Научная статья на тему 'Проблемы собирания цифровых следов преступлений из социальных сетей и мессенджеров'

Проблемы собирания цифровых следов преступлений из социальных сетей и мессенджеров Текст научной статьи по специальности «Право»

CC BY
2868
573
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
цифровые доказательства / собирание цифровых данных / компьютерные преступления / расследование преступлений / следст-венные действия / уголовный процесс / фиксация цифровых данных / удалён-ные серверы / электронные носители информации / социальные сети / мессенд-жеры / digital evidence / digital data collection / cybercrime / investiga-tion of crimes / investigative actions / criminal proceedings / digital data record / re-mote servers / an electronic secure storage device / social media / messengers

Аннотация научной статьи по праву, автор научной работы — Россинская Елена Рафаиловна, Сааков Тигран Артёмович

Статья посвящена разработке методологических подходов обнаружения, фиксации и изъятия цифровых следов преступлений из соци-альных сетей и мессенджеров. Особое внимание уделяется участию специа-листа в производстве следственных действий, связанных с собиранием циф-ровых доказательств из социальных сетей и мессенджеров. Исследованы нор-мы международного законодательства и законодательства РФ в области про-тиводействия киберпреступности и обеспечения кибербезопасности. На ос-нове обобщения, систематизации, анализа теоретического материала и эмпи-рических данных обосновывается целесообразность внесения изменений в действующую редакцию УПК РФ, обусловленных потребностями следст-венной практики.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по праву , автор научной работы — Россинская Елена Рафаиловна, Сааков Тигран Артёмович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

THE PROBLEMS OF COLLECTING DIGITAL FOOTPRINTS OF CRIMES IN SOCIAL NETWORKS AND MESSENGERS

This article is devoted to the development of methodological ap-proaches to detecting, record and seizure digital footprints of crimes from social networks and messengers. The article critically analyzes the norms of international and national legislation of the Russian Federation in the field of countering cyber-crime and ensuring cybersecurity. On the basis of generalization, systematization and analysis of theoretical material and empirical data, the authors justify the expe-diency of amending the current version of the Code of Criminal Procedure due to the needs of investigative practices. Special attention is paid to the participation of a specialist in the production of investigative actions related to the collection of digital evidence from social networks and messengers.

Текст научной работы на тему «Проблемы собирания цифровых следов преступлений из социальных сетей и мессенджеров»

УДК 343.98

DOI: 10.24411/2587-9820-2020-10060 Россинская Елена Рафаиловна,

директор Института судебных экспертиз, заведующий кафедрой судебных экспертиз Университета имени О. Е. Кутафина (МГЮА), доктор юридических наук, профессор, заслуженный деятель науки РФ,

почетный работник высшего профессионального образования РФ,

академик Российской академии естественных наук,

президент НП «Палата судебных экспертов имени Ю. Г. Корухова»;

Сааков Тигран Артёмович,

заведующий учебно-экспертной лабораторией

кафедры судебных экспертиз,

аспирант кафедры судебных экспертиз

Университета имени О. Е. Кутафина (МГЮА),

ПРОБЛЕМЫ СОБИРАНИЯ ЦИФРОВЫХ СЛЕДОВ ПРЕСТУПЛЕНИЙ ИЗ СОЦИАЛЬНЫХ СЕТЕЙ И МЕССЕНДЖЕРОВ1

Аннотация. Статья посвящена разработке методологических подходов обнаружения, фиксации и изъятия цифровых следов преступлений из социальных сетей и мессенджеров. Особое внимание уделяется участию специалиста в производстве следственных действий, связанных с собиранием цифровых доказательств из социальных сетей и мессенджеров. Исследованы нормы международного законодательства и законодательства РФ в области противодействия киберпреступности и обеспечения кибербезопасности. На основе обобщения, систематизации, анализа теоретического материала и эмпирических данных обосновывается целесообразность внесения изменений в действующую редакцию УПК РФ, обусловленных потребностями следственной практики.

Ключевые слова: цифровые доказательства, собирание цифровых данных, компьютерные преступления, расследование преступлений, следственные действия, уголовный процесс, фиксация цифровых данных, удалённые серверы, электронные носители информации, социальные сети, мессенд-жеры.

Rossinskaya Elena Rafailovna,

Director of the Forensic Expertise Institute, Head of the Forensic Expertise Dept. at Kutafin Moscow State Law University, Doctor of Law, Professor;

1 Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16003.

