерної інформації;

10) яким чином здійснювався неправомірний доступ до комп'ютерної інформації, які технічні і програмні засоби при цьому використовувалися;

11) чи провадилося незаконне копіювання комп'ютерної інформації, які носії інформації при цьому використовувалися;

12) кому були передані відомості, отримані в результаті неправомірного доступу до комп'ютерної інформації, з якою метою;

13) чи знав підозрюваний (обвинувачений) про зміст інформації, яку він викликав і знищив, заблокував, модифікував, скопіював;

14) який алгоритм функціонування шкідливої програми, на яку інформацію і як вона впливає, характер наслідків, що настають;

15) яка була поставлена мета при вчиненні подібного діяння;

16) як здійснювалося знищення слідів неправомірного доступу до комп'ютерної інформації;

17) як часто здійснювався неправомірний доступ до комп'ютерної інформації;

18) хто сприяв підозрюваному (обвинуваченому) у вчиненні цього діяння або хто міг знати (здогадуватися) про здійснення підозрюваним (обвинуваченим) неправомірного доступу до комп'ютерної інформації (створення, використання та поширення шкідливих програм для ЕОМ) та ін.

Дещо іншою є тактика допиту підозрюваних (обвинувачених) при порушенні правил експлуатації ЕОМ, автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, що в них зберігається, оскільки ними можуть бути тільки особи, які відповідають за їх експлуатацію. Це насамперед оператори, програмісти, техніки-налагоджувальники. Під час допиту цих осіб з'ясовуються такі обставини:

1) коли було призначено на посаду і чи було ознайомлено зі встановленим режимом роботи і правилами експлуатації; в якому документі це відображено, чи проводився офіційний інструктаж, ким і як часто, в яких документах фіксувався;

2) коли і в якому місці відбувся факт порушення правил експлуатації, упродовж якого часу таким чином: експлуатувалося обладнання;

3) в який конкретно спосіб було здійснено порушення правил експлуатації, вчинено дії, що не відповідають приписам інструкції чи порушено режим виконання певних операцій;

4) які наслідки припущених помилок: виникнення нештатної ситуації з комп'ютером і його приладами, що призвело до знищення, перекручення чи копіювання інформації; виведення зі строю комп'ютерної мережі, що спричинило блокування інформації і порушення роботи організації, установи, підприємства, систем управління і зв'язку; виведення з ладу обладнання організації, установи, підприємства, що керується комп'ютерними програмами тощо.

Допит свідків. Свідками при розслідуванні злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж і мереж електрозв'язку можуть виступати представники потерпілої сторони, особи з оточення підозрюваного (обвинуваченого) і очевидці вчинення злочину з числа відвідувачів об'єкта і випадкових осіб.

Представниками потерпілої сторони, яких допитують як свідків, зазвичай є: особи, що безпосередньо відповідають за порядок доступу на об'єкт, режим до ступу до ЕОМ та комп'ютерної інформації, організацію роботи з нею та здійснюють контроль за використанням ресурсів; менеджери різноманітних рівнів; начальники відділів інформації та охорони; технічний персонал, що здійснює безпосередню роботу з обчислювальною технікою і програмними засобами; представники інформаційної (комп'ютерної) безпеки тощо.

При допитах представників потерпілої сторони необхідно одержати відповіді на такі питання:

1) які на об'єкті режим і фактичний стан охорони, умови доступу;

2) які на об'єкті організація і режим роботи з обчислювальною технікою: чи є служба безпеки інформації; як організований доступ до засобів обчислювальної техніки, машинних носіїв, до ресурсів ЕОМ, системи ЕОМ або їхньої мережі; яка організація доступу до кодів, паролів та іншої інформації, яка періодичність створення резервних копій; як організований контроль за використанням дискового простору користувачами; як здійснюється противірусний захист; як організований доступ до ЕОМ і їхньої мережі ззовні через пристрої телекомунікації; як ведеться урахування користувачів;

