УДК 343.1 ББК 67.411
DOI 10.24411/2414-3995-2019-10166 © В.В. Гончар, Д.Н. Захаров, 2019
Научная специальность 12.00.09 — уголовный процесс
ОСОБЕННОСТИ ОРГАНИЗАЦИИ ДЕЯТЕЛЬНОСТИ СЛЕДОВАТЕЛЯ НА СТАДИИ ВОЗБУЖДЕНИЯ УГОЛОВНОГО ДЕЛА
Владимир Владимирович Гончар,
доцент кафедры предварительного расследования, кандидат юридических наук
Московский университет МВД России имени В.Я. Кикотя (117437, Москва, ул. Академика Волгина, д. 12)
E-mail: [email protected]; Дмитрий Никанорович Захаров,
доцент кафедры специальных информационных технологий,
кандидат технических наук
Московский университет МВД России имени В.Я. Кикотя (117437, Москва, ул. Академика Волгина, д. 12)
E-mail: [email protected]
Аннотация. Рассматриваются характерные особенности деятельности сотрудников органов следствия и дознания на различных стадиях. Приводится ведомственная статистика. Рассматриваются способы совершения киберпреступлений. Разбираются типичные ситуации на стадии возбуждения уголовного дела. Изучаются обстоятельства, подлежащие установлению.
Ключевые слова: киберпреступление, преступление против собственности, обстоятельства, предварительное следствие.
FEATURES OF THE ORGANIZATION OF THE ACTIVITIES OF THE INVESTIGATOR AT THE STAGE OF INITIATION OF CRIMINAL CASE
Vladimir V. Gonchar,
Associate Professor of the Department of Preliminary Investigation,
Candidate of Law
Moscow University of the Ministry of Internal affairs of Russia named after V.Ya. Kikot' (117437, Moscow, ul. Akademika Volgina, d. 12);
Dmitriy N. Zakharov,
Associate Professor at the Department of Special Information Technologies,
Candidate of Technical Sciences
Moscow University of the Ministry of Internal affairs of Russia named after V.Ya. Kikot' (117437, Moscow, ul. Akademika Volgina, d. 12)
Abstract. Considers the characteristic features of the activities of the employees of the investigating and inquiry bodies at various stages. Provides departmental statistics. The ways of committing cybercrime are considered. Understand the typical situation at the stage of a criminal case. The circumstances to be established are being studied.
Keywords: сybercrime, crime against property, circumstances, preliminary investigation.
Citation-индекс в электронной библиотеке НИИОН
Для цитирования: Гончар В.В., Захаров Д.Н. Особенности организации деятельности следователя на стадии возбуждения уголовного дела. Вестник экономической безопасности. 2019;(3):219-22.
В настоящее время отсутствует общепризнанное определение понятия преступления в сфере компьютерной информации, совершаемого против собственности, соответственно отсутствует и соответствующая статистика. В статистике МВД РФ имеются показатели количества преступлений в сфере компьютерной информации (в 2017 г. зарегистрировано 1 883, за 2018 г. 156 307) и преступлений, совершенных с использованием компьютерных и телекоммуникационных технологий (в 2017 г. зарегистрировано 90 587, за январь—ноябрь 2018 г.
118 054) [1]. Большинство из этих преступлений являются преступлениями против собственности.
К данной категории преступлений можно отнести около 10 составов, предусмотренных УК РФ.
Рассматриваемые преступления все чаще совершаются международными преступными группами.
Например, в июне 2016 г. правоохранительными органами, в различных регионах страны, были задержаны несколько десятков членов организованной преступной группы Lurk, которые подозреваются в хищении нескольких миллиардов рублей [2].
Наиболее распространенными способами совершения таких преступлений являются:
• хищения денежных средств и иного имущества с использованием компьютерных технологий (кражи из электронных кошельков, с банковских счетов физических и юридических лиц, с помощью накладок на банкоматы);
• неправомерный доступ к охраняемой законом компьютерной информации;
• применение вредоносных программ с целью незаконного использования объектов авторского права, в том числе прав на программное обеспечение;
• хищения путем заражения систем дистанционного банковского обслуживания (ДБО), выставления поддельных POS-терминалов, атак на мобильные устройства, брокерские системы в сети Интернет и банки;
• использование методов социальной инженерии, в результате чего потерпевшие самостоятельно предоставляют злоумышленникам реквизиты своих банковских карт, конфиденциальную информацию, а также паспортные данные, позволяющие провести идентификацию и совершить хищение денежных средств [3].
