CC BY
145
УДК 343.9
О.Ю. Антонов, А.Г. Себякин
ОСОБЕННОСТИ ИСПОЛЬЗОВАНИЯ СПЕЦИАЛЬНЫХ ЗНАНИЙ В ОБЛАСТИ ЭКОНОМИКИ И КОМПЬЮТЕРНОЙ ТЕХНИКИ ПРИ РАССЛЕДОВАНИИ ЭКОНОМИЧЕСКИХ ПРЕСТУПЛЕНИЙ
Проанализированы существующие в научной литературе точки зрения об объеме специальных знаний в области компьютерной техники при расследовании экономических преступлений. Рассмотрены типичные задачи извлечения компьютерной информации об экономической деятельности в разрезе возможностей их решения различными субъектами специальных знаний. Определены границы участия в осмотре компьютерной техники следователя (дознавателя), специалиста в области экономики и сведущего лица в области компьютерной техники на примере практики следственного управления Следственного комитета Российской Федерации по Иркутской области. Обосновано, что в настоящее время часть знаний в области компьютерной техники перешла из области специальных в область общеизвестных знаний и может применяться непосредственно следователем для решения задач контекстного поиска информации и обнаружения локальных баз данных программ бухгалтерского учета. Рекомендовано привлечение сведущего лица в области компьютерной техники только в случае, если осмотр, проведенный следователем, не дал положительного результата. Признано оптимальной процессуальной формой использования специальных знаний в целях поиска и обнаружения компьютерной информации в ходе расследования экономических преступлений участие в следственном осмотре компьютерной техники специалиста в области экономики совместно со специалистом в области компьютерной техники.
Ключевые слова: специальные знания, компьютерная техника, экономика, следователь, специалист, эксперт, осмотр, судебная экспертиза.
В настоящее время экономическая деятельность любой организации неразрывно связана с компьютерной техникой. Компьютер организации представляет собой многофункциональный вычислительно-коммуникационный инструмент ведения экономической деятельности.
При расследовании преступлений экономической направленности компьютерная техника, изъятая в организации, является одним из самых значимых источников доказательств, содержащих большой объем криминалистически значимой информации. В связи с этим для обнаружения, фиксации, изъятия и исследования компьютерной информации необходимо привлекать сведущих лиц, обладающих специальными знаниями как в области экономики, так и компьютерной техники.
В научной литературе существует несколько точек зрения на объем специальных знаний в области экономики и компьютерной техники, необходимый при расследовании преступлений экономической направленности.
Согласно первой точке зрения в область специальных знаний эксперта-экономиста не входят навыки использования компьютерной техники. Так, В.В. Голикова указывает, что «эксперт для производства судебно-бухгалтерской экспертизы должен обладать комплексом знаний, состоящим из знаний бухгалтерского учета и теории судебной экспертизы, которые в совокупности и составляют компетенцию эксперта судебно-бухгалтерской экспертизы» [1]. Подобную точку зрения приводит и М.М. Виноградова: «...В число профессиональных специальных знаний судебного эксперта-экономиста входят практически все области экономической науки, к которым можно отнести: бухгалтерский, финансовый, налоговый учет, анализ финансово-хозяйственной деятельности, финансово-кредитные отношения и т.п.» [2]. Возможно, данные авторы при определении рамок компетенции эксперта-экономиста не рассматривали аспект владения компьютерной техникой, поскольку решали вопрос в плоскости разграничения специальных знаний экономики и права.
Вторая группа авторов полагает, что такими специальными знаниями должен обладать эксперт-бухгалтер. Например, С.П. Першин говорит о том, что высокий уровень эффективности при проведении экспертизы достигается, если эксперт-бухгалтер владеет навыками использования компьютерных средств, извлечения необходимой ему компьютерной информации, поскольку формирование необходимых компьютерных данных производится экспертом-бухгалтером, прошедшим специальную подготовку [3]. Одновременно указанным автором высказывается не бесспорная, но достаточно точная мысль о том, что для проведения подавляющего большинства экономических экспертных исследований достаточно применения пользовательских навыков работы с компьютерными средствами и компьютерной информацией [3].
Третья группа авторов придерживается именно последней точки зрения, считая, что в область специальных знаний эксперта-экономиста должны входить определенные навыки работы с компьютерной техникой, однако глубина этих знаний определяется по-разному. Так, Ю.В. Третьяков указывает, что специалист-экономист должен владеть специальными знаниями судебной бухгалтерии, налогового права, товароведения, информатики, но при их неполноте у одного лица целесообразно назначение и производство комплексных судебных экономических экспертиз [4]. Термин «информатика» в упомянутом контексте достаточно широк, не конкретизирован и оставляет простор для свободного его толкования. По мнению Я.А. Алашовой, «эксперт-экономист в силу специфики своих полномочий обязан в совершенстве владеть методами автоматизированного ведения учета и анализа отчетных данных для качественного анализа в рамках назначенной экспертизы» [5], то есть уровень владения компьютерной техникой у эксперта-экономиста в данном случае сводится уже к пользовательскому уровню владения прикладной программой.
