CC BY
31
Неправомерный доступ к компьютерной
информации в сфере банковской
деятельности: проблема производства
осмотра места происшествия по делам
о хищениях
Кадатенко Е.П. *
The present article is devoted an actual problem of struggle against the plunders made by wrongful access to the computer information, in sphere of bank activity. A subject of a criminal encroachment are money resources, and also the computer information, in the majority — confidential. Plunders in sphere of bank activity by wrongful access to the computer information put heavy consequences of economic and social character. The most part of the significant information can be received as a result of scene survey, therefore it is necessary to give particular attention to careful studying of receptions and ways of its carrying out taking into account specificity of the committed crime.
CO oi
z
0) о о сч
о о о
Q.
et
CQ
s н
о
0
1
о я с о m ф VO >5
о *
о ф
У S
2
0
1
о *
о
2
ф
d
я *
<
*
S I
н
о ф
со
В настоящее время заметно увеличилось число экономических преступлений, которые стали более изощренными. По сравнению с январем—мартом 2008 года их число возросло на 3,0%. Всего выявлено 156,7 тыс. преступлений данной категории, удельный вес этих преступлений в общем числе зарегистрированных составил 19,8%и. Особое место в этом ряду занимают хищения в сфере банковской деятельности, которые отличаются гибкой адаптацией преступников к обновлению и усложнению механизма функционирования предпринимательской деятельности, а также умелым использованием в преступной деятельности банковских документов, информационных и телекоммуникационных технологий.
При совершении преступлений используются самые последние достижения научно-технического прогресса. Информация, являющаяся основным богатством общества, закономерно выступает объектом различного рода преступных посягательств. В их числе особая роль принадлежит преступлениям в сфере компьютерной информации.
Общая организация и координация работ в РФ по защите информации, обрабатываемой техническими средствами, осуществляется Федеральной службой по техническому и экспортному контролю России (ФСТЭК России). Обеспечение информационной безопасности является одним из основных направлений деятельности органов внутренних дел. Среди
важнейших полномочий органов внутренних дел в сфере обеспечения информационной безопасности государства представляется необходимым выделить:
1) отражение информационной агрессии, направленной против страны, комплексную защиту информационных ресурсов, а также информационно-телекоммуникационной структуры государства;
2) недопущение и разрешение международных конфликтов и инцидентов в информационной сфере;
3) предупреждение и пресечение преступлений и административных правонарушений в информационной сфере;
4) защиту иных важных интересов личности, общества и государства от внешних и внутренних угроз22.
Борьба с преступлениями, связанными с неправомерным доступом к компьютерной информации, в последнее время приобретает особую актуальность еще и потому, что процесс компьютеризации уже в достаточной мере охватил все сферы российского общества.
С юридической точки зрения под неправомерным доступом к компьютерной информации следует понимать не санкционированное собственником информации ознакомление лица с данными, содержащимися на машинных носителях или в ЭВМ3, и имеющих уровень защиты в соответствии с законодательством Российской Федерации44.
Преподаватель кафедры криминалистики АЭБ МВД России.
Неправомерный доступ к охраняемой законом компьютерной информации всегда связан с совершением определенных действий и может выражаться в проникновении в компьютерную систему путем:
1) использования специальных технических или программных средств, позволяющих преодолеть установленные системы защиты;
2) незаконного использования действующих паролей или кодов для проникновения в компьютер либо совершения иных действий в целях проникновения в систему или сеть под видом законного пользователя;
3) хищения носителей информации при условии, что были приняты меры к их охране, если это деяние повлекло уничтожение, блокирование или модификацию информации.
Прежде чем давать юридическую оценку данного деяния, необходимо учесть, что компьютерная сеть провайдерской компании создается для обеспечения работ по предоставлению доступа в Интернет в соответствии с действующим законодательством, учредительными документами и лицензиями на право предоставления услуги передачи данных и услуг телематических служб. Кроме того, работа сети организована таким образом, чтобы производить в автоматизированном режиме расчеты с клиентами за предоставляемые им услуги в зависимости от времени их использования и в соответствии с установленным прейскурантом цен. С этой целью в сети провайдера имеется информация о присвоенном пользователю «имени» и «пароле», которая является коммерческой тайной (на основании ст.139 ГК РФ) и сообщается пользователю при заключении договора с ним для обеспечения его работы в сети Интернет. Таким образом, правомерно использовать ее может либо пользователь, заключивший договор, либо технический персонал компании55.
