CC BY
111УДК 343.985.7
В. А. ДУЛЕНКО, доцент кафедры вычислительной техники и защиты информации Уфимского государственного авиационного технического уни-
верситета, кандидат технических наук, доцент (г. Уфа)
V. A. DULENKO, associate professor of the chair of computer engineering and data protection of Ufa State Aviation Technical University, candidate of technical sciences, docent (Ufa)
Б. Е. БРОНФМАН, преподаватель кафедры профессиональной подготовки Уфимского юридического института МВД России (г. Уфа)
B. E. BRONFMAN, instructor of the chair of professional training of Ufa Law Institute of the Interior Ministry of Russia (Ufa)
К ВОПРОСУ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
TO THE QUESTION OF CRIME INVESTIGATION IN THE FIELD OF COMPUTER INFORMATION
Аннотация. За последнее десятилетие резко изменилась структура преступности в России, появились новые виды преступлений и способы их совершения. В их число вошли и преступления в сфере компьютерной информации.
Новизна и специфичность преступлений в сфере компьютерной информации, многообразие предметов и способов преступных посягательств, их высокая латент-ность создали для правоохранительных органов существенные преграды на пути к защите прав и интересов общества и государства.
Ключевые слова и словосочетания: компьютерная информация, доказательства, законность, эксперт-криминалист, полиция, преступление.
ч©
S S sj
£
Annotation. Over the past decade, the structure of crime in Russia has changed dramatically. New types of crime and their modus operandi have appeared. These includes crimes in the field of computer information.
The novelty and specificity of crimes in the sphere of computer information, a variety of subjects and methods of criminal offences and their high latency have created substantial barriers to protect the rights and interests of society and the state for law enforcement agen-
cies.
Key words: computer information, evidence, legality, forensic expert, police, crime.
Раскрытие и расследование преступлений, связанных с компьютерной информацией, значительно отличаются от расследования других видов общественно опасных деяний. По уголовным делам подобного рода в связи с отсутствием надлежащего уровня теоретической и практической подготовки опера-
тивных работников и следователей как на первоначальных этапах расследования, так и в ходе проведения следственных действий допускаются ошибки. Одной из значительных причин низкого качества следствия является отсутствие методики расследования компьютерных преступлений, а также допущение оши-
çj «
s s
s
s
s
t
s
il ÇJ
£ g
« s
бок, которые совершаются при проведении следственных действий в отношении компьютерной информации либо самих компьютеров [3].
Анализ практической деятельности правоохранительных органов в сфере расследования преступлений в области компьютерной информации говорит о том, что исследование компьютерной техники целесообразно проводить в условиях криминалистической лаборатории, где данную работу выполняют специалисты в данной области с необходимой профессиональной подготовкой и оборудованием.
Обнаруженные и изъятые на месте происшествия доказательства, связанные с преступлениями в данной области, могут быть легко изменены, как в результате ошибок при изъятии, так и в процессе их дальнейшего исследования. Представление подобных доказательств в судебном процессе требует специальных знаний и соответствующей подготовки. В данном вопросе ^ нельзя недооценивать роль экспертизы, ч© которая может дать квалифицирован-^ ный ответ на поставленные вопросы. § Однако на поиск соответствую-
| щих специалистов в рассматриваемой ^ области и проведение необходимых ¡^ экспертиз затрачивается немалое коли-^ чество времени. Одним из существен-§ ных факторов, позволяющих сохранить Ц необходимую доказательную информацию, является неожиданность и опера-| тивность при изъятии компьютерной ^ техники. Поэтому изъятие компьютеров § и информации приходится проводить ^ имеющимися силами. В этом случае ^ именно лица, проводящие следственные ц действия, не застрахованы от ошибок, ъ обусловленных недостаточностью зна-§ ний. Такие ошибки, как правило, ис-| пользуются защитой в суде.
Указанная проблема имеет два ^ аспекта: во-первых, это общие ошибки, § допускаемые работниками правоохра-§ нительных органов при расследовании ^ преступлений в сфере компьютерной
информации, и, во-вторых, технические аспекты, которые связаны с защитой информации, устанавливаемой на компьютерах их непосредственными пользователями.
Обнаружение, осмотр и изъятие компьютеров и компьютерной информации в процессе следственных действий могут совершаться не только при следственном осмотре, но и при проведении других следственных действий: обыска, выемки, воспроизведения обстоятельств и обстановки происшествия.