Позицию Ю.В. Третьякова разделяют А.И. Семикаленова и М.Г. Нерсесян, которые, развивая мысль о комплексности экономической экспертизы, говорят о том, что эксперт-экономист определяет пределы специальных знаний и выступает инициатором комплексирования экономической и компьютерно-технической экспертиз [6]. Однако, как пишет Е.Р. Россинская, при проведении комплексной экспертизы эксперты формируют общий вывод, излагают его в заключении, которое подписывается всеми экспертами [7]. В случае если эксперт в области компьютерной техники не принимает участия в непосредственном решении поставленного вопроса и не подписывает выводы, то его функция может быть реализована в виде привлечения в качестве специалиста, оказывающего техническую помощь эксперту-экономисту. Однако, как отмечают А.И. Семикаленова и М.Г. Нерсесян, процедура ввода такой фигуры в процесс назначения и производства экспертизы не регламентирована действующим законодательством и не разработана в теории судебной экспертизы [6].
По нашему мнению, в случае необходимости использования специальных знаний в области компьютерной техники в ходе расследования экономических преступлений необходимо привлечение сведущего лица именно в области компьютерной техники, но не на этапе производства судебной экспертизы, а в целях ее подготовки.
Для решения проблемы применения специальных знаний в области компьютерной техники в указанном контексте необходимо разрешить ряд вопросов:
1. Какие задачи исследования компьютерной информации, требуют специальных познаний?
2. Какова роль и пределы применения специальных знаний специалиста-экономиста и специалиста в области компьютерной техники в проведении следственных действий при расследовании преступлений экономической направленности?
Для решения первого вопроса проведем анализ задач, которые наиболее часто ставит следователь (и дознаватель, далее - следователь) по извлечению необходимой информации из компьютерной техники и способах их решения, с позиции Т.В. Аверьяновой, не слишком углубляясь в технические подробности, а концентрируясь именно на выяснении фактов конкретного деяния, интересующих следствие [8], с учетом двух условий:
- как показывает практика, абсолютное большинство организаций для осуществления экономической деятельности использует персональные компьютеры и серверы под управлением операционных систем семейства Microsoft Windows;
- применение специальных знаний для извлечения значимой информации, связанной с экономической деятельностью предприятия, должно соответствовать принципу неизменности исходной информации. Это означает, что изъятый носитель информации исследуется автономно, то есть вне аппаратного комплекса, частью которого он являлся. Исследование проводится только при условии блокировки процедуры записи на изъятый носитель информации.
Задача 1. Осуществление контекстного поиска по ключевым словам. Данная задача позволяет следователю обнаружить электронные документы1, содержащие определенные слова или словосочетания. Это могут быть название документа, наименование должности, фамилия, наименование организации, а также любые другие ключевые слова, которые помогут следователю вычленить из большого объема информации именно необходимую. Помимо собственно содержания документа
1 В контексте ч.11. ст.2 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ // СПС «КонсультантПлюс».
2017. Т. 27, вып. 5 ЭКОНОМИКА И ПРАВО
следователь также получает сведения о метаданных файла: дате создания, дате последнего изменения, дате печати, дате последнего доступа.
Для решения задачи могут использоваться разнообразные методы от простого пошагового просмотра каталогов и использования небольших специализированных программ до применения специализированных аппаратно-программных комплексов. Выбор метода зависит от результата, который хочет получить следователь.
Если следователю необходимо получить информацию ориентирующего характера и у него есть основания предполагать, что интересующие его данные целенаправленно не удалялись, не скрывались, то, по нашему мнению, следователь вправе провести осмотр собственными силами, без привлечения сведущего лица. Данная позиция, безусловно, нуждается в мотивировке и обосновании.
В настоящее время в следственной практике привлечение специалиста или эксперта в области компьютерной техники к решению любой задачи, так или иначе связанной с обнаружением и исследованием компьютерной информации, считается общепринятой нормой. Частично это обусловлено требованиями ч. 9.1 ст. 182 и ч. 3.1 ст. 183 УПК РФ о необходимости изъятия электронных носителей информации при производстве обыска или выемки с участием специалиста. Однако область знаний, относящихся к специальным, не является статичной, она имеет динамический характер. Те знания, которые считались специальными на момент становления компьютерно-технической экспертизы, сегодня не являются таковыми в полной мере. Наиболее ярко это можно показать именно на примере решения задачи контекстного поиска.
Метод контекстного поиска заключается в использовании небольших специализированных программ (ЛУ^еагсЬ, Архивариус 3000 и пр.), работающих по принципу индексирования информа-ции2 и последующего поиска контекста в базе данных (индексе). Преимущество использования таких программ перед простым пошаговым просмотром каталогов очевидно:
- пользователь перед созданием базы данных сам устанавливает типы файлов, которые подлежат индексированию, и задает каталоги для поиска;
- индексирование выполняется в автоматическом режиме, после чего поиск контекста занимает у пользователя сравнительно небольшое время (в зависимости от размера базы данных - от нескольких секунд до нескольких десятков секунд).
