Особенности расследования и судебная практика

 

При расследовании неправомерного доступа к компьютерной информации обстоятельства содеянного устанавливаются в такой очередности:

) факт неправомерного доступа к информации в компьютерной системе или сети;

) место несанкционированного проникновения в эту систему или сеть;

) время совершения преступления;

) способ несанкционированного доступа;

) степень надежности средств защиты компьютерной информации;

) лица, совершившие неправомерный доступ, их виновность и мотивы преступления;

) вредные последствия содеянного.

Для рассматриваемых преступлений характерны такие ситуации начала расследования:

) собственник компьютерной системы обнаружил нарушение ее целостности и (или) конфиденциальности, установил виновное лицо и заявил о случившемся в правоохранительные органы;

) собственник самостоятельно выявил названные нарушения, однако не смог установить злоумышленника и заявил о случившемся;

) сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъекте стали известны или непосредственно обнаружены компетентным органом, владелец компьютерной системы этот факт скрывает;

) правоохранительным органом обнаружены признаки противоправного вторжения в компьютерную систему, виновное лицо и владелец информации неизвестны.

Факт неправомерного доступа к информации обнаруживают, как правило, пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ России, ФСКН России. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по расследуемым делам.

Признаками несанкционированного доступа или подготовки к нему могут служить:

) появление в компьютере искаженных данных;

) длительное необновление кодов, паролей и других защитных средств компьютерной системы;

) увеличение числа сбоев в работе ЭВМ;

) участившиеся жалобы пользователей компьютерной системы или сети.

Таким фактам могут предшествовать или сопутствовать:

) осуществление без необходимости сверхурочных работ;

) немотивированные отказы отдельных сотрудников, обслуживающих компьютерную систему или сеть, от очередного отпуска;

) приобретение работником для личного пользования дорогостоящего компьютера;

) флэш-карты или диски, принесенные на работу кем-то из сотрудников компьютерной системы под предлогом копирования программ для компьютерных игр;

) участившиеся случаи перезаписи отдельных данных без серьезных на то причин;

) необоснованный интерес некоторых работников к содержанию чужих принтерных распечаток;

) повторный ввод в компьютер одной и той же информации и др.

Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду: нарушения принятых правил оформления документов и изготовления машинограмм; лишние документы, подготовленные для обработки на ЭВМ; несоответствие информации, содержащейся в первичных документах, данным машинограмм; преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации. Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например халатности персонала, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного проникновения в компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации в целях хищения денежных средств, но для этого также приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях. Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа можно определить с помощью программ общесистемного назначения. В работающем компьютере они обычно фиксируют текущее время. Если данная программа функционирует, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируется в оперативной памяти. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или дискет, производимого с участием специалиста, чтобы информация, находящаяся в оперативной памяти ЭВМ или на диске, не была случайно стерта. В качестве специалистов могут выступать, например, сотрудники информационно-аналитических центров МВД России, ГУВД, УВД субъектов РФ.

Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме.

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: «Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?» Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.

В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в работе электронного оборудования.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен.

Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются криминалистические экспертизы: дактилоскопическая, почерковедческая и др.

Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует прежде всего ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.

На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.

К этим обстоятельствам относятся:

) неэффективность методов защиты компьютерной информации от несанкционированного доступа;

) совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения;

) неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций, действий программ и обслуживающего персонала;

) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной информации.

В следственной практике нередко совершаются ошибки при квалификации незаконного подключения к сети Интернет. Следователи зачастую необоснованно отказывают в возбуждении уголовного дели или прекращают производство по делу в связи с тем, что информация в сети Интернет общедоступна, не имеет конкретного владельца, следовательно, не является охраняемой законом, т.е. не может выступать предметом преступного посягательства.

Так, З. осуществил незаконное проникновение в компьютерную сеть Интернет с использованием сервера фирмы «Эликом» под именем и паролем фирмы «Микст» и произвел копирование файлов, на основании чего следователем было обоснованно возбуждено уголовное дело по ч. 1 ст. 272.

В процессе расследования в действиях З. не было установлено признаков состава преступления, предусмотренного ст. 272 УК РФ, поскольку информация, содержащаяся в незащищенных файлах компьютерной сети Интернет, доступ к которой осуществил З., не является охраняемой законом компьютерной информацией и не имеет конкретного владельца. В связи с этим, производство по данному делу было прекращено за отсутствием состава преступления.

Представляется, что производство по данному делу прекращено необоснованно, поскольку следователем не была до конца отработана версия о неправомерном доступе к охраняемой законом компьютерной информации, находящейся на сервере фирмы «Эликом», повлекшее ее блокирование, что также подпадает под признаки уголовно наказуемого деяния.