Honored Scientific Associate of Russia;

Honorary Worker of Higher Professional Education of the Russian Federation;

Active Member of the Russian Natural Sciences Academy,

President of the Non-Commercial Partnership

"Chamber of Forensic Experts named after Yu. G. Korukhov"

Saakov Tigran Artemovich,

Head training expert laboratory of the Department of forensic science, postgraduate student of the Department of forensic science Kutafin State law University (MSAL)

THE PROBLEMS OF COLLECTING DIGITAL FOOTPRINTS OF CRIMES IN SOCIAL NETWORKS AND MESSENGERS

Abstract. This article is devoted to the development of methodological approaches to detecting, record and seizure digital footprints of crimes from social networks and messengers. The article critically analyzes the norms of international and national legislation of the Russian Federation in the field of countering cybercrime and ensuring cybersecurity. On the basis of generalization, systematization and analysis of theoretical material and empirical data, the authors justify the expediency of amending the current version of the Code of Criminal Procedure due to the needs of investigative practices. Special attention is paid to the participation of a specialist in the production of investigative actions related to the collection of digital evidence from social networks and messengers.

Keywords: digital evidence, digital data collection, cybercrime, investigation of crimes, investigative actions, criminal proceedings, digital data record, remote servers, an electronic secure storage device, social media, messengers.

Отличительной особенностью жизни в современном социуме является «обитание» человека в цифровой среде, что привело к существенным изменениям, в том числе в преступной деятельности. С использованием компьютерных средств и систем сегодня совершаются преступления практически любых видов: против жизни и здоровья, государственной власти, собственности, половой неприкосновенности и свободы личности, общественной безопасности и др. [1, с. 33]. В криминалистике для объединения преступлений, совершаемых с использованием компьютерных средств и систем, используется дефиниция «компьютерные преступления», которая связана не с квалификацией, а со способом преступления и, соответственно, с методикой его раскрытия и расследования [2, с. 440—442.].

Анализ данных правового портала статистики Генеральной прокураторы Российской Федерации свидетельствует о прогрессирующей тенденции роста числа киберпреступлений, зарегистрированных на территории России. Так, только за январь — март 2020 г. было зарегистрировано около 102 тыс. преступлений, совершённых с использованием информационно-телекомму-

никационных средств или в сфере компьютерной информации, что составляет около 41 % от общего числа киберпреступлений, зарегистрированных за весь предыдущий год.

Как отмечают исследователи, в Российской Федерации за последние годы почти каждое 20-е зарегистрированное преступление совершается при помощи использования сети Интернет [3, с. 112]. В свою очередь, социальные сети и мессенджеры нередко становятся особой средой для совершения самых различных преступлений (экстремистской и террористической направленности, незаконного оборота наркотиков, распространения детской порнографии и др.). Это, в первую очередь, связано с широкими функциональными возможностями социальных сетей и мессенджеров, спецификой компьютерно-опосредованной коммуникации, позволяющей личности сохранять свою анонимность и с легкостью публиковать различного рода информацию, которая становится впоследствии доступной широкому кругу лиц. Такие условия раскрывают перед злоумышленниками массу возможностей для реализации своих преступных умыслов посредством использования социальных сетей и мессенджеров, что обусловливает необходимость разрешения проблемных вопросов, связанных с отсутствием унифицированного подхода к обнаружению, фиксации и изъятию цифровых следов из социальных сетей и мессенд-жеров.

Как известно, обнаружение цифровых следов преступлений, оставленных в социальных сетях и (или) мессенджерах, является поисковой деятельностью следователя, которая направлена на собирание доказательственной и ориентирующей криминалистически значимой информации, что возможно посредством нескольких способов:

— поиск информации с использованием технических средств (ПК, ноутбука, электронного планшета и др.) для посещения страницы пользователя социальной сети (интересующий следствие ГО), где потенциально содержатся следы преступления с последующей фиксацией и изъятием криминалистически значимой информации; при этом обнаружение криминалистически значимой информации возможно в случае, если цифровые данные, интересующие органы следствия, находятся в открытом доступе, либо удалось оперативно внедриться, например, подписаться на конкретную закрытую группу в социальной сети; в противном случае получение информации таким способом не представляется возможным;

— с электронного устройства подозреваемого (обвиняемого), потерпевшего при помощи авторизации через их аккаунт в социальной сети (мес-сенджере) с их добровольного согласия или только с разрешения суда (ст. 185 УПК РФ); однако при этом следует иметь в виду, что получение криминалистически значимой информации будет возможно только в отношении тех данных, к которым аккаунт конкретного пользователя имеет доступ;

— с электронно-вычислительных мощностей, содержащих информацию о пользователях социальной сети и (или) мессенджеров (серверы компаний, предоставляющих услуги пользования конкретной социальной сетью, мессенджером).

