CC BY
139
УДК 343.98
О некоторых особенностях расследования преступлений, совершаемых с использованием IT-технологий и в сфере компьютерной информации
Дерюгин Роман Александрович, Уральский юридический институт МВД России, кандидат юридических наук
e-mail: deryugin.r.a@mail.ru
Шергин Михаил Александрович, Главное управление криминалистики (Криминалистический центр) Следственного комитета Российской Федерации
e-mail: shergin_ma@sledcom.ru
Авторами рассмотрены следственные ситуации, возникающие на первоначальном этапе расследования преступлений, совершаемых в сфере компьютерной информации. Предложены алгоритмы действий в каждой ситуации. Проанализированы организационно-тактические особенности следственного осмотра при работе с компьютерной техникой в рамках расследования преступлений, совершаемых с использованием IT-технологий.
Ключевые слова: информация; IT-технологии; алгоритм; криминалистическое значение; расследование.
About some features of the investigation of crimes committed using IT technologies and in the field of computer information
Deryugin Roman Aleksandrovich,
Ural Law Institute of the Ministry of the Interior of Russia, Сandidate of Law
Shergin Mikhail Alexandrovich,
Main Department of Criminalistics (Forensic Center)
of the Investigative Committee of the Russian Federation
The authors consider investigative situations that arise at the initial stage of the investigation of crimes committed in the field of computer information. Algorithms of actions in each situation are proposed. The organizational and tactical features of the investigative inspection when working with computer equipment in the framework of the investigation of crimes committed using IT technologies are analyzed.
Key words: information; IT-technologies; algorithm; forensic significance; investigation.
Начало 21 века уже вошло в историю как время стремительного развития прогрессивных компьютерных и информационно-телекоммуникационных технологий, а также многих других направлений науки и техники. Распространение и повсеместное применение средств сотовой связи, персональной компьютерной техники, мобильного программного обеспечения, приложений и сети «Интернет» происходит на таком уровне, что общество по праву можно считать информационным, а настоящее время - временем технологий и информации.
Несмотря на отдельные положительные аспекты использования информационно-телекоммуникационных технологий в общественной жизни, не просто существует, но и активно наращивает свое влияние на общество негативная сторона современных технологических решений. Как отметил бывший заместитель Генерального секретаря Организации Объединённых Наций Ян Элиассон, «технологии помогают сделать гигантский шаг вперед в борьбе с голодом, болезнями и нерациональным использованием энергии. Но
они же подпитывают организованную преступность и порождают опасность разрушительных кибератак»1.
Действительно, во всем мире отмечается колоссальный рост киберпреступлений, кибератак и других киберинцидентов. Представители преступной сферы, пользуясь доступностью интернет-пространства, где пользователи сети хранят данные о личной жизни, платежную информацию, электронные документы и т. п., активно апробируют и применяют новые способы и методы совершения киберпреступлений, в том числе преступлений в сфере компьютерной информации.
Статистические показатели подтверждают вышесказанное. Так, в январе - июле 2021 года зарегистрировано 315,7 тыс. преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, что на 15,7% больше, чем за аналогичный период прошлого года. В общем числе зарегистрированных преступлений их удельный вес вырос с 22,9 % в январе - июле 2020 года до 26,6 %.
Практически все такие преступления (98,3 %) выявляются органами внутренних дел. Больше половины таких преступлений (56,8 %) относится к категориям тяжких и особо тяжких - 179,5 тыс. (+29,2 %); две трети (67,4 %) совершается с использованием сети «Интернет» - 212,8 тыс. (+36,6 %), более трети (40,1 %) -средств мобильной связи - 126,7 тыс. (+9,2 %).
Почти три четверти таких преступлений (74,8 %) совершается путем кражи или мошенничества - 236,0 тыс. (+6,6 %), каждое девятое (10,8 %) - с целью незаконного производства, сбыта или пересылки наркотических средств - 34,2 тыс. (+50,1 %)2.