Нельзя оставить без внимания некоторые особенности работы с компьютерами, изъятыми при расследовании преступлений в сфере компьютерной информации.
В первую очередь необходимо указать некоторые ошибки, наиболее часто совершаемые при проведении следственных действий в отношении компьютеров или компьютерной информации.
Одной из первых ошибок следует выделить неправильную работу с техникой (компьютером). Основное правило - никогда и ни при каких условиях не следует работать на изъятом компьютере, т. к. изъятый компьютер -это, прежде всего, объект исследования специалиста. Поэтому до передачи экспертам его желательно даже не включать, поскольку категорически запрещено исполнять любые операции на изъятом компьютере, не обеспечив необходимых мер защиты. Если на компьютере установлена система защиты, то его включение может вызвать уничтожение информации, которая находится на жестком диске. Не допускается также загрузка такого компьютера с использованием его собственной операционной системы [1].
Следующей серьезной ошибкой является допуск к исследуемому компьютеру владельца для оказания помощи в его эксплуатации. Допуск в исключительных случаях может быть раз-
решен, но при условии, что сделаны резервные копии компьютерной информации.
Еще одна немаловажная проблема связана с возможностью опровержения в суде идентичности предъявленного на процессе программного обеспечения тому, которое находилось на данном компьютере на момент изъятия. Чтобы избежать подобных ситуаций, компьютер следует опечатать в присутствии понятых, не включая его. Если сотрудник правоохранительных органов принимает решение об осмотре компьютера на месте, первое, что он должен сделать, - это зафиксировать состояние компьютера на момент проведения следственных действий, т. е. снять копию с жесткого магнитного диска и любой дискеты, которая будет изыматься как вещественное доказательство.
Четвертой ошибкой, встречающейся в ходе расследования уголовных дел данной категории, является отсутствие проверки компьютера на наличие в нем вирусов и программных закладок. Для проверки компьютера на наличие вирусов и программных закладок необходимо загрузить компьютер не с установленной на нем операционной системы, а со своей заранее подготовленной дискеты либо со стендового жесткого диска. Проверять все носители информации, дискеты, жесткий диск и др., должен привлеченный к участию в следственных действиях специалист с использованием специального программного обеспечения.
Во избежание допущения ошибок при проведении следственных действий на начальном этапе расследования, которые могут привести к потере или искажению компьютерной информации, следует придерживаться некоторых правил.
В первую очередь, как упоминалось ранее, необходимо сделать резервную копию информации, находящейся в изъятом компьютере. В процессе производства таких следственных действий,
как обыск и выемка, в ходе которых происходит изъятие компьютера, магнитных носителей и информации, возникают некоторые общие проблемы, связанные со спецификой изымаемых предметов. В первую очередь необходимо предусмотреть меры безопасности против действий, совершаемых преступниками с целью уничтожения преступной компьютерной информации [2].
На протяжении всего обыска все электронные доказательства, находящиеся как в компьютере, так и в компьютерной системе, должны быть получены таким образом, чтобы они в дальнейшем могли быть признаны судом. Для этого необходимо строго придерживаться уголовно-процессуального законодательства, а также стандартизированных приемов и методик их изъятия.
Магнитные носители, на которые в ходе проведения следственных действий планируется копировать информацию с изымаемого компьютера, должны быть заранее проверены на наличие в ^ них посторонней информации. Упако- ^ вывать носители следует в специальную ¡5 упаковку или, в случае ее отсутствия, в лист чистой бумаги таким образом, что- « бы не повредить их. Необходимо пом- ^ нить, что информация может быть по- ¡5^ вреждена влажностью, температурным К влиянием, электростатическими или ^ магнитными полями. ^
В качестве следующей рекомен- Ц дации следует отметить необходимость § поиска, копирования и анализа содер- § жимого временных файлов, т. к. в них | чаще всего содержится весьма значимая ^ для следствия информация. Некоторые § текстовые редакторы и программы 1 управления базами данных создают Ц временные файлы как побочный про- § дукт нормальной работы программного ^ обеспечения, которые уничтожаются § программой в конце сеанса работы. Од- ^ нако данные файлы подлежат восста- ц новлению. Ц
Необходимо также проверять со- ^ держимое файлов подкачки (SwapFile). ^
ч©
I §
§
I
£
£
Они имеют расширение SWP. В данных файлах могут быть обнаружены даже полные тексты документов.
Рекомендуется сравнивать дубли текстовых документов, в роли которых могут выступать страховочные версии текстовых файлов, создаваемые большинством текстовых редакторов.