Первой стадией уголовного судопроизводства является стадия возбуждения уголовного дела. Специфика данной стадии обусловлена особенностью конкретного вида преступления, что определяет последовательность действий следователя (дознавателя) при обнаружении признаков такого преступления. Выявленные признаки оказывают влияние на выбор сил и средств, а также ход всего дальнейшего расследования.
В соответствии с требованиями закона, решение о возбуждении уголовного дела любой категории возможно лишь при наличии соответствующего повода и оснований.
Как правило, на стадии возбуждения уголовного дела складываются следующие типичные ситуации:
• заявители (представители юридического лица, собственник или законный пользователь компьютерной информации) сами выявили факт преступления или признаки совершенного преступления, но не смогли установить лиц его совершивших и обратились в правоохранительные органы;
• заявители (представители юридического лица, собственник или законный пользователь компьютерной информации) не только обнаружили факт совершенного преступления, его признаки, но и выявили данные заподозренного лица (чаще всего это IP или MAC адрес ЭВМ, номер Сим-карты или абонентский номер мобильного телефона).
Решая вопрос о возбуждении уголовного дела рассматриваемой категории, следует отметить, что из-за значительного количества разновидностей подобных преступлений, основания возбуждения уголовного дела будут отличаться.
В последнее время, при совершении преступлений в сфере компьютерной информации, совершаемых против собственности, все чаще используются методы социальной инженерии в системах дистанционного банковского обслуживания (далее ДБО).
Рассмотрим деятельность сотрудников правоохранительных органов, на стадии возбуждения уголовного дела при проверке поступившей информации:
В рамках проверки сообщения о хищении с применением систем ДБО необходимо выяснить следующие обстоятельства:
• способ подготовки, совершения и сокрытия хищения;
• произошло ли списание денежных средств с банковского счета потерпевшего в результате действия, не связанного с хищением (ошибка, сбой программного обеспечения и т.п.);
• наличие/отсутствие вредоносных программ и их исходных текстов/файлов проектов на ЭВМ пострадавшего;
• сведения о лицах, причастных к хищению (ФИО, имена учетных записей в программах для мгновенного обмена сообщениями, IP-адреса, данные о их социальных сетях, почтовые адреса, и т.д.);
• наличие/отсутствие сведений об отправке, рассылке файлов вредоносного программного обеспечения и/или поддерживании сервисов, с помощью которых можно производить распространение вредоносных программ;
• наличие/ отсутствие факта воздействия на сетевой ресурс, для выведения его из строя и/или штатной работы;
• наличие/отсутствие сетевых запросов на ЭВМ пострадавшего, обработка которых привела к выведению данного ресурса из строя и/или штатной работы;
• сведения о лицах, причастных к созданию/ использованию/распространению вредоносных компьютерных программ;
• сведения о лицах, программах, 1Р-адресах, которые могут быть причастны к отправке этих запросов в случае их обнаружения;
• наличие/отсутствие компьютерных программ для отправки большого количества сетевых запросов определенного формата;
• факт наличия/отсутствия следов запуска обнаруженных вредоносных компьютерных программ;
• сведения о сетевых ресурсах, на которые посылались сетевые запросы с помощью обнаруженных программ;
• наличие/отсутствие следов обращения к интернет-ресурсам, которые позволяют производить отправку большого количества сетевых запросов заданного формата на заданный сетевой ресурс;
• наличие/отсутствие следов обращения к атакуемому сетевому ресурсу с машины правонарушителя;
• причина, повлекшая реализацию DoS/DDoS атаки;
• наличие/отсутствие следов несанкционированного доступа к ЭВМ атакующего в определенный промежуток времени.
Проверка данных обстоятельств осуществляется сотрудником органа дознания и (или) следователем. Основными источниками информации, позволяющими выявить признаки преступления в сфере компьютерной информации, совершаемых против собственности, обычно являются:
• заявление пострадавшего (его представителя), либо рапорт об обнаружении признаков преступления;
• протокол осмотра места происшествия;
• сопроводительное письмо руководителя органа дознания (о рассекречивании материалов ОРД);
• рапорт сотрудника об обнаружении признаков преступления;
• документы, фиксирующие этапы проведения оперативно-розыскных мероприятий (за исключением сведений, составляющих государственную тайну);
• объяснения лиц, имеющих доступ к ЭВМ потерпевшего (руководитель, бухгалтер, оператор, администратор и т.д.);
• документы, относящиеся к функционированию ЭВМ, имеющей доступ к системе ДБО потерпевшего и финансово-кредитной организации;
• объяснения сотрудников финансово- кредитной организации (в том числе сотрудников службы безопасности);
• журналы регистрации событий (NetFlow) предоставляемые поставщиком Интернет-услуг;
• журналы регистрации событий от кредитной организации, предоставляющей доступ в систему ДБО;
• протокол осмотра ЭВМ, с которых предположительно осуществлена DoS/DDoS атака;
• протокол осмотра ЭВМ, ноутбука, моноблока, смартфона, мобильного устройства, планшета и других средств потерпевшего, подключенных к системе ДБО;
• электронные носители информации («жесткие» диски, флеш-накопители (USB Flash, SSD), твердотельные гибридные накопители информации (SHDD), CD/DVD/ Blu-ray диски и т.д.);
• материалы исследований и экспертиз содержимого HDD и иных изъятых носителей информации;
• сетевой ресурс (сервер/серверы, маршрутизатор, система обнаружения/предотвращения вторжений и т.д.) [4].