3) чи були порушення правил експлуатації обчислювальної техніки з боку користувачів;

4) хто мав доступ до приміщення, де розташовується комп'ютерна техніка;

5) які сліди або предмети могли залишити злочинці на місці вчинення зло чину;

6) які обставини передували вчиненню злочину, чи спостерігалися спроби встановлення контакту зі співробітниками підприємства, установи тощо;

7) що відомо про вчинений злочин, підозрюваних, про готування до злочину, з яких джерел виходить ця поінформованість;

8) яка інформація зазнала впливу, її призначення та зміст;

9) які розміри збитку від впливу на інформацію і наслідки, що може спричинити робота шкідливих для ЕОМ програм.

Свідками з оточення підозрюваного можуть бути: товариші по службі, родичі, сусіди, знайомі. У них з'ясовуються такі обставини:

1) де перебував і що робив підозрюваний у момент учинення злочину;

2) які засоби обчислювальної техніки, машинні носії, апаратуру і пристрої, призначені для ремонту й обслуговування ЕОМ, має підозрюваний, де, на які кошти придбав, місце їх зберігання;

3) якими фаховими навичками в галузі застосування та експлуатації ЕОМ володіє;

4) чи не виявляв інтерес до конкретної комп'ютерної інформації, що здійснював або намагався здійснити для доступу до неї.

Пред'явлення для впізнання.Шляхом упізнання встановлюються злочинці, комп'ютерна техніка, використана при вчиненні злочину, комп'ютерна інформація, різноманітні предмети й об'єкти, пов'язані зі злочинною діяльністю. Для впізнання може пред'являтися комп'ютерна інформація у вигляді програм, баз даних, текстових і графічних файлів, а також носії комп'ютерної техніки. При цьому слід зазначити, що комплекс ознак конкретного програмного продукту (призначення, виконання функцій, інтерфейс, графічне і музичне оформлення тощо) робить його можливим для впізнання.

У процесі підготовки до пред'явлення для впізнання на підставі ознак, зазначених під час допиту особою, яка виконує впізнання, добирається низка візуально подібних програмних продуктів. При проведенні впізнання комп'ютерної інформації не обов'язково використовувати декілька ЕОМ. Так, у системі Windows можливе паралельне виконання декількох програм (перегляд декількох текстових або графічних файлів, змісту баз даних) з одночасним виведенням результатів на екран. У разі заяви про впізнання програмного продукту виконання програми припиняється і пропонується повідомити, за якими саме ознаками відбулося впізнання.

Слідчий експеримент.Під час розслідування злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж і мереж електрозв'язку можуть провадитися такі види експерименту:

1) для перевірки можливості здійснення певних дій (наприклад, можливості проникнення в приміщення з комп'ютерною технікою);

2) для встановлення можливості сприймати визначені обставини (бачити, чути тощо);

3) для встановлення механізму утворення слідів;

4) для перевірки можливості підключення комп'ютерної техніки і здійснення безпосереднього доступу до комп'ютерної інформації;

5) для перевірки можливості проникнення в закриті зони (шляхом добору паролів, ідентифікаційних кодів і встановлення періоду часу на цей добір);

6) для перевірки можливості підключення до комп'ютерної мережі й електронного перехоплення;

7) для встановлення періоду часу, необхідного на підключення до комп'ютерної мережі, відключення технічних засобів захисту інформації, модифікацію, копіювання комп'ютерної інформації;

8) для перевірки можливості здійснення певних операцій з комп'ютерною інформацією поодинці;

9) для перевірки можливості здійснення певних операцій за допомогою комп'ютерної техніки за визначений проміжок часу;

10) для перевірки наявності фахових та інших навичок у конкретної людини (наприклад, з написання програм певної властивості тощо).

Проведення дослідних дій у ході здійснення запропонованих видів слідчого експерименту повинно проходити багаторазово у певному режимі та темпі, за необхідності — поетапно.