Компьютерные преступления отличаются высокой латентностью, сложностью сбора доказательств (что связано с нежеланием потерпевшей стороны сообщать в правоохранительные органы о преступных посягательствах на компьютерные сети в связи с тем, что работники вычислительных центров банковских учреждений являются, как правило, и программистами, и операторами). Данное обстоятельство приводит к тому, что опера-
торы компьютеров (фактически простые пользователи) имеют доступ к паролям и ключам программ и свободно могут самостоятельно без чьего-либо контроля со стороны внести любые изменения в программы. Затем они же беспрепятственно могут восстановить первоначальную программу 6. Поэтому круг лиц, которые могли бы совершить преступления такого рода, ограничен (например, операторы, программисты, инженеры, технический персонал, обслуживающий компьютерные системы или компьютерные сети банков, а также бухгалтеры и экономисты банков).
Хищение денежных средств, совершенное с использованием компьютеров или компьютерных сетей, представляет большую угрозу, в частности, для банковской деятельности. В России до сих пор мало изучены способы совершения хищений в банковской сфере, такие, как сетевые компьютерные хищения, в частности, взлом систем защиты банков при передаче информации и электронных платежей через телекоммуникационную сеть; хищения при осуществлении клиентами банков финансовых операций с использованием пластиковых карточек; путем фальсификации программ; путем введения в компьютер неправильных данных, а также путем изменения первоначально правильных входных данных.
При совершении хищений в сфере банковской деятельности с использованием компьютерной техники предметом преступного посягательства, помимо денежных средств, также будет выступать и компьютерная информация, в большинстве своем — конфиденциальная (например, информация о клиентах банков, их персональных идентификационных номерах, кодах, паролях, логинах, номерах расчетных счетов и пр.). Преступные действия, связанные с использованием компьютерных инструментов, — лишь наиболее известная часть преступлений, направленных на нарушение прав и гарантий физических и юридических лиц. Проблемами использования компьютерного оборудования не исчерпывается совокупность отношений, связанных с обращением конфиденциальной информации. Преступления все чаще стали направляться на захват информации с помощью компьютера, подключенного к проводной локальноной сети или радиоканалам (технологии ЫиеШоШ, МВД, ММах, 3G, 4G и пр.).
со
О!
О)
о о сч
о о о о.
со
н о
0
1
о я с о
т ф
ю
>5
о *
о ф
У
2
0
1
о *
о
2
ф
13
я <
I
н
о ф
со
CO
Ol
z
0) о о сч
о о о
Q.
et
CQ s
I-
о
0
1
о я с о т ф VO >s о
о ф
у
S
2
0
1
о *
о
2 ф d
я *
<
ü S I
н
о ф
со
Информация, хранящаяся в базе данных банка, при осуществлении несанкционированного доступа к ней может быть подвергнута: модификации (внесение изменений в программы, базы данных, текстовую информацию, находящуюся на материальном носителе), копированию (перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации), блокированию (совершение действий, приводящих к ограничению или закрытию доступа к компьютерной системе и предоставляемым ею информационным ресурсам), полному уничтожению (удаление информации или изменение ее параметров, повлекшее за собой невозможность использования данной информации вне зависимости от возможности ее восстановления), а также нарушению работы ЭВМ, системы ЭВМ или их сети (нарушение работы как отдельных программ, баз данных, выдача искаженной информации, так и при нештатном функционировании аппаратных средств и периферийных устройств, либо нарушении нормального функционирования сети).
В настоящее время преступники, используя возможности компьютерной техники, прибегают к сокрытию совершенного преступления различными способами, количество которых увеличивается, а знания сотрудников правоохранительных органов не всегда отвечают потребностям практики и возможностям противостоять этим посягательствам на высоком профессиональном уровне. К таким способам относят:
1) уничтожение информации (как физически, так и программно) на электронных носителях компьютера (флеш-карты, мини CD, HDD и пр.), когда преступник может сам уничтожить информацию (либо в самом компьютере, либо на электронных носителях); либо информация может быть уничтожена в результате повторного использования электронных носителей, чем и пользуются преступники;
2) использование анонимных прокси-серверов, межсетевых экранов, специализированного программного обеспечения, позволяющих подменять информацию об IP-адресе, МАС-адресе;
3) использование ремейлеров и про-грамм-анонимизаторов, позволяющих осуществлять переадресацию электронной почты, направляя ее с другого компьютера либо изменять данные об
обратном адресе и службе электронной почты отправителя77;
4) маскировку хищений с использованием компьютерной техники под сбойные ситуации, происходящие в ЭВМ. Это становится возможным в связи с тем, что ни одна программа не застрахована от ошибок. Этим обстоятельством и пользуются преступники, относя факт хищения к ошибке в работе компьютера;
5) удаление оставленных следов (воссоздание обстановки, предшествующей совершению преступления, уничтожение следов рук, обуви и пр.), а также подмена одних следов другими;
6) физическое уничтожение участников преступления, в т.ч. свидетелей и пр. Например, В.И. Отряхин выделил ряд
активных и пассивных способов утаивания следов после завладения предметом преступного посягательства, знание которых будет являться подспорьем для органа, производящего расследование:
1) Сокрытие предмета преступного посягательства (похищенные денежные средства сразу после хищения переводятся по наиболее безопасным каналам (компьютерным сетям), например, конвертируются, или на них приобретается товар и пр.);
2) преступники прибегают к сложной процедуре обналичивания похищенных денежных средств для сокрытия следов преступления;
3) открытие нескольких расчетных счетов и субсчетов в различных банках и перевод похищаемых средств со счета на счет с целью запутать бухгалтерскую отчетность, тем самым облегчая процесс обналичивания денежных средств;
4) неоднократный перевод денежных средств в различные организации на различные расчетные или корреспондентские счета;
5) вложение денежных средств в движимое и недвижимое имущество, скупка ювелирных изделий, драгоценностей и т.п.;
6) отрицание причастности к совершенному преступлению и пр88. Планирование расследования на начальном этапе характеризуется, как правило, информационной неопределенностью; скудность исходных данных зачастую заставляет следователя довольствоваться лишь типовыми версиями. Круг типичных версий сравнительно невелик: 1) преступление действительно имело
место при тех обстоятельствах, которые вытекают из первичных материалов;
2) преступления не было, а заявитель добросовестно заблуждается;
3) имеет место заведомо ложное заявление о преступлении9.