О масштабах роста киберпреступности в одном из интервью высказался руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий СК России Константин Комарда: «...с 2013 года уровень преступности в сфере информационных технологий возрос более чем в 20 раз и продолжает увеличиваться. Сегодня каждое седьмое преступление в России совершается с помощью информационных технологий или в киберпространстве»3.
Очевидно, что дальнейшее повышение профессионального уровня преступников, использующих в
1 Кампания «Это преступление!». Киберпреступность [Электронный ресурс] // 13-й конгресс Организации Объединенных наций по предупреждению преступности и объединенному правосудию. URL: https://www.un.org/ru/events/ crimecongress/cybercrim.shtml.
2 Состояние преступности в России за январь - июль 2021 года: сборник статистики и аналитики МВД России [Электронный ресурс]. URL: https://мвд.рф/files/ application/2111940.
3 Интервью руководителя отдела по расследованию ки-
берпреступлений и преступлений в сфере высоких технологий СК России Константина Комарды ИА «ТАСС» [Электронный ресурс]. URL: https://sledcom.ru/press/interview/ item/1529946/?print=1.
целях маскировки своих противоправных действий подменные 1Р-адреса или иные механизмы сокрытия личных данных, затрудняет возможность их идентификации и препятствует адекватному реагированию со стороны правоохранительных органов. Данные и иные обстоятельства требуют определенного нового подхода в вопросах противодействия преступности4.
Деятельность по расследованию преступлений в сфере компьютерной информации осложнена тем, что в качестве самого распространенного способа их совершения выступает удаленный доступ к компьютерной информации. Это обуславливает наличие минимального набора следов преступления, что негативно отражается на работе специалиста при осмотре места происшествия, предмета или информационной среды. Кроме того, преступники, как правило, обладают специальными знаниями и опытом работы с телекоммуникационными технологиями.
Следует также отметить, что причинами низкой раскрываемости и неэффективного расследования указанного вида преступлений являются нехватка не только опытных сотрудников, но и молодых специалистов подразделений, специализирующихся на расследовании преступлений в сфере информационно-телекоммуникационных преступлений, а также отсутствие в настоящее время комплексного анализа методики расследования преступлений в сфере компьютерной информации.
Перечисленное обосновывает актуальность рассматриваемой темы, ее теоретическое и практическое значение, а самое главное - требует от ученых и исследователей больших усилий по всестороннему изучению проблем, связанных с расследованием рассматриваемого вида преступлений.
Особый интерес у практиков вызывает алгоритм следственных действий, комплекс тактических операций и комбинаций, от качества проведения которых зависит весь процесс расследования. В свою очередь, алгоритм действий зависит от характера следственной ситуации, сложившейся на определенный момент расследования, и объема информации о событии преступления.
Указанная информация появляется после совершения преступления на стадии предварительной проверки и предопределяет характер следственных ситуаций, которые складываются после возбуждения уголовного дела.
При расследовании преступлений в сфере компьютерной информации можно выделить следующие типичные следственные ситуации:
1) наиболее простая, бесконфликтная следственная ситуация, когда преступление произошло в условиях очевидности, его характер и обстоятельства известны, потерпевший сам обнаружил признаки воздействия на компьютерную информацию (например,
4 См.: Дерюгин Р. А., Файсханов И. Ф. К вопросу о криминалистическом исследовании видеозаписи в условиях развития цифровой криминалистики // Вестник Уральского юридического института МВД России. 2020. № 3 (27). С. 56-61.
вредоносное программное обеспечение и способ его внедрения в устройство), преступник задержан;
2) есть информация о совершенном преступлении, но механизм полностью не установлен, преступник не задержан, но есть сведения, указывающие на причастность определенных лиц;
3) сложная ситуация, характеризующаяся дефицитом сведений о преступлении, когда известны только последствия совершенного преступления, отсутствует информация о точном способе совершения мошенничества и о личности преступника.