Уровень владения навыками работы на персональном компьютере, именуемый «базовым», за последние 12-15 лет значительно повысился. Сегодня в базовый уровень владения персональным компьютером включена способность пользователя овладеть навыками работы со специализированной прикладной программой, обладающей интуитивно понятным, «дружественным» интерфейсом, при условии, что пользователь понимает функциональное назначение данной программы. Поэтому овладение навыками работы с программами, подобными вышеуказанным сегодня не требует специальных знаний в области компьютерной техники, так как пользовательский интерфейс не затрагивает те области знаний, которые бы относились к специальным. Иначе говоря, в настоящее время такие знания и навыки являются не специальными, а общедоступными.
Таким образом, рассмотренный метод может использоваться следователем самостоятельно, без привлечения специалиста или эксперта в области компьютерной техники. По сути рассматриваемая задача является поисковой и не относится к задачам судебной экспертизы, поскольку не приводит к возникновению нового, выводного знания. В ходе ее решения осуществляются нахождение на носителе имеющейся информации3 и её предоставление следователю в удобном для восприятия виде. В процессе решения задачи контекстного поиска не возникает никакого нового знания, новой информации, выявляется только уже существующая информация. В связи с этим возникает вопрос: какой результат может получить пользователь, не обладающий специальными знаниям в области компьютерной техники, при решении данной задачи, чтобы этот результат мог быть подвергнут сомнению по критерию достоверности? Единственный вариант ответа - это негативный результат поиска, то есть ситуация, когда примененными методами пользователю не удалось обнаружить искомую информацию. Однако, анализируя практику работы специалистов, можно сказать, что по делам, связанным с
2 Индексирование - создание базы данных, содержащей сведения о содержимом файлов.
3 В данном случае под имеющейся на носителе информацией подразумевается информация, сведения о которой содержатся в файловых таблицах носителей (FAT, MFT и пр.). Удаленная информация также имеется на носителе, однако представлена не в явном виде и вышеописанным методом анализу не поддается.
преступлениями экономической направленности, достаточно редко происходит целенаправленное удаление информации пользователем, а также её сокрытие или шифрование. Большая часть искомой информации обычно находится в открытом виде.
Таким образом, основания для применения специальных знаний в области криминалистической техники в целях контекстного поиска фактически отсутствуют. Основным преимуществом самостоятельного решения задачи контекстного поиска следователем в ходе осмотра компьютерных носителей информации является временной фактор. И здесь идет речь не только и не столько о временных затратах на процедуру назначения и производства экспертизы. Эксперт, не владея материалами дела в полной мере, решает чисто техническую задачу контекстного поиска и лишен возможности оценивать полезность той или иной найденной информации. Поэтому в большинстве случаев следователь в качестве результата экспертного исследования получает электронный носитель информации, на котором записаны тысячи файлов, содержащих ключевое слово. Для того чтобы выбрать из массива данных необходимую информацию, следователь вынужден проводить осмотр этого диска, который отличается от осмотра первичного носителя информации только более упорядоченной структурой данных. Соответственно, на данный осмотр также тратится значительное время. В случае же самостоятельного выполнения процедуры контекстного поиска следователь может на этапе формирования отчета выбрать только значимую для уголовного дела информацию.
Если поиск следователя не дал результата, то при соблюдении принципа неизменности компьютерной информации всегда имеется возможность осуществления поиска сведущим лицом (специалистом или следователем-криминалистом) с применением более сложных методов или назначения и производства судебной экспертизы4.
Задача 2. Обнаружение баз данных специализированных программ 1С. Увеличение объемов памяти накопителей и развитие сетевых технологий приводит к тому, что в современном персональном компьютере (далее - ПК) может осуществляться работа с десятками баз данных (далее - БД). При наиболее общем подходе к классификации БД их можно разделить на локальные и сетевые. Локальные расположены на накопителе исследуемого компьютера, с которым могут работать пользователи, имеющие учетные записи только на этом ПК. Сетевые БД могут размещаться как на ПК, так и на любом сетевом ресурсе (другом ПК, сервере локальной сети, сервере глобальной сети). С такой БД могут одновременно работать множество пользователей, имеющих доступ к ресурсу, на котором установлена БД.
В связи с этим в целях обнаружения баз данных необходимо учитывать следующие факторы:
- с любой базой данных может работать как один человек, так и несколько;
- если работа с БД осуществлялась на исследуемом компьютере, то необходимая для исследования БД может находиться как на исследуемом компьютере, так и на удаленном (т.е. в сети);
- часть баз могут быть пустыми, нерабочими (поврежденными), старыми (неактуальными);
- существуют так называемые файлы выгрузок и архивные БД.
Типовая задача, стоящая перед следователем - это нахождение баз данных, с которыми осуществлялась работа лиц (организаций), связанных с расследуемым событием, а также установление пользователей, которые имели доступ к той или иной базе данных. К решению данной задачи можно подойти несколькими путями.