На начальной стадии расследования хищений в сфере банковской деятельности путем неправомерного доступа к компьютерной информации наиболее важным и главным по содержательности информации является осмотр места происшествия.
Основными объектами, подлежащими осмотру, могут являться: помещения, где расположена компьютерная техника; отдельные компьютеры, не подсоединенные к сети; рабочие станции, входящие в сеть; серверы (управляющие компьютеры); периферийные телекоммуникационные устройства (модемы, факс-модемы, сканеры); электронные и оптические носители информации, стримеры; распечатки, выполненные на принтере; техническая и иная документация (описания к компьютерным системам, документы финансовой отчетности, производственные документы). Прежде всего, следует выяснить:
• имеется ли выход в другие (глобальные) сети;
• возможно ли использование коммуникационных программ для связи с удаленными пользователями;
• какая компьютерная сеть, ее часть или компьютер подверглись несанкционированному доступу, как они использовались (как общий сервер, файл-сервер, почтовой сервер, сервер речевой почты, сетевая база данных, рабочая станция)10;
• имеет ли сеть различные уровни доступа;
• как компьютер и сервер протоколируют вход пользователей в систему и выход из нее;
• могла ли осуществляться запись команд, посылаемых взломщиком;
• область компьютерной сети, где на компьютерах может быть обнаружена информация, имеющая значение для дела, а также принять необходимые меры к блокированию внешнего удаленного доступа к системе;
• факт наличия или отсутствия линий связи для работников банка, телекоммуникационных линий, какая аппаратура используется в этих целях, какой абонентский номер телефонной связи (или какая линия другой связи) используется для соединения с провайдером сетевых услуг и глобальной сетью11;
• наличие задействованных разъемов для подключения периферийных и до-
полнительных устройств, их количество и какие именно устройства к ним
подключены12 и т.д.
Все следы, обнаруженные на месте происшествия, условно можно разделить на следы компьютерные и следы материальные. К первой группе будет относиться такой комплекс следов, который указывал бы на посторонний доступ к информации: переименование каталогов и файлов; изменение размеров и содержимого файлов; изменение стандартных реквизитов файлов, даты и времени их создания; появление новых каталогов, файлов и др.
Следы, оставляемые при совершении хищений, прежде всего остаются на электронных носителях информации. Именно они отражают изменения в хранящейся на них информации по сравнению с исходной информацией (например, могут говорить о модификации информации, хранящейся на жестких дисках компьютера и пр.).
При осмотре компьютера, если он находится во включенном состоянии, необходимо, прежде всего, оценить информацию, изображенную на экране монитора (дисплея), определить, какая программа используется на настоящий момент времени, зафиксировать дату, время на индикаторе панели задач. Отключить все сетевые кабели.
Вторая группа следов — следы материальные. При осмотре внутреннего или периферийного устройства компьютера следует выявить наличие внутри них нештатной аппаратуры, следов противодействия аппаратурной системе защиты, выявить, какие платы и устройства встроены в системный блок. Также необходимо исследовать электронные носители компьютерной информации. Установить, имеются ли на указанных объектах следы рук, механические повреждения. Традиционные криминалистические следы могут быть обнаружены и на значительном удалении от компьютеров. Следователь также должен решить вопрос о возможности и способах выявления и изъятия запахо-вых следов (например, расположение за-паховых носителей на пути прихода и ухода преступника, входные двери, окна, форточки, иные преграды, преодоленные преступником, средства компьютерной техники, офисные кресла, перемещенные предметы в обстановке места происшествия 13 и пр.).