Указанные предметы и документы подлежат внимательному изучению для установления признаков преступления.
В случае возбуждения уголовного дела все обнаруженные и изъятые предметы (документы) могут иметь доказательное значение, поскольку могут быть отнесены к такому виду доказательств, который определяется законом как «иные документы» (п. 6 ч. 2 ст. 74 УПК РФ).
Следует отметить, что к числу наиболее специфических особенностей, характерных для стадии возбуждения уголовного дела по преступлениям в сфере компьютерной информации, совершаемым
против собственности относятся нижеперечисленные требования.
Обязательное участие специалиста при производстве процессуальных действий, предусмотренных ч. 1 ст. 144 УПК РФ.
Обязательное проведение экспертиз, предметом исследования которых является изъятые по делу электронные носители информации, ноутбуки, флэш-карты и т.д., с целью обнаружения вредоносного программного обеспечения иных сведений, имеющих значение для выявления признаков преступления (хотя ст. 196 УПК РФ не содержит требование обязательности назначения экспертиз по делам данной категории, однако это требование продиктовано спецификой процесса доказывания по такого рода делам).
Отсутствие заявление пострадавших (не редко, лицо не подозревает что в отношении его была попытка совершить хищение денежных средств, с помощью информационных технологий. Например, внедренное преступниками вредоносное программное обеспечение подменило платежные реквизиты в осуществляемой транзакции, однако система «Фрод-мониторинга» и сотрудники службы безопасности финансово-кредитной организации заблокировали данную транзакцию).
Как правило, отсутствие очевидцев, так как общение злоумышленников осуществляется с помощью информационно-телекоммуникационной сети, с использованием специальных программ, обеспечивающих анонимность такой коммуникации (анонимайзеров).
Менее обширная и более уязвимая доказательственная база в силу указанных выше причин.
Стремление заподозренного противодействовать расследованию путем выдвижения ложных версий, трудно опровергаемых объективными данными.
Взаимосвязь указанного рода преступлений с другими (подготавливаемыми или уже совершенными, так как не редко информационные технологии используются для совершения более тяжких преступлений).
Наличие (как правило) состава преступления в действиях каждого лица, вовлеченного в криминальную деятельность, связанную с совершением преступлений в сфере компьютерной
информации, совершаемых против собственности (с вытекающими отсюда последствиями: криминальной круговой порукой указанных лиц, слабой свидетельской и доказательной базой по делам указанной категории, сложностью установления и доказывания связей между различными участниками преступных групп).
Еще один момент, который следует учесть при оценке первичных материалов о противоправных деяниях в сфере компьютерной информации — это малозначительность деяния.
В ч. 2 ст. 14 УК РФ, закреплено, что не является преступлением действие (бездействие), хотя формально и содержащее признаки какого-либо деяния, предусмотренного Уголовным кодексом, но в силу малозначительности не представляет общественной опасности.
Данным обстоятельством активно пользуются правонарушители, совершающие значительное количество мелких хищений, например, по 100 руб. с каждого абонентского счета мобильного телефона. Па первый взгляд малозначительность очевидна, но, когда с использованием вредоносного программного обеспечения совершаются тысячи таких хищений, восприятие ситуации меняется и о малозначительности говорить неуместно.
В заключение необходимо отметить, что вышеперечисленные обстоятельства необходимо учитывать при выдвижении следственных версий по делам указанной категории, подготовке плана расследования, при выборе последовательности и тактики проведения дальнейших процессуальных действий.
Литература
1. Состояние преступности в Российской Федерации за январь—декабрь 2017 года // httpsV/мвд. рф/reports /item/12167987/
2. Стоянов Р. Охота на Lurk // https://securelist. ru/the-hunt-for-lurk/29220/ (дата обращения 15 мая 2018 г.).
3. Информационно-аналитические материалы Следственного департамента МВД России за 2017 г.
4. Информационно-аналитические материалы Следственного департамента МВД России за 2015 г.