Первый способ заключается в поиске баз данных по расширению файлов. Для баз данных программы 1С: версии 7.7 это расширения и *.М, для версии 8.x это расширение *.1СВ. Подобный поиск способен осуществить любой человек, обладающий базовым уровнем владения персональным компьютером. Результат такого поиска может выглядеть следующим образом:
1) найдена одна (две-три) базы данных;
2) найдено большое количество баз данных;
3) не найдено ни одной базы данных.
Первые два результата ставят новую задачу - определение базы данных, содержащей сведения об экономической деятельности именно организации, деятельность которой изучается в рамках расследования. Следовательно, среди всего массива обнаруженных баз данных необходимо выявить од-
4 Разграничение полномочий специалиста, следователя-криминалиста и судебного эксперта (далее - сведущих лиц) в области компьютерной техники нуждается в проведении самостоятельного исследования и выходит за рамки настоящей работы.
2017. Т. 27, вып. 5 ЭКОНОМИКА И ПРАВО
ну или несколько БД, которые будут в дальнейшем являться объектом экономической экспертизы. Естественно, что в случае обнаружения одной (двух, трех) баз данных, как показывает практика, можно определить, что она (они) используется (использовались) в одной организации. При наличии нескольких БД выявить среди них актуальную не требует значительных трудозатрат.
По-иному дело может обстоять, если обнаружены десятки различных баз данных. В этом случае, как свидетельствует практика, весьма вероятно, что базы данных принадлежат разным организациям и предстоит работа по выявлению баз данных именно интересующей следствие организации. При отсутствии должного навыка процедура установления искомой базы данных может потребовать значительных временных затрат.
В случае если результат поиска отрицательный, то есть базы данных на исследуемом компьютере отсутствуют, это может свидетельствовать о том, что на данном компьютере:
- работа с БД не велась (при отсутствии установленной программы 1С);
- работа велась с сетевой БД, находящейся на удаленном сетевом ресурсе.
Второй вывод возможен также в случае обнаружения на исследуемом компьютере каких-либо БД, так как программа 1С может работать как с локальными, так и с сетевыми БД.
Таким образом, эффективность применения непосредственно следователем первого способа поиска можно оценить положительно только в том случае, если он уверен, что искомая БД хранится на изъятом компьютере и её обнаружение не потребует значительных затрат времени и сил. Эта уверенность может быть основана на показаниях свидетелей, обвиняемых, результатах обысков и пр. В иных случаях рассмотренный способ необходимо применять в сочетании с другими.
Второй способ обнаружения баз данных 1С заключается в исследовании непосредственно файлов программного пакета 1С, а также файлов реестра операционной системы. Такое исследование позволяет определить конкретный перечень баз данных, с которыми работала установленная на исследуемом носителе программа 1С.
Основой такого исследования является свойство программ 1С хранить рабочие настройки в определенных файлах. В случае если на персональном компьютере установлена программа 1С версии 7.7, то рабочие настройки программы сохраняются в файле ntuser.dat, который является системным файлом реестра операционной системы Microsoft Windows и содержит настройки профиля пользователя. Данный файл находится в директории \üsers\%USERNAME%\, где %USERNAME% - соответствующее имя пользователя. Рабочие настройки программы 1С хранятся в указанном файле в виде взаимосопоставленных полей. В случае если на персональном компьютере установлена программа 1С версии 8.х, то рабочие настройки программы сохраняются в файле ibases.v8i, являющемся служебным файлом программы 1С. Данный файл находится в директории \Users\%USERNAME%\ AppData\Roaming\1C\1CEStart\, где %USERNAME% - также соответствующее имя пользователя.
В данном случае существенным моментом является факт обнаружения как локальных баз данных (например, File="D:\1C_Bases\Управление торговлей"), так и сетевых (Srvr="127.0.0.1:1541"). При применении только первого способа обнаружения баз данных (поиска по расширению файлов) этот результат недостижим.
Если оценивать уровень знаний, которые требуются для выполнения поиска описанным способом, очевидно, что необходимы знания структуры реестра операционных систем Microsoft Windows, навыки работы с файлами реестра, знание основ организации локальных сетей. Кроме этого, в зависимости от настроек политики безопасности, доступ к системным файлам реестра может быть закрыт или ограничен. Соответственно, необходимо также обладать знаниями, позволяющими получить доступ к защищенной информации. Совокупность перечисленных данных относится к специальным знаниям, что делает обязательным привлечение к процедуре осмотра специалиста в области компьютерной техники.
При этом для решения рассмотренной задачи может потребоваться значительное время, а функции следователя в проведении осмотра компьютерной техники фактически ограничиваются фиксацией результатов следственного действия. В связи с этим в качестве более оптимального способа действий в системе Следственного комитета Российской Федерации можно рекомендовать привлечение следователя-криминалиста, обладающего специальными знаниями в области компьютерной техники. Данный участник уголовного процесса по поручению следователя может самостоятельно решить данную поисковую задачу в рамках следственного осмотра.