В первом случае программа действий следователя направлена на получение доказательств и установление причинно-следственной связи между незаконным доступом к компьютерной информации (проникновение в компьютерную систему) и последствиями (занесение вирусного программного обеспечения, сбои в работе устройства, удаление данных и т. п.).
Для типичного алгоритма действий в данной ситуации характерно следующее:
- проведение тщательного осмотра места происшествия, осмотр всей компьютерной техники, средств связи, мобильных устройств, включая информационную среду;
- выемка и осмотр документов, предметов, технических устройств и электронных носителей;
- подробный допрос потерпевшего, подозреваемого, свидетелей;
- задержание подозреваемых и их личный обыск;
- обыски по месту жительства, работы или возможных арендованных помещений подозреваемых;
- назначение различных видов экспертиз, в том числе компьютерной, технико-криминалистической, бухгалтерской, экономической и иных видов.
Вторая и третья следственная ситуация носят поисково-разведывательный характер и характеризуются схожим перечнем следственных действий и оперативно-розыскных мероприятий:
- осмотр места происшествия, в том числе осмотр компьютерной техники, планшетов, мобильных телефонов, которые принадлежат потерпевшим или определенной организации;
- допрос потерпевшего (представителя потерпевшего) и свидетелей;
- выемка и осмотр документов, предметов, технических устройств и электронных носителей;
- направление запросов о получении интересующей следствие информации в различные организации и компании (например, операторам связи, в кредитные организации и др.);
- проведение оперативно-розыскных мероприятий в целях выявления лиц, причастных к совершению преступления;
- назначение экспертиз.
Обратим внимание на тот факт, что перечислены не все возможные варианты типичных следственных ситуаций первоначального этапа расследования мошенничества в сфере компьютерной информации. Данный перечень может видоизменяться в зависимо-
сти от конкретного преступления, информации, полученной на момент возбуждения уголовного дела, и данных, собранных оперативными сотрудниками.
Каждая следственная ситуация требует индивидуального подхода для построения верного алгоритма действий следователя в целях придания криминалистически значимой информации доказательственного значения. Вместе с тем в некоторых случая достаточно сложно в срок, ограниченный рамками процессуальной проверки материалов, установить признаки мошенничества в сфере компьютерной информации, что связано со спецификой способов и средств совершения преступления, а следовательно, особенностями механизма следообразования при работе с компьютерной информацией.
Определив алгоритмы действий при различных следственных ситуациях, отметим, что тактика проведения отдельных следственных действий при расследовании рассматриваемых преступлений характеризуется рядом особенностей. Так, при проведении следственных действий, в ходе которых проводится обнаружение, фиксация и изъятие компьютерной информации (осмотр места происшествия, осмотр предметов, обыск и личный обыск), требуется тактически правильно осуществлять поиск информации, чтобы не допустить ее уничтожение или повреждение. Независимо от того, какими опытом и знаниями в области компьютерной техники обладает следователь, необходимо использовать помощь специалиста в сфере информационно-телекоммуникационных технологий.
Спецификой осмотра места происшествия при расследовании мошенничества в сфере компьютерной информации является объект осмотра - не только помещение, но и обнаруженные технические устройства. В связи с этим участники следственного действия должны придерживаться ряда правил и рекомендаций, связанных с работой с технически сложными устройствами: с обнаруженными устройствами запрещается проводить любые действия, последствия которых неизвестны (отсоединять аккумулятор, включать/выключать различными сочетаниями клавиш, присоединять внешние накопители, подключать к сети, осуществлять выход в Интернет, звонки и др.).
Важно учитывать, что ряд технических устройств, работа которых осуществляется на основе электромагнитного, рентгеновского излучения или магнитного поля, может оказывать влияние на работу рядом находящихся устройств и компьютерную информацию, хранящуюся на них. Лицо, привлеченное к осмотру в качестве специалиста, должно соблюдать осторожность при работе с техническими средствами, а также с порошками и химическими реактивами, особенно при необходимости обработки ими компьютерной техники. Специалист обязан быть компетентным в области работы технических средств, процессов функционирования компьютерных систем и сетей, в совершенстве владеть технической терминологией. Несмотря на специфику таких осмотров,
неизменными остаются общие правила осмотра: от общего к частному; от каталогов к отдельным файлам; от общих характеристик файла к его содержанию. Изыматься должны только те средства компьютерной техники, на которых содержится или может содержаться криминалистически значимая информация.