Информация, находящаяся на сервере фирмы «Эликом», предоставляющей доступ к сети «Интернет», содержит списки зарегистрированных пользователей, получающих доступ через этот сервер, и их пароли. Подобная информация на основании п. 5 Указа Президента РФ «Об утверждении перечня сведений конфиденциального характера», п. 1 ст. 139 Гражданского кодекса РФ является коммерческой тайной и охраняется законом.

Неправомерный доступ к информации, обеспечивающей вход в Интернет, приводит к блокированию - созданию недоступности, невозможности ее использования при сохранности самой информации, так как официально зарегистрированный пользователь лишался возможности ее использования для входа в Интернет.

Изложенное свидетельствует о наличии достаточных данных, указывающих на совершение З. действий, содержащих признаки преступления, предусмотренного ч. 1 ст. 272 УК РФ, - неправомерный доступ к охраняемой законом информации, повлекший ее блокирование.

В ноябре 2008 г. УРОПД ГУВД Московской области было возбуждено уголовное дело по факту совершения неправомерного доступа к охраняемой законом компьютерной информации в кассовых аппаратах частного предприятия г. Павловский Посад.

Проведенным по делу расследованием установлено, что в период с июля по ноябрь 2008 г. руководитель ЧП города Павловский Посад Московской области Т. по предварительному сговору в группе с К., действуя с ней с единым умыслом в целях сокрытия доходов от налогообложения, ежедневно с 17 до 19 часов в торговых палатках ЧП подключали в гнезда двух контрольно-кассовых аппаратов, являющихся разновидностью электронно-вычислительной машины, специально изготовленный самодельный прибор в виде микрокомпьютера, осуществляя доступ к компьютерной информации о проведенных через контрольно-кассовые аппараты финансовых операциях в течение текущей смены. После подключения прибора к контрольно-кассовым аппаратам и совершения неправомерного доступа к охраняемой законом компьютерной информации в буферной памяти контрольно-кассовых аппаратов уничтожалась вся информация о предшествующих финансовых операциях, выполненных в течение текущей смены, в том числе информация о номере покупки и общей сумме выручки за текущую смену. Уничтожив и модифицировав информацию в буферной памяти контрольно-кассовых аппаратов в течение указанного времени, обе торговые точки ЧП продолжали свою работу, накапливая информацию в буферной памяти о производимых финансовых операциях до окончания текущей смены, то есть до 21 часа, после чего в фискальную память контрольно-кассовых аппаратов заносились измененные, заниженные данные о сумме выручки за смену.

Таким образом, Т. и К. совершили неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно-вычислительной машине (в соответствии с техническим паспортом контрольно-кассовый аппарат считается ЭВМ), и это деяние, совершенное группой лиц по предварительному сговору, повлекло уничтожение, модификацию информации.

Завершая рассмотрение особенностей расследования компьютерных преступлений, отметим, что помимо обозначенных относительно общих проблем следствие нередко сталкивается и с многочисленными довольно сложными частными вопросами (процессуальными, технологическими и др.). Однако обсудить их здесь не представляется возможным. Добавим лишь, что эффективному разрешению ряда проблем при расследовании указанных преступлений способствует обоснованное использование оперативно-розыскных методов и средств в информационном пространстве глобальных сетей. Кроме того, повышение эффективности расследования компьютерных преступлений и уголовного преследования по делам рассматриваемой категории все в большей степени зависит от соответствующей профессиональной подготовленности следователей, оперативных работников, прокуроров, судей.

Заключение

 

Общественная опасность преступлений в сфере компьютерной информации состоит в том, что неправомерный доступ к информации, повлекший ее уничтожение, блокирование, модификацию, копирование, нарушение работы ЭВМ, их систем и сетей, может нарушить деятельность различных систем автоматизированного контроля и управления объектами жизнеобеспечения, энергетики, обороны, транспорта, повлечь не только значительный материальный ущерб, но и причинение вреда здоровью людей, их гибель.

Преступность в сфере высоких технологий (киберпреступность) является серьезной угрозой национальной безопасности РФ. Она приобрела характер транснациональной организованной преступности, о чем отмечено в Бангкокской декларации по результатам XI Конгресса ООН 2005 г.

Под доступом к информации понимается возможность получения информации и ее использования (приобретение и использование возможности просматривать, получать, вводить, изменять или уничтожать информацию либо влиять на процесс ее обработки, распоряжаться информацией). Способы доступа законодателем не определены, и они могут быть различными - хищение носителя информации, внедрение в чужую информационную систему, считывание, сканирование, перехват, взлом системы защиты с использованием специальных технических или программных средств, ввод ложной информации, ложного пароля, незаконное использование действующего пароля, кода и т.д.