Задача 3. Обнаружение программ формирования налоговой отчетности и систем электронного документооборота (СЭД). Достаточно часто следователю необходимо не только проанализировать бухгалтерскую отчетность, но и установить, составлялись ли налоговые декларации для направления в налоговый орган с учетом имеющейся бухгалтерской отчетности. Для этого перед сведущим лицом ставится вопрос обнаружения программ для подготовки налоговой отчетности и электронного обмена информацией с налоговыми органами. К таким программам относятся, например, «Налогоплательщик ЮЛ», СЭД «Тензор», СЭД «Парус».
Особенность исследования программ формирования налоговой отчетности и программ электронного документооборота заключается в том, что большинство таких программ хранят искомую информацию в виде внутренних специализированных баз данных. Это означает, что информация, хранящаяся в такой базе данных, доступна только при запущенной программе (оболочке). Запуск же программы можно осуществить только в работающей операционной системе, что противоречит принципу сохранения неизменности информации - запуск операционной системы производит ряд необратимых изменений информации, имеющейся на носителе.
Описанная проблема чаще всего решается применением систем виртуализации (так называемых «виртуальных машин»), то есть таких программ, которые эмулируют5 работу исследуемой операционной системы внутри уже работающей операционной системы. Наиболее распространенными средствами в этой области являются программные продукты VMware и VirtualBox. Процедура применения виртуальных машин, упрощенно, заключается в выполнении следующих операций:
- получение файла-образа исследуемого накопителя информации;
- подключение полученного файла-образа в качестве накопителя созданной виртуальной машины.
После того, как виртуальная машина запущена, в ней уже можно осуществлять запуск любых прикладных пакетов и производить исследование и выгрузку искомой информации. В частности, данным способом также можно осуществить поиск баз данных 1С, с которыми осуществлялась работа пользователя. Доступ к таким сведениям можно получить, произведя запуск исполняемого модуля программного пакета 1С. При запуске программного пакета 1С на экране отображается диалоговое окно, содержащее список баз данных, с которыми ранее осуществлялась работа, и предлагающее пользователю осуществить выбор базы данных из списка для дальнейшей работы. Список баз данных состоит из наименования базы данных и пути, по которому эта база данных расположена. Таким образом, в диалоговом окне содержится вся искомая информация, касающаяся баз данных.
При осуществлении поиска информации с использованием систем виртуализации необходимо учитывать, что в случае, если какая-либо программа работала с ключом аппаратной защиты, то при отсутствии такого ключа в виртуальной машине в результате попытки запуска программа выдаст сообщение об ошибке. Кроме того, необходимо учитывать, что подобные программы чаще всего снабжены системами защиты, включающими в себя ключи-сертификаты. Получение такой регистрационной информации возможно только путем предварительного проведения необходимых следственных действий или оперативно-разыскных мероприятий.
Как видно из описания способа, его применение требует от исследователя определенных навыков работы с файлами-образами и знания нюансов настройки виртуальных машин, а также определенного времени. Совокупность этих знаний нельзя назвать общеизвестными, поскольку требует профессиональных знаний принципов работы, загрузки операционных систем. Следовательно, данный способ не может быть рекомендован для применения самим следователем, а требует привлечения сведущего лица.
Задача 4. Выявление сведений о платежах, проводимых с использованием сетевых технологий. Типичной задачей, стоящей перед следователем, является обнаружение программ удаленного доступа к расчетным счетам кредитных организаций, установление организаций, осуществляющих такой доступ, а также наименование кредитных организаций (банков) и номеров счетов.
Достаточно долго в практике банков применялась система «Банк-клиент», включающая в себя программное обеспечение для установления защищенного канала связи между компьютером пользователя (клиента) и сервером банка, а также автоматизированное рабочее место (АРМ) клиента банка. Наличие такого АРМ клиента может быть обнаружено исследованием системного каталога Program
5 Эмуляция - это имитация аппаратной или программной среды для каких-либо приложений.
Files в совокупности с исследованием файлов системного реестра. Изучение вспомогательных файлов даже при отсутствии аппаратных ключей защиты и установленного канала связи может дать достаточно значимые сведения. Ниже приведен пример результата исследования подобного АРМ:
«...На исследуемом НЖМД ранее была установлена программа АРМ «Клиент» АС «Клиент-Сбербанк» 07.015.01, для осуществления удаленного доступа к расчетным счетам ОАО «Сбербанк России». Наиболее вероятно, доступ к расчетным счетам ОАО «Сбербанк России» осуществлялся от организации ИП Колодова, имеющей ИНН: 380111997206. Установить номера расчетных счетов не представляется возможным, так как указанная программа АРМ «Клиент» АС «Клиент-Сбербанк» 07.015.01 была удалена с исследуемого НЖМД».