Каждый из вышеперечисленных способов имеет свою специфику, обусловленную как нормами международного права, так и национального законодательства Российской Федерации, поэтому необходимо рассмотреть эти способы более подробно с правовых позиций.

В настоящий момент в УПК РФ отсутствует норма, регламентирующая порядок проведения следственного действия, связанного с получением компьютерной информации с удаленных компьютерных сетей и систем [4, с. 180]. Поэтому на практике при проведении предварительной проверки по сообщению о преступлении, когда доказательственная информация находится на страницах социальных сетей пользователей в сети Интернет, следователи руководствуются ст.ст. 176, 177 УПК РФ, т. е. осуществляют осмотр и последующую фиксацию и изъятие цифровых следов преступления в рамках проведения такого следственного действия, как осмотр предметов (документов).

Так, например, гражданин А. осуществлял незаконный сбыт наркотических средств и «вербовку» новых членов преступной группы при помощи использования аккаунта в социальной сети «ВКонтакте» и мессенджере Telegram, в частности, посредством размещения объявлений о вакансиях на различных контент-сайтах и каналах в приложении Telegram, рассылок личных сообщений в социальной сети «ВКонтакте».

Обнаружение, фиксация и изъятие цифровых следов в приведенном выше примере осуществлялись в рамках проведения осмотра предметов (документов) в соответствии со ст. 177 УПК РФ.

Вместе с тем отметим, что, в соответствии со ст. 164.1 УПК РФ, участие специалиста в следственных действиях является обязательным в случаях, когда изъятие и копирование информации осуществляется с электронных носителей. Однако следует констатировать, что положения ст. 164.1 УПК РФ лишь отчасти способствуют оптимизации и эффективности проведения следственных действий, связанных с изъятием компьютерной и (или) цифровой информации.

Во-первых, положения ст. 164.1 нельзя экстраполировать на удаленное получение информации с сайта в сети Интернет. Это связано с тем, что, согласно ст. 2 ФЗ «Об информации, информационных технологиях и о защите информации» сайт в сети Интернет — это «совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети Интернет <...> по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты

в сети Интернет». Однако при осмотре сайта в Интернете фиксация и последующее изъятие информации осуществляется не с электронно-вычислительных мощностей (серверов), при помощи которых поддерживается работоспособность определенного контент-сайта, а из информационно-телекоммуникационной сети Интернет, отображающей информацию, хранящуюся в памяти устройств хранения информации (жестких дисков серверов) электронно-вычислительных мощностей. В то же время в ст. 164.1 УПК РФ ничего не сказано о получении информации с удаленных серверов, а речь идет лишь об изъятии и копировании информации с электронных устройств. Следовательно, в отношении обнаружения, фиксации и изъятия цифровых следов из сайтов в сети Интернет, в частности со страниц социальных сетей пользователей, в УПК РФ имеет место «правовая лакуна».

Во-вторых, согласно ч. 2 ст. 164.1, участие специалиста является обязательным, в частности, в случаях, когда изъятию подлежат электронные носители информации. Однако анализ следственной практики показывает, что специалист к участию в следственных действиях, связанных с изъятием электронных носителей информации, привлекается пока нечасто. В ходе мониторинга следственной практики нами был проведен опрос 100 дознавателей и следователей МВД Российской Федерации. На вопрос «Возникает ли объективная необходимость участия специалиста в следственных действиях, которые связаны с изъятием электронного носителя информации?» опрашиваемые респонденты ответили:

— нет, для изъятия электронного носителя информации не возникает потребности в использовании специальных знаний (51 %);

— да, для изъятия электронного носителя информации требуется использование специальных знаний (11 %);

— все зависит от специфики электронного носителя информации и его комплектующих (33 %);

— затрудняюсь ответить (5 %).

В свою очередь, на вопрос «Возникает ли объективная необходимость участия специалиста в следственных действиях, связанных с изъятием компьютерной и (или) цифровой информации с удаленных серверов и (или) электронных носителей информации?» дознаватели и следователи ответили:

— да, участие специалиста в следственных действиях необходимо для осуществления надлежащей фиксации и изъятия компьютерной и (или) цифровой информации (83 %);

— нет, объективной потребности в участии специалиста в следственных действиях для осуществления надлежащей фиксации и изъятия компьютерной и (или) цифровой информации с удаленных серверов и (или) электронных носителей информации не возникает (6 %);

— затрудняюсь ответить (11 %).