Можно также выделить ряд рекомендаций, касающихся исследования компьютера непосредственно на месте происшествия:
- если на момент осмотра компьютера он находится во включенном состоянии, то перед его выключением необходимо закончить все операции и закрыть работающие программы;
- по возможности установить пароли доступа к закрытым программам;
- при оказании активного противодействия сотрудниками организации, где происходит изъятие компьютерной техники, необходимо отключить электропитание всех компьютеров, расположенных на объекте, перед этим опечатав их, и изъять вместе с машинными носителями информации для исследования в условиях лаборатории;
- при необходимости получения консультаций от сотрудников организации информацию разумнее всего получать из различных источников путем проведения опроса или допроса;
- совместно с техническими средствами целесообразно изымать также периферийные устройства и машинные носители;
- перед началом осмотра в состав следственной группы необходимо включить специалиста для дополнительного исследования информационной сети, так как компьютеры могут быть подключены к локальной вычислительной сети;
- при исследовании документации обращать внимание на рабочие записи операторов ЭВМ, т. к. в них часто имеются коды, пароли и другая, имеющая немаловажное значение информация;
- с целью выявления программистов и других специалистов в области информационных технологий, работающих в данном учреждении, необходимо установить всех внештатных и временных работников организации;
- на момент прибытия следственной группы в осматриваемое помещение необходимо установить и зафиксировать личности всех лиц, находящихся в помещении;
- выявить всех сотрудников предприятия, у кого имеется доступ к компьютерной технике или имеющих разрешение на посещение помещения, где находятся ЭВМ.
При наличии возможности непосредственного доступа к компьютерам и исключения всех нежелательных ситуаций приступить к осмотру компьютера, объясняя все свои действия понятым.
При осмотре необходимо установить:
- конфигурацию компьютера с подробным описанием всех устройств;
- номера моделей и серийные номера каждого осматриваемого и изымаемого устройства;
- инвентаризационные номера, присваиваемые бухгалтерией учреждения при постановке поступившего оборудования на баланс организации;
- другая информация, имеющаяся на фабричных ярлыках.
Вся полученная информация вносится в протокол осмотра вычислительной техники и может оказаться важной для следствия.
Перед началом транспортировки изъятые предметы фотографируются, а элементы компьютерной системы маркируются. Фиксация расположения системы на данном этапе необходима для последующего правильного подключения всех ее элементов в лаборатории. Фотографировать необходимо переднюю и заднюю части системы. Фотографирование подобным способом дает возможность в точности воссоздать со-
стояние компьютерной техники в лаборатории.
Также немаловажно отметить, что целенаправленная деятельность сотрудников правоохранительных органов, особенно на первоначальном этапе расследования компьютерных преступлений, обеспечивает успех дальнейшего расследования уголовного дела. При этом эксперт-криминалист при проведении экспертизы должен опираться на надежное аппаратно-программное обеспечение, руководствоваться методическим и технологическим обеспечением, разработкой которого должны заниматься, прежде всего, головные экс-
пертно-криминалистические подразделения различных ведомств, занятых расследованием компьютерных преступлений. Необходимо учитывать высокую скорость изменения и усовершенствования компьютерных технологий. Многие задачи нуждаются в разработке не только специального программного обеспечения, но и в создании и отладке достаточно сложных специальных аппаратных устройств. При этом возникает необходимость в координации действий правоохранительных органов и в организации централизованной подготовки экспертов.
"к "к "к
ЛИТЕРАТУРА
1. Яппаров Р. М. Проблемы привлечения к уголовной ответственности за компьютерные преступления и их оперативно-разыскная характеристика // Вестник Уфимского юридического института МВД России. 2010. № 3.
2. Яппаров Р. М, Габзалилов В. Ф. К вопросу о содержании автоматизированных информационных систем оперативных подразделений ОВД // Актуальные проблемы права и государ- с^ ства в ХХ1 веке: материалы III Международной научно-практической конференции: в 5 ч. Ч V. ^ Уфа: Уфимский юридический институт МВД России, 2011. ¡о
3. Яппаров Р. М, Габзалилов В. Ф. Информационная система оперативно-разыскной дея-
тельности подразделений по обеспечению безопасности лиц, подлежащих государственной за- ¡Ц щите // Черные дыры в Российском законодательстве. 2010. № 5. ^
© Дуленко В. А. ^
© Бронфман Б. Е.
£ I
£ §