Однако система «Банк-клиент» в последнее время активно вытесняется системами онлайн-банкинга. Принципиальное отличие от системы «Банк-клиент» заключается в отсутствии на компьютере пользователя АРМ клиента банка. Например, ПАО «Сбербанк» создал интернет-ресурс, который является интернет-клиентом продукта «Система Сбербанк Бизнес Онл@йн» и предназначен для удаленного управления счетами юридического лица. Работа данного интернет-клиента осуществляется через web-интерфейс любого интернет-обозревателя (браузера), все операции по управлению счетами производятся на сервере банка. Доступ к Интернет-ресурсу осуществляется через защищенный http-протокол: https://sbi.sberbank.ru:9443/ic. Таким образом, сведения об управлении расчетными счетами организаций на компьютере пользователя просто не хранятся. Все, что остается на компьютере - это история работы интернет-обозревателей, исследуя которую специалист может установить наименование кредитной организации и время обращения к ее интернет-клиенту.
Исследование файлов реестра, как уже ранее указывалось, требует знания структуры реестра операционных систем Microsoft Windows, навыки работы с файлами реестра. Исследование же истории интернет-обозревателей может быть осуществлено штатными функциями интернет-обозревателей или посредством специализированных программ. Первый способ не требует специальных познаний и доступен для применения следователем. Второй способ основан на применении таких программ, как, например, Belkasoft Evidence Center Ultimate или Internet Evidence Finder, которых нет в распоряжении следователя. Соответственно, извлечение информации указанным способом без применения специальных знаний и привлечения специалиста или эксперта невозможно.
Оценивая возможности следователя и сведущих лиц в решении рассмотренных задач, можно представить их в виде графической схемы (рис. 1).
Рис. 1. Возможности следователя и специалиста (эксперта) по осуществлению поиска (обнаружения) компьютерной информации при расследовании экономических преступлений
Выводы о возможности применения непосредственно следователем общеизвестных знаний в области компьютерной техники в ходе следственного осмотра требуют разработки криминалистических рекомендаций по его проведению и процессуальному оформлению. Например, если в протоколе осмотра компьютерной техники следователь опишет, что произвел поиск определенной информации и ничего не обнаружил, то возникает вопрос: как к этому отнесется руководитель следственного отдела. Не посчитает ли он такие действия следователя профессиональной некомпетентностью или попыткой утаить найденную информацию (халатностью, злоупотреблением и т. п.). Разработка таких рекомендаций требует самостоятельного исследования и выходит за рамки настоящей работы.
Определив особенности использования специальных знаний в области компьютерной техники, можно сформировать следующие рекомендации по привлечению к расследованию сведущих лиц в области экономики.
Поскольку основным объектом судебно-экономической экспертизы является комплект документации, в которой отражены действия субъектов экономической деятельности, то именно на этапе формирования данного комплекта, в том числе извлекаемого из компьютерной техники, необходимо участие специалиста в области экономики. Если в ходе проведения судебной экспертизы участие экспертов, обладающих различными специальными знаниями, регулируется путем назначения комплексной экспертизы, то представляется целесообразным аналогичным образом организовывать взаимодействие следователя со специалистами в области экономики и компьютерной техники на этапе проведения осмотра. Ниже приведены примеры подобного взаимодействия из практики следственного управления СК России по Иркутской области.
1. В рамках уголовного дела в процессе проведения судебно-экономической экспертизы эксперт-экономист заявил ходатайство о предоставлении справки о движении товарно-материальных ценностей организации А за определенный период времени. Для удовлетворения ходатайства был изъят системный блок персонального компьютера в организации Б, которая занималась бухгалтерским аутсорсингом, обслуживая, в том числе, и организацию А. Традиционная схема получения необходимого документа предусматривала проведение двух раздельных осмотров: в результате первого осмотра с привлечением специалиста в области компьютерной техники обнаруживаются базы данных 1С конкретного предприятия и обеспечивается доступ к данным; в результате второго осмотра с привлечением специалиста в области экономики определяется база данных, содержащая сведения за интересующий следствие период и производится выгрузка справки о движении товарно-материальных ценностей. Описанная схема имеет ряд недостатков. Прежде всего, это временные затраты. Специалисту в области компьютерной техники после проведения осмотра необходимо будет отобранные базы данных записать на электронный носитель, а специалисту в области экономики затем необходимо будет заново перенести базы данных на рабочую станцию и осуществить их монтирование и затем приступить к осмотру. Кроме этого, на этапе монтирования базы данных у специалиста в области экономики могут возникнуть трудности с согласованием версий оболочки и базы данных, а также с несовпадением кодовых страниц и порядка сортировки таблиц базы данных.
Для того чтобы избежать вышеописанных проблем, было принято решение об осмотре изъятого системного блока с привлечением специалистов в области экономики и компьютерной техники, который был осуществлен быстрее и результативнее, нежели при реализации традиционного подхода.