Анализ данных опроса демонстрирует проблему, которая, на наш взгляд, заключается в том, что для непосредственного изъятия самого электронного носителя информации (мобильного телефона, электронного планшета, ноутбука и др.), например, в рамках производства выемки (ст. 183 УПК РФ) участие специалиста является вовсе необязательным, т. к. в большинстве случаев следователь в состоянии сам надлежащим образом произвести выемку электронного носителя информации и без участия специалиста, если изъятие электронного устройства не представляет сложностей и не требует для этого использования специальных знаний. В этой связи С. Б. Россинский совершенно справедливо отмечает, что участие «специалиста в следственных действиях не является безусловным. Обладая необходимыми специальными знаниями и умея применять их на практике, следователь вполне может обойтись и без его помощи» [5, с. 118].

По нашему мнению, участие специалиста обязательно, когда следователю требуется осуществить изъятие компьютерной и/или цифровой информации либо непосредственно с электронного носителя (ПК, мобильного телефона, электронного планшета и т. д.), либо с удаленных серверов (например, с определённого контент-сайта), а не с самого электронного устройства (системного блока ПК, ноутбука, мобильного телефона и т. д.), т. к. фиксация и изъятие цифровых данных предопределяет необходимость соблюдения определённого порядка действий со стороны правоприменителя, вызванного спецификой данных объектов, с целью обеспечения их сохранности, достоверности и дальнейшей возможности приобщения в качестве вещественных доказательств по делу[6; 7].

Следует также отметить, что, в соответствии с примечанием к ст. 272 УК РФ, под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Однако, как представляется, такое определение компьютерной информации является не совсем корректным, поскольку процессором электронно-вычислительных мощностей могут обрабатываться цифровые данные, которые вовсе не обязательно должны быть представлены в форме электрических сигналов. Так, например, QR-код, включающий в себя стандартизированные режимы кодирования (числовой, буквенно-цифровой, двоичный, кандзи), может быть зафиксирован не на электронный, а иной носитель информации (бумагу, дерево, полимер и др.), т. е. в данном случае от цифровой информации (QR-кода) не будет исходить каких-либо электрических сигналов, но эта цифровая информация также может быть обработана любым электронным устройством (ноутбуком, смартфоном, электронным планшетом), позволяющим произвести декодирования QR-кода.

Более того, само понятие «электрические сигналы», по своей сути, является довольно широким. Связано это с тем, что при помощи электричес-

ких сигналов могут передаваться как цифровые, так и аналоговые данные (радио-, телевещание), которые не предназначены для их обработки процессором вычислительной техники (компьютером), а направлены для соединения несущей частоты с электронным устройством, например, радиоприемником или телевизором.

Полагаем, что следует разграничивать компьютерную информацию, которая может быть выражена как в аналоговом, так и в цифровом формате, но которая при этом должна подлежать обработке процессором электронно-вычислительных мощностей (компьютеров), от цифровой информации, которая может быть обработана как при помощи электронно-вычислительной техники (жесткие диски, ШВ-накопители, CD-диски и др.), так без неё (например, декодирование QR-кода может быть проведено лицом, обладающим специальными знаниями в соответствующей области, и без использования электронно-вычислительной техники).

Принимая во внимание тот факт, что при помощи компьютерных средств может обрабатываться как аналоговая, так и цифровая информация, по нашему мнению, под компьютерной информацией следует понимать любые данные, сведения, сообщения (аналоговый (цифровой) формат), которые обрабатываются процессором электронно-вычислительных мощностей.

Исходя из вышеизложенного, представляется целесообразным изменение наименования ст. 164.1 УПК РФ и изложение её в следующей редакции: «Изъятие компьютерной и цифровой информации с удалённых серверов и электронных носителей информации при производстве следственных действий». Таким образом, удалось бы восполнить пробел, связанный с отсутствием норм в УПК РФ, регулирующих порядок изъятия компьютерной и цифровой информации с удалённых серверов.

Обязательное участие специалиста, закреплённое в ч. 2 ст. 164.1 УПК РФ, представляется логичным вынести в отдельную ч. 4 рассматриваемой статьи и изложить в следующей редакции: «При проведении следственных действий, в ходе которых осуществляется изъятие компьютерной и (или) цифровой информации с удаленных серверов или электронных носителей информации, участие специалиста обязательно». Такая редакция позволит четко обозначить обязательное участие специалиста, которое будет исключительно связано с фиксацией и изъятием компьютерной и цифровой информации, имеющей свою специфику и предопределяющей наличие у субъекта, осуществляющего её фиксацию и изъятие, специальных знаний в области ГТ-технологий, в частности информационно-компьютерной безопасности. В то же время, такая редакция ст. 164.1 УПК РФ позволит избежать обязательного привлечения специалиста к участию в следственном действии, когда изъятию подлежат сами электронные носители информации, т. е. объективная потребность в его участии отсутствует.