Необходимо корректно выключить компьютер из сети, изъять его вместе с периферийными устройствами. Детальный осмотр файлов и структур их расположения целесообразно осуществлять в
00 О!
О) О
о сч
о о о о.
со
н о
0
1
о я с о
т ф
ю
>5
о *
о ф
У
2
0
1
о *
о
2
ф
13
я <
I
н
о ф
со
CO
Ol
z
0) о о сч
о о о
Q.
et
CQ s
I-
о
0
1
о я с о т ф VO >s о
о ф
у
S
2
0
1
о *
о
2 ф d
я *
<
S I
н
о ф
со
кабинете следователя при помощи соответствующего специалиста-программиста и в дальнейшем предоставить компьютер для последующего экспертного исследования и (или) приобщения к делу в качестве вещественного доказательства.
Периферийные устройства ввода-вывода также могут некоторое время сохранить фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы специальные знания. Данные, найденные на компьютерах, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра14.
Осмотр места происшествия не должен ограничиваться помещениями, где расположены компьютеры, обследованию подлежат также лестничные площадки, подвалы, иные вспомогательные помещения, прилегающая к банку территория (например, когда сервер, где хранится банковская информация, расположен не на территории банка).
Учитывая, что хищения в сфере банковской деятельности путем неправомерного доступа к компьютерной информации наносят тяжкие последствия экономического и социального характера, а большая часть криминалистически значимой информации может быть получена именно в результате осмотра места происшествия, необходимо уделять особое внимание тщательному изучению приемов и способов его проведения с учетом специфики совершенного преступления. Для обеспечения информационной безопасности банка целесообразно подготовить
приказ о сведениях, составляющих коммерческую и служебную тайну, с которым ознакомить весь персонал и руководящий состав банка, а также взять подписку о сохранении тайны, с уведомлением об уголовной ответственности за неправомерное использование таких сведений; разграничить право доступа для различных пользователей с тем, чтобы каждый сотрудник имел доступ лишь к информации, которая необходима ему для выполнения служебных задач; пароли для доступа в информационные сети необходимо хранить в защищенных от посторонних местах. Причиной значительной части преступлений, связанных с неправомерным использованием чужих паролей, становится халатное отношение к их сохранности законных пользователей15.
Таким образом, для повышения эффективности работы органов внутренних дел необходим постоянный активный процесс разработки действенных мер, направленных на правовое, организационное, включая криминалистическое и техническое, обеспечение борьбы с преступлениями в сфере компьютерной информации, приобретение источников оперативной информации в банковских подразделениях, приобретение оперативных позиций в целях слежения за финансовым состоянием банковской деятельности и оперативной обстановкой, укрепление службы безопасности банка, использование технических средств, а также организационных механизмов режима. Все это обеспечит поступательное развитие банковской системы путем разумного контроля входящей и исходящей информации.
Литература и примечания
1. http://www.mvd.ru/stats/10000231/10000239/6315/.
2. Величко М.Ю. Правовое регулирование отношений в сфере борьбы с компьютерными преступлениями. // Вестник Академии экономической безопасности МВД России № 2, М., 2007. С. 54.
3. Крылов В.В. Информационные компьютерные преступления// М.: Инфра-М-Норма, 1997. С.40.
4. М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации. Красноярск, 2002. С. 21.
5. Кузнецов А.В. Раскрытие преступлений, совершаемых с использованием информационных технологий. Особенности квалификации и доказывания (учебно-практическое пособие). М., 2004. С. 10.
6. Отряхин В.И. Методика расследования хищений в сфере банковской деятельности. Диссертация на соискание ... к.ю.н. М., 2001. С. 150-151.
7. Криминалистика. Учебник. 2-е издание. Под ред. Волынского А.Ф., Лаврова В.П. М., 2008. С.810.
8. Отряхин В.И. Указ соч. С. 63-65.
9. Белевский Р.А. Методика расследования преступлений, связанных с неправомерным доступом к компьютерной информации в сетях ЭВМ. Автореферат диссертации на соискание ... к.ю.н. Санкт-Петербург, 2006. С.14.
10. Гаврилов М.В., Иванов А.Н. Осмотр при расследовании преступлений в сфере компьютерной информации. М. 2008. С.34.
11. Компьютерные технологии в юридической деятельности / Под ред. Н.С. Полевого. М., 1994. С. 241-243; Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия. М., 1996. С. 160.
12. Рогозин В.Ю. Особенности подготовки и производства отдельных следственных действий при расследовании преступлений в сфере компьютерной информации. М., 2000. С. 26.
13. Подробнее см.: Старовойтов В.И., Шамонова ТН. Запах и ольфакторные следы человека. М., 2003.С.26-36.
14. Криминалистика. Учебник. Под ред. А.Г. Филиппова. 3-е изд., перераб. и доп. М., 2004. С. 696.
15. http://www.otdel-k.boom.ru/informaciya2.htm.