2. При проведении расследования по уголовному делу возникло подозрение о фальсификации одного из бухгалтерских документов. Возникла задача обнаружения следов фальсификации внутри имеющейся базы данных 1С. В базах данных 1С предусмотрена возможность создания и изменения финансового документа иным числом, нежели реальная дата. В случае, когда следователю необходимо установить реальную дату создания конкретного финансового документа или выяснить хронологию изменения этого документа, необходимо осуществить анализ данных, имеющихся в базе данных 1С, и сопоставить эти данные со сведениями, содержащимися в файлах журналирования событий. Для решения этой задачи был привлечен специалист в области экономики, обладающий специальными знаниями и навыками работы с программой 1С, а также специалист в области компьютерной техники, имеющий специальные познания в сфере анализа файлов журналирования событий и синтезирования полученных результатов. Таким образом, данная задача была решена комплексно, с участием двух специалистов.
Приведенные примеры демонстрируют, что при осмотре вещественных доказательств по уголовным делам экономической направленности осмотр с совместным участием специалистов в области экономики и компьютерной техники дает максимально эффективный результат. Некоторыми уче-
2017. Т. 27, вып. 5 ЭКОНОМИКА И ПРАВО
ными применяется термин: «принцип дополнительности» специальных знаний [9], который в данном случае как раз и объясняет эффективность полученного результата: специалист в области экономики обладает знаниями о том, какая информация потребуется для анализа экономической деятельности, специалист в области компьютерной техники обладает знаниями о способах обнаружения и изъятия этой информации.
Наглядно это можно представить следующим образом (рис.2):
Рис. 2. Реализация различных схем осмотра с целью извлечения информации, необходимой для проведения экономической экспертизы
Таким образом, на современном этапе развития электронных технологий в экономике консервативный взгляд на специалиста-экономиста как на человека, обладающего знаниями только в области экономики и теории судебной экспертизы, является устаревшим. Требуют пересмотра пределы компетенции эксперта-экономиста. Так, ряд авторов предлагает расширить научный фундамент су-дебно-экономической экспертизы, полагая, что существенным сегментом ее базиса должна являться информационно-технологическая часть [10]. Этим они фактически раскрывают упомянутое выше понятие «информатика», примененное Ю.В. Третьяковым.
Позиция С.П. Першина, согласно которой эксперт-экономист должен владеть навыками извлечения необходимой ему компьютерной информации, представляется не совсем верной в свете проведенного анализа типичных задач по извлечению информации и способов их решения, поскольку эксперту-экономисту будет доступен только первый уровень решения указанных задач. Решение же задач на более сложном уровне эксперту-экономисту недоступно в силу отсутствия специальных знаний в области компьютерной техники. Это отлично иллюстрирует М.Л. Родичев, анализируя вопросы организации ведения неофициального бухгалтерского учета с использованием технических каналов связи. Вывод автора о том, что к оперативно-разыскным мероприятиям или следственным действиям, проводимым в целях обнаружения и изъятия криминалистически значимой информации, целесообразно привлекать специалиста области информационных технологий [11], выглядит достаточно убедительно. Однако выше нами обоснована возможность поиска такой информации лично следователем.
Проведенное нами исследование позволяет сделать следующие выводы о необходимости использования специальных знаний в области компьютерной техники и экономики при расследовании экономических преступлений.
1. В настоящее время часть знаний в области компьютерной техники перешла из области специальных в область общеизвестных знаний и может применяться непосредственно следователем. Для решения задачи контекстного поиска информации, обнаружения локальных баз данных программ бухгалтерского учета, просмотра содержимого графических файлов, содержащих изображения тек-
ЭКОНОМИКА И ПРАВО 2017. Т. 27, вып. 5
ста, а также просмотра истории посещений интернет-обозревателей (браузеров) следователю в ходе проведения следственного осмотра достаточно общедоступных знаний и навыков работы со штатными средствами операционной системы или программами, рабочий интерфейс которых не требует специальных знаний в области компьютерной техники.
2. Если осмотр, проведенный следователем, не дал положительного результата, то только тогда возникает необходимость решения задачи на качественно ином уровне - привлечение сведущего лица в области компьютерной техники. В целях решения тех же задач контекстного поиска информации, обнаружения локальных баз данных программ бухгалтерского учета, обнаружения программ электронного документооборота, просмотра истории посещений интернет-обозревателей (браузеров), сведущее лицо использует такие инструменты, как анализ файлов системного реестра, служебных файлов прикладных программ, системы виртуализации и комплексы восстановления и анализа удаленных данных. Применение данного инструментария, безусловно, положительным образом сказывается на результативности обнаружения криминалистически значимой информации, однако требует существенно больших временных затрат.
3. Оптимальной процессуальной формой использования специальных знаний в целях поиска и обнаружения компьютерной информации в ходе расследования экономических преступлений является участие в следственном осмотре компьютерной техники специалиста в области экономики совместно со специалистом в области компьютерной техники. Первый обладает знаниями в области экономической деятельности, а второй - знаниями о способах обнаружения и изъятия информации об этой деятельности, необходимой для расследования преступлений.
СПИСОК ЛИТЕРАТУРЫ
1. Голикова В.В. Пределы компетенции эксперта при производстве судебной бухгалтерской экспертизы // Вестник МГЮА. 2016. Вып. 8 (24). С. 97-105.