Что касается поисковой деятельности следователя, связанной с обнаружением криминалистически значимой информации, находящейся на страницах пользователей социальных сетей, то также представляется целесообразным привлечение специалиста из области 1Т-технологий для содействия в обнаружении доказательственной информации с удалённых серверов в соответствии со ст. 168 УПК РФ. Такая необходимость обусловлена тем, что посредством визуального осмотра контент-сайта, не требующего использования специальных знаний, можно обнаружить лишь небольшую часть цифровых данных, интересующих органы следствия. Однако для получения детализирующей информации о цифровых данных, содержащихся на контент-сайте (странице пользователя социальной сети), необходимо использовать компилируемые программные модули, а в ряде случаев отдельные программные продукты, позволяющие выявить исходящие с контент-сайта цифровые данные, например, выраженные в виде скрытых ссылок. Более того, для обнаружения криминалистически значимой информации зачастую представляется необходимым производить анализ исходного кода страницы сайта. Проиллюстрируем это примером.

В Следственное управление по Северо-Западному административному округу г. Москвы от гражданина N поступило сообщение о совершении преступления, предусмотренного ст. 280 УК РФ. В рамках осмотра предметов (документов), в соответствии со ст. 177 УПК РФ, следователем осуществлялась проверка содержания контент-сайта «ХХХХХХХ» на предмет наличия (отсутствия) в нем призывов к осуществлению экстремистской деятельности, предусмотренных ст. 280 УК РФ. В ходе следственной проверки было обнаружено, что на осматриваемом контенте, помимо экстремистских материалов, также размещена информация, способствующая незаконному сбыту наркотических средств, которая выражена в виде всплывающих окон. По факту обнаружения признаков составов преступлений, предусмотренных ст. 280 УК РФ, ст. 228.1 УК РФ, было возбуждено уголовное дело. Специалисту, участвующему в производстве следственного действия, удалось посредством анализа исходного кода страницы сайта определить путь к контенту сайта, из которого данная информация поступала для последующего размещения на проверяемом в ходе осмотра сайте. В дальнейшем следствию удалось доказать причастность к совершённому преступлению, предусмотренному ст. 280 УК РФ, гражданина А и причастность к совершённому преступлению, предусмотренному ст. 228.1 УК РФ, гражданина В, обладающего правами администратора сайта, который удалось обнаружить специалисту в ходе осмотра исходного кода страницы сайта.

Как видно из вышеприведённого примера, обнаружение цифровых следов преступлений, связанных с незаконным сбытом наркотических средств, оказалось возможным только лишь посредством анализа исходного

кода страницы сайта, анализ которого невозможен без использования специальных знаний в области информационно-компьютерной безопасности.

Другой не менее важной проблемой собирания цифровых следов преступлений из социальных сетей и мессенджеров является отсутствие международно-правового акта общеобязательного характера по противодействию киберпреступности и (или) обеспечению кибербезопасности, который бы регулировал вопросы, связанные в том числе с собиранием криминалистически значимой информации с хостинг-провайдеров — иностранных компаний, предоставляющих услуги пользования конкретной социальной сетью или мессенджером.

Отметим, что у Российской Федерации имеется ряд заключённых договоров с иностранными государствами, в том числе регламентирующих оказание международно-правовой помощи сторонам при расследовании уголовных преступлений. При этом следует учитывать складывающуюся международную обстановку и осознавать реальную возможность получения интересующей органы следствия нашей страны информации, от иностранного государства. Международные запросы могут быть оставлены без ответа [8, с. 25], что связано с отсутствием международно-правовых норм, регулирующих порядок передачи компьютерной и (или) цифровой информации между иностранными государствами.

Так, в ходе предварительного расследования уголовного дела СО УМВД России по г. Элисте по признакам преступления, предусмотренного ч. 1 ст. 272 УК РФ, было установлено, что 11 августа 2016 г. неизвестное лицо отправило сообщение от e-mail: «XXXXX» на электронную почту Управления Федерального казначейства Республики Калмыкия, содержащее вредоносный программный код, который впоследствии проник в систему программно-аппаратного комплекса учреждения и модифицировал служебные файлы, тем самым частично парализовав деятельность всего учреждения. Согласно полученным сведениям НЦБ Интерпола МВД России, установочные данные электронного почтового ящика е^@уа^о.сот могут быть получены от правоохранительных органов США в рамках оказания международной правовой помощи при расследовании уголовных преступлений. Однако 22 ноября 2016 г. предварительное следствие по данному уголовному делу было приостановлено в связи с неустановлением лица, подлежащего привлечению в качестве обвиняемого (п. 1 ч. 1 ст. 208 УПК РФ) [8, с. 25—26].