Обобщение опыта правоохранительных структур дает основания считать, что тактика раскрытия и расследования анализируемых преступлений должна строиться исходя из особенностей возникающих следственных ситуаций. Среди таких особенностей нами выделяются:

) необходимость привлечения специальных познаний при проведении значительной части следственных действий и оперативно-розыскных мероприятий;

) существенное "интеллектуальное" сопротивление расследованию со стороны преступника;

) значительный объем данных (обнаруживаемых преимущественно в электронном виде), которые требуется изучить в ходе следствия;

) дефицит времени и динамичность обстановки в сетевом окружении, которые определяются краткосрочностью существования и высокой изменчивостью отдельных видов доказательств, находящихся в электронной форме.

Перечисленные особенности приводят к необходимости незамедлительного сбора всей информации, имеющей отношение к преступлению и сохраняемой в компьютерных системах. Разумеется, тактика проведения расследования в значительной мере определяется видом компьютерного преступления. Однако для большинства таких преступлений задачи начального этапа расследования сводятся к получению данных, подтверждающих факт совершения преступления, изъятию и приобщению к делу относимых доказательств, определению перспектив получения дополнительной информации от сотрудников объекта. Немаловажными представляются обследование объекта на предмет надежности защиты компьютерной информации и выявление обстоятельств, способствовавших совершению преступления. Особое значение приобретают мероприятия по определению источника (сетевого адреса) противоправных действий и установлению личности подозреваемых. Успешному проведению этих мероприятий способствует изучение свидетельств, указывающих на целевую направленность и предполагаемые мотивы противоправных действий, уровень квалификации преступника, применение им специального инструментария, знание особенностей организации защиты информации на сетевом объекте. На основе полученных данных следователь формирует собственное мнение о направленности дальнейшего расследования и разрабатывает план действий по оперативной проверке полученной информации. Безусловно, предложенную последовательность действий не стоит рассматривать как строго заданный алгоритм.

Список использованной литературы

 

1. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 21.07.2011) (с изм. и доп., вступающими в силу с 07.08.2011) // СЗ РФ. - 1996. - № 25. - Ст. 2954.

2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 06.04.2011, с изм. от 21.07.2011) // СЗ РФ. - 2006. - № 31 (1 ч.). - Ст. 3448.

.   Закон РФ от 21.07.1993 № 5485-1 «О государственной тайне» (ред. от 18.07.2011) // СЗ РФ. - 1997. - № 41. - Ст. 8220 - 8235.

.   Бегишев И.Р. Преступления в сфере обращения цифровой информации // Информационное право. - 2010. - № 2. - С. 18 - 21.

.   Будаковский Д.С. Способы совершения преступлений в сфере компьютерной информации // Российский следователь. - 2011. - № 4. - С. 2 - 4.

.   Козубенко Ю.В. Защита авторских прав на программы для ЭВМ в уголовном, административном и гражданском судопроизводстве: Монография. - М.: Волтерс Клувер, 2009. - 344 с.

.   Комментарий к Уголовному кодексу Российской Федерации (постатейный) / А.А. Ашин, А.П. Войтович, Б.В. Волженкин и др.; под ред. А.И. Чучаева. - 2-е изд., испр., перераб. и доп. - М.: КОНТРАКТ, ИНФРА-М, 2010. - 1032 с.

.   Комментарий к Уголовному кодексу Российской Федерации (постатейный) / Ю.В. Грачева, Г.А. Есаков, А.К. Князькина и др.; под ред. Г.А. Есакова. - М.: Проспект, 2010. - 480 с.

.   Комментарий к Уголовному кодексу Российской Федерации (постатейный) / А.В. Бриллиантов, Г.Д. Долженкова, Я.Е. Иванова и др.; под ред. А.В. Бриллиантова. - М.: Проспект, 2010. - 1392 с.

.   Кочои С.М. Уголовное право. Общая и Особенная части: краткий курс. - М.: КОНТРАКТ, Волтерс Клувер, 2010. - 416 с.

.   Магомедов А.А., Миньковский Г.М., Ревин В.П. Уголовное право России. Особенная часть: учебник / под ред. В.П. Ревина. - 2-е изд., испр. и доп. - М.: Юстицинформ, 2009. - 392 с.

.   Рассолов И.М. Право и Интернет. Теоретические проблемы. - 2-е изд., доп. - М.: Норма, 2009. - 384 с.