Более качественному и быстрому изъятию электронно-цифровых следов могут способствовать специальные современные аппаратно-программные комплексы, предназначенные для этих нужд (например, Мобильный криминалист, иРЕР, Ве!ка$оА:, БесигеУ^ 3, МОВИеСШ, М1сгоБу$1ета1:1оп, ХКУ и др.). В рамках проведения осмотра места происшествия их применение позволяет извлечь необходимую информацию с технических устройств, имеющую значение для расследования уголовного дела. В правоохранительных органах наибольшую популярность обрели аппаратно-программные комплексы «Мобильный криминалист» и «иРЕР».
Кроме того, в целях проведения качественного осмотра места происшествия, помимо вышеуказанных правил, необходимо соблюдать организационно-тактические основы производства осмотра места происшествия. Особое внимание необходимо уделять правильности внесения записей в протокол осмотра места происшествия или протокол осмотра предмета (компьютерной техники, средств связи и других устройств, имеющихся значения для расследования).
В протоколе следственного действия фиксируется расположение всех компьютеров в сети, их периферийных устройств, наличие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи. При этом целесообразно отразить перечисленное в виде схемы, прилагаемой к протоколу.
Необходимо отразить в протоколе название (обычно указывается на лицевой стороне), серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и другое), наличие соединения с локальной вычислительной сетью и (или) сетями телекоммуникации и состояние устройств (со следами вскрытия и без них); описать внешнее состояние техники, обращая внимание на места подключения (например, соединительный кабель между коммуникационными портами принтера и системным блоком компьютера) периферийных устройств, винты крепления крышек корпуса, поверхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, значит, могут остаться следы, наличие или отсутствие которых должно быть отражено в протоколе. Также необходимо отметить наличие и состояние всех пометок, пломб, различных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и других), нанесенных на корпуса устройства компьютеров, наличие загрязнений, механических повреждений и их локализацию.
Важно точно описать порядок соединения между собой указанных устройств, промаркировав (при необходимости) соединительные кабели и порты их подключения, указать, какие файлы или программы скопированы и откуда, время начала и окончания копирования, количество копий, после чего разъединить устройства компьютера. Указываются физические носители, на которые скопирована информация, их упаковка, технические характеристики принтера, который был использован для распечатки компьютерной информации.
При осмотре места происшествия, например, офиса организации, следует обращать особое внимание на размещение серверов, персональных компьютеров и направление сетевых кабелей и проводов питания. Практике известны случаи, когда мошенники размещали серверные за потолком, делали дополнительную шумоизоляцию и проводили кабеля по скрытым кабель-каналам за стенами или внутри стен. В целях маскировки от персональных компьютеров, расположенных на рабочих местах сотрудников, были проложены дополнительные кабеля в другом направлении от серверов, имеющих значение для расследования.
В одном из случаев из практического опыта следственных подразделений, для совершения преступлений в сфере информационно-телекоммуникационных технологий мошенники оборудовали в качестве серверной грузовой автомобиль, из которого были выведены все необходимые для подключения компьютеров провода и сетевые кабели. Таким образом, в определенный период времени данный автомобиль подъезжал на паркинг бизнес-центра, в котором располагался офис, осуществлялось подключение и совершались мошеннические действия в отношении граждан и организаций. Установив адрес данного бизнес-центра и расположение офиса, сотрудники правоохранительных органов неоднократно проводили осмотр указанного помещения и техники, а также обыск. При этом, как только они прибывали, автомобиль с «мобильной серверной», а соответственно, с основными цифровыми следами, скрывался.