Как видно из вышеприведённого примера, запрос органов, ведущих расследование преступления на территории Российской Федерации, в правоохранительные органы США остался без ответа, в связи с чем предварительное расследование было приостановлено, т. к. дальнейший сбор доказательств оказался невозможен.

Следует отметить, что ныне действующая Будапештская конвенция «О преступности в сфере компьютерной информации» (далее — Будапештс-

кая конвенция), во-первых, по своей сути, является устаревшей, т. к. закреплённые в ней положение едва ли способны отвечать реалиям следственной практики. В Конвенции рассматриваются преступления против конфиденциальности, целостности и доступности компьютерных данных и систем, подлог и мошенничество с использованием компьютеров, преступления, связанные с содержанием данных, в особенности преступления, связанные с детской порнографией, а также преступления, связанные с нарушением авторского и смежных прав (глава II, раздел I, части 1—4). Однако, как отмечалось нами выше, на сегодняшний день перечень составов преступлений, которые совершаются при помощи использования компьютерных средств и систем, в частности, посредством использования сети Интернет, является гораздо шире, чем перечень видов преступлений, регулируемых Будапештской конвенцией, по которым предусмотрено международное сотрудничество стран-участниц в сфере противодействия киберпреступности.

Во-вторых, отказ Российской Федерации от подписания Будапештской конвенции нам представляется вполне логичным и правомерным, т. к. прописанные в п. Ь ст. 32 Будапештской конвенции положения противоречат, в частности, ст. 4, ст. 23, п. 1 ст. 24 Конституции РФ, а также ФЗ «О персональных данных», т. к. указанный пункт Будапештской конвенции предусматривает возможность получения одной из стран без согласия другой страны компьютерных данных, хранящихся на серверах иностранного государства.

Исходя из вышеизложенного, получение криминалистически значимой информации с хостинг-провайдеров — иностранных компаний, предоставляющих услуги пользования социальной сетью или мессенджером ^асеЬоок, Instagram, WhatsApp и др.), на практике вызывает сложности у правоохранительных органов, что, безусловно, препятствует расследованию преступлений, связанных с получением компьютерной и (или) цифровой информации с хостинг-провайдеров — юридических лиц, зарегистрированных на территории иностранных государств. В этой связи Российская Федерации выступала с инициативой проекта Конвенции ООН «О сотрудничестве в сфере противодействия информационной преступности» в 2017 г. в Вене. Проект, по своей сути, выступает альтернативой Будапештской конвенции. В нем отсутствуют нормы, которые могут затаривать путь к безопасности и суверенитет государств и охранению прав их граждан (п. Ь ст. 32 Будапештской конвенции). Вместе с тем ст. 57 проекта Конвенции «О сотрудничестве в сфере противодействия информационной преступности» предусматривает создание круглосуточного контактного центра (24/7), который предназначен для оказания экстренной помощи в целях расследования преступлений и сбора доказательств, что важно, поскольку в силу специфики цифровых данных они могут быть уничтожены в довольно короткие сроки. Однако судьба данного проекта, к сожалению, остается неизвестной, как и ранее предложенного

в 2011 г. Российской Федерацией проекта Конвенции «Об обеспечении международной информационной безопасности» [9, с. 83].

Насущная необходимость принятия универсальной Конвенции о сотрудничестве в сфере противодействия информационной преступности не вызывает сомнений, т. к. её отсутствие в ряде случаев приводит к невозможности сбора цифровых данных, интересующих правоохранительные органы государств, и выступает для них непреодолимым барьером в расследовании преступлений. Более того, процесс реализации новой Конвенции после её принятия, очевидно, будет требовать достаточно большого количества времени, т. к. Конвенция может быть воплощена в жизнь странами-участницами только при условии, если нормы национального законодательства государств не будут препятствовать реализации Конвенции о сотрудничестве в сфере противодействия информационной преступности.

Таким образом, отсутствие международно-правовых норм в сфере противодействия киберпреступности зачастую затрудняет собирание цифровых доказательств из социальных сетей и мессенджеров, принадлежащих иностранным юридическим лицам, а в некоторых случаях делает вообще невозможным для правоохранительных органов Российской Федерации собирание цифровых доказательств, хранящихся на серверах иностранных компаний. Вместе с тем, если у органов дознания или следствия возникает необходимость в получении доказательственной информации со страниц пользователей социальных сетей, представителями которых являются юридические лица, зарегистрированные в Российской Федерации («ВКонтакте», «Одноклассники»), то, в соответствии с п. 1 под. 4, 10 ст. 13 ФЗ «О полиции» и п. 2 ст. 6 ФЗ «Об оперативно-розыскной деятельности», в целях предупреждения, выявления и раскрытия преступлений может быть направлен запрос с просьбой предоставить сведения о конкретном пользователе, который интересует следствие.