2. Виноградова М.М. Проблемы установления границ компетенции судебных экспертов-экономистов и применения специальных экономических знаний // Теория и практика судебной экспертизы. 2010. Вып. 3 (19). С. 85-92.
3. Першин С. П. Особенности использования компьютерной информации при производстве экспертизы по экономическим преступлениям // Материалы IV междунар. науч.-практ. конф. Краснодар: КУ МВД России, 2016. С. 354-360.
4. Третьяков Ю.В. Специальные экономические знания как самостоятельная пограничная область знаний // Судебная экспертиза. Волгоград, 2012. № 3 (31). С. 27-32.
5. Алашова Я. А. Особенности применения специальных экономических знаний в процессуальных действиях // Теория и практика судебной экспертизы в современных условиях: материалы VI междунар. науч.-практ. конф. М.: Проспект, 2017. С. 550-554.
6. Семикаленова А.И., Нерсесян М.Г. Особенности участия специалиста в области компьютерно-технической экспертизы в производстве судебно-экономической экспертизы // Материалы 4-й Междунар. науч.-практ. конф. «Теория и практика судебной экспертизы в современных условиях». М.: Проспект, 2013. С. 251-253.
7. Россинская Е.Р. Судебная экспертиза в гражданском, арбитражном, административном и уголовном процессе. М.: Инфра-М, 2011. 736 с.
8. Аверьянова Т.В. Некоторые проблемы практики судебно-экспертной деятельности // Материалы III Всерос. науч.-практ. конф. по криминалистике и судебной экспертизе. М.: ЭКЦ МВД России, 2006. Т. 1. С. 10-16.
9. Волынский А.Ф., Прорвич В.А. О содержании и организации профессиональной переподготовки судебных экспертов и специалистов-экономистов // Вестник Московского университета МВД России. 2016. № 5. С. 25-29.
10. Волынский А.Ф., Прорвич В.А., Расторопов С.В. Судебно-экономическая экспертиза в расследовании экономических преступлений // Вестник Академии экономической безопасности МВД России. 2011. № 4. С. 61-68.
11. Родичев М.Л., Леханова Е.С. К вопросу об организации ведения неофициального («чернового») бухгалтерского учета с использованием технических каналов связи // Экономическая безопасность личности, общества, государства: проблемы и пути обеспечения: материалы ежегодной всерос. науч.-практ. конф.: в 2 т. СПб.: Изд-во СПб ун-та МВД России. 2016. Т. 1. С. 199-205.
Поступила в редакцию 20.06.17
O.Yu. Antonov, A.G. Sebyakin
PECULIARITIES OF USING SPECIAL KNOWLEDGE IN THE FIELD OF ECONOMICS AND COMPUTER TECHNOLOGY IN THE INVESTIGATION OF ECONOMIC CRIMES
An analysis has been made of the points of view in the scientific literature on the amount of specialized knowledge in the field of computer technology in the investigation of economic crimes. Typical tasks of extracting computer information about economic activity in the context of the possibilities of their settlement by various subjects of special knowledge are considered. The boundaries of participation in the inspection of computer by an investigator (inquirer), an expert in the field of economics and a knowledgeable person in the field of computer technology, are exemplified by the practice of the investigative department of the Investigative Committee of the Russian Federation in the Irkutsk region. It is substantiated that at present a part of knowledge in the field of computer technology has passed from the field of special knowledge to the field of well-known knowledge and can be applied directly by the investigator to solve problems of contextual information search and detection of local databases of accounting programs. It is recommended to involve a knowledgeable person in the field of computer technology only if the examination conducted by the investigator did not give a positive result. Recognized as the optimal procedural form for the use of special knowledge for the purpose of searching for and discovering computer information during the investigation of economic crimes, participation in the inspection of computer by an expert in the field of economics together with a specialist in the field of computer technology.
Keywords: special knowledge, computer, economic, investigator, specialist, expert, inspection, forensics.
Антонов Олег Юрьевич,
доктор юридических наук, доцент, декан факультета магистерской подготовки юридического института
ФГКОУ ВО «Московская академия Следственного комитета Российской Федерации» 125080, Россия, г. Москва, ул. Врубеля, д. 12 E-mail: magister.makskrf@yandex.ru
Себякин Алексей Геннадьевич, аспирант
ФГКОУ ВО «Московская академия Следственного комитета Российской Федерации», руководитель экспертно-криминалистического отдела СУ СК России по Иркутской области. E-mail: quattro.sa@yandex.ru
Antonov O.Yu.,
Doctor of Law, Associate Professor,
Dean of the Faculty of magistracy of Law Institute
Moscow Academy of the Investigative Committee of the Russian Federation Vrubelya st., 12, Moscow, Russia, 125080 E-mail: magister.makskrf@yandex.ru
Sebyakin A.G., postgraduate student
Moscow academy of Investigative Committee of the Russian Federation;
Head of forensic division of Investigation Department of Investigative Committee of Russia in Irkutsk Region E-mail: quattro.sa@yandex.ru