Приведенные примеры свидетельствуют о необходимости подготовки к производству планируемых следственных осмотров и обысков, тщательного анализа особенностей помещения, расположения кабинетов, дверных проемов, запасных выходов, граничащих помещений, размещения рабочих мест и техники. В качестве тактического приема рекомендуется осуществить взаимодействие с сотрудниками оперативных подразделений в целях проведения оперативно-розыскных мероприятий, направленных на исследование помещения, техники, находящейся в нем, и лиц, имеющих к нему доступ. Ставшая известной ориентирующая информация позволит спланировать оптимальное время производства следственного действия, количество участников, порядок проникновения в помещение и алгоритм работы каж-
дого из участников следственно-оперативной группы на всех этапах следственного действия.
Соблюдение тактических правил следственного осмотра при расследовании преступлений в сфере компьютерной информации является гарантом успешности процесса расследования. Данное следственное действие позволяет получить криминалистически значимую, доказательственную информацию по делу, которая может послужить ориентиром для определения дальнейшего направления следствия, может быть использована при проведении других следственных действий (например, при допросах, очной ставке, в ходе производства экспертизы). Безусловно, результаты следственного осмотра влияют на характер следственной ситуации, изменяя ее на простую или, напротив, усложняя дефицитом сведений. Кроме того, полученная информация позволяет внести корректировки в алгоритм действий следователя при расследовании преступлений в сфере компьютерной информации.
Таким образом, специфичность преступлений, совершаемых с использованием информационно-телекоммуникационных технологий и в сфере компьютерной информации, а также динамично меняющиеся условия следственных ситуаций требуют от следователя максимальной сосредоточенности и внимания при построении алгоритма следственных действий, грамотного использования помощи специалиста, а также соблюдения тактики, рекомендаций и правил производства отдельных следственных действий, от результатов которых прямо зависит качество расследования.
Библиографический список
1. Дерюгин Р.А. К вопросу о криминалистическом исследовании видеозаписи в условиях развития цифровой криминалистики / Р. А. Дерюгин, И. Ф. Файсха-нов // Вестник Уральского юридического института МВД России. - 2020. - № 3 (27). - С. 56-61.
2. Интервью руководителя отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий СК России Константина Комарды ИА «ТАСС» [Электронный ресурс]. - URL: https://sledcom. ru/press/interview/item/1529946/?print=1.
3. Кампания «Это преступление!». Киберпре-ступность [Электронный ресурс] // 13-й конгресс Организации Объединенных наций по предупреждению преступности и объединенному правосудию. -URL: https://www.un.org/ru/events/crimecongress/ cybercrim.shtml.
4. Состояние преступности в России за январь -июль 2021 года: сборник статистики и аналитики МВД России [Электронный ресурс]. - URL: httpsy/мвд.рф/ files/application/2111940.
Bibliograficheskij spisok
1. Deryugin R.A. K voprosu o kriminalisticheskom issledovanii videozapisi v usloviyah razvitiya cifrovoj kriminalistiki / R. A. Deryugin, I. F. Fajskhanov // Vestnik
Ural'skogo yuridicheskogo instituta MVD Rossii. -2020. - № 3 (27). - S. 56-61.
2. Interv'yu rukovoditelya otdela po rassledovaniyu kiberprestuplenij i prestuplenij v sfere vysokih tekhnologij SK Rossii Konstantina Komardy IA «TASS» [Elektronnyj resurs]. - URL: https://sledcom.ru/press/ interview/item/1529946/?print=1.
3. Kampaniya «Eto prestuplenie!». Kiberprestupnost' [Elektronnyj resurs] // 13-j kongress Organizacii Ob»edinennyh nacij po preduprezhdeniyu prestupnosti i ob»edinennomu pravosudiyu. - URL: https://www. un.org/ru/events/crimecongress/cybercrim.shtml.
4. Sostoyanie prestupnosti v Rossii za yanvar' -iyul' 2021 goda: sbornik statistiki i analitiki MVD Rossii [Elektronnyj resurs]. - URL: https://mvd.rf/files/ application/2111940.