При этом представители юридического лица — социальной сети имеют право предоставить только те сведения, которые не затрагивают конституционные права человека и гражданина (адрес личной страницы пользователя; дата создания страницы; номер телефона и электронной почты пользователя; ГР-адрес, с которых пользователь осуществлял вход на страницу; история изменений пароля, логина (имени пользователя), номера телефона; историю обращений в службу поддержки; история блокировок страницы пользователя). Однако, если есть соответствующая санкция суда (ч. 2 ст. 23 Конституции РФ), то может быть представлена вся интересующая органы дознания или следствия информация о пользователе (ст. 185 УПК РФ, ст. 186.1 УПК РФ).

Как отмечал Р. С. Белкин, «проблематика фиксации доказательственной информации — неотъемлемая часть комплекса проблем, связанного с изучением и использованием закономерностей собирания доказательств»

[10, с. 217]. В этой связи процедура фиксации и изъятия цифровых данных из социальных сетей и мессенджеров заслуживает отдельного внимания.

В цивилистических процессах имеются теоретические разработки по организационно-правовому обеспечению фиксации цифровой информации, находящейся в сети Интернет [11, 12]. Вместе с тем недостаточно определен статус скриншотов в арбитражном процессе, о чем свидетельствуют требования к их фиксации, отраженные в судебной практике. Анализ судебной практики показывает, что устоявшимся механизмом обеспечения представляемых доказательств, полученных из сети Интернет, является обращение одной из участвующих в деле сторон к нотариусу с целью проведения осмотра сайта в соответствии со ст.ст. 102—103 Основ законодательства о нотариате, и последующей фиксации цифровых данных, находящихся в сети Интернет.

Рядом авторов предпринимались попытки разрешения проблем, связанных с обеспечением достоверности зафиксированных на материальных носителях информации речевых продуктов, находящихся в цифровой среде, [7; 13, 14]. Однако важен единый унифицированный подход к фиксации и изъятию таких доказательств в уголовном процессе. В этой связи представляется целесообразным рассмотреть особенности фиксации и изъятия цифровых данных из страниц пользователей социальных сетей и мессенджеров в целях обеспечения их достоверности и возможности приобщения к вещественным доказательствам.

Как отмечает А. И. Семикаленова, цифровые следы несут в себе значимую для следствия информацию, которую можно разделить на основную, выражающуюся в виде звука, изображения, текста, рисунка и дополнительную — позволяющую судить о способе и времени создания, распространения и редактирования основной информации [15, с. 117]. Исходя из этого, остановимся подробно на каждой из особенностей процедуры фиксации и изъятия цифровых данных, содержащихся на страницах пользователей в социальных сетях и мессенджерах.

При работе с цифровыми данными весьма важна оперативность действий по выявлению и фиксации криминалистически значимой информации, поскольку любой контент сайта (страница пользователя социальной сети) поддерживается при помощи электронно-вычислительных мощностей. Риск утраты криминалистически значимой информации, содержащейся на определенном контенте, заключается в том, что, во-первых, сервер, при помощи которого поддерживается контент-сайт, может быть уничтожен злоумышленниками или подвержен полному (частичному) удалению с него криминалистически значимой информации. Во-вторых, информация, содержащаяся на контенте сайта, может быть частично или полностью изменена, например, лицом, имеющим доступ к контенту на правах администратора. Таким образом, если не осуществить оперативно фиксацию и изъятие интересующих

следствия данных с удалённых серверов, то к моменту изъятия цифровых данных они могут уже быть подвергнуты удалению (изменению) и, как следствие, не содержать криминалистически значимой информации, представляющей интерес для правоохранительных органов. Иными словами, от того, насколько оперативно правоприменителем будут предприняты действия по фиксации и изъятию криминалистически значимой информации с контента сайта в сети Интернет, напрямую зависит сохранность цифровых данных и дальнейшая возможность их приобщения к материалам дела в качестве вещественных доказательств.

В равной степени это относится к фиксации и изъятию цифровых данных, находящихся на электронных устройствах (мобильных телефонах, электронных планшетах и др.), где также велик риск утраты криминалистически значимой информации. На электронных носителях информации зачастую содержится информация, имеющая значение для раскрытия и расследования, размещенная и опубликованная в закрытых группах в социальных сетях, бло-гах, пабликах, мессенджерах и т. д., причем к данной информации имеет доступ ограниченный круг лиц. Заметим, что для получения доступа к криминалистически значимой информации, которая, например, опубликована в закрытой группе в социальной сети, необходимо подписаться на эту группу в сети, получить одобрение администратора группы («ВКонтакте», «Одноклассники», Facebook). Аналогичный порядок действий необходимо произвести и для получения доступа к информации в закрытых чатах мессенджеров (WhatsApp, Viber, Telegram).

Однако, как и в социальных сетях, так и в мессенджерах далеко не во всех случаях это возможно. Сложности возникают во многом из-за того, что, например, преступные экстремистские (террористические) группировки, представляют собой закрытую субкультуру, внедрение в которую зачастую оказывается крайне сложным для сотрудников правоохранительных органов. Поэтому может возникнуть необходимость в фиксации и изъятии цифровых данных, содержащихся на электронном носителе информации (мобильном телефоне, электронном планшете и др.), хотя это не всегда удается, поскольку цифровые следы могут содержаться только в «облачном» хранилище. Это означает, что криминалистически значимая информация не имеет резервной копии на самом электронном устройстве, следовательно, её получение возможно посредством авторизации через аккаунт пользователя электронного устройства (подозреваемого или обвиняемого).

Если цифровая информация выражена в виде письменных продуктов речевой деятельности, то по аналогии с утвердившейся практикой фиксации цифровых доказательств в цивилистических процессах целесообразно осуществлять снятие скриншотов образов экрана электронного устройства (мобильного телефона, ноутбука, электронного планшета и т. д) [7, с. 101 — 103] либо фотофиксацию. Но необходимо учитывать, что скриншоты образов

экрана более качественно отражают информацию, содержащуюся на контенте сайта, чем фотоснимки экрана электронного устройства. Для фотоснимков неизбежен «муаровый узор» и блики, которые могут привести к частичной утрате, фиксируемой с контент-сайта криминалистически значимой информации.

Если осуществляется фиксация и изъятие аудио-, видеофайлов с контент-сайтов (страниц пользователей социальных сетей), то целесообразно проводить трассировку, т. к. в результате таких действий представляется возможным отследить путь доступа от сервера, при помощи которого осуществлялся вход в информационно-коммуникационную сеть следователем, до сервера, на котором расположен осматриваемый информационный ресурс (контент сайта). Результаты трассировки, приобщаемые к протоколу осмотра, позволяют верифицировать факт соединения сервера, используемого в ходе следственного осмотра, с контентом конкретного осматриваемого сайта, а также подтвердить отсутствие постороннего информационного влияния при осуществлении фиксации и изъятия текстовых, аудио-, видофайлов, находящихся на странице пользователя, в частности, если подлежащие изъятию файлы расположены в облачном хранилище, интересующего следствие ID. Данная процедура позволит также удостоверить факт, что в браузере были отображены страницы подлинного сайта, с которого была скопирована информация.

Относительно недавно для пользователей большинства социальных сетей и мессенджеров появилась функция, позволяющая проводить операцию по удалению письменного, аудио-, видеосообщения у другого(-их) пользователей. При этом одни устанавливают временные ограничения для выполнения данной операции («ВКонтакте», WhatsApp, Viber), другие, напротив, не предусматривают таких ограничений (Telegram). В результате проведения соответствующих операций исходные текстовые или аудио-, видеосообщения, в которых, например, содержалась криминалистически значимая информация, не подлежат восстановлению, поэтому следует незамедлительно осуществлять фиксацию и изъятие цифровых данных. Следует также учитывать, что, если у посторонних лиц имеются данные о реквизитах пользователя (логин и пароль) подозреваемого (обвиняемого) в социальной сети (Вкон-такте, Facebook, Одноклассники), то возможно подключение этих лиц к соответствующему профилю и действия по удалению криминалистически значимой информации, находящейся в облачном хранилище.

Еще одной не менее важной проблемой при получении информации с электронных устройств является возможность удаленного подключения к электронному устройству (смартфону, планшету) посторонних лиц. Как справедливо отмечают исследователи, «при изъятии автономных устройств (ноутбуков, смартфонов), экран которых заблокирован, но сами они находятся во включённом состоянии. При наличии доступа к сети Интернет, напри-

мер, по стандартам передачи данных в сотовых сетях, возможно удаленное подключение к ним посторонних лиц и внесение изменений в хранящуюся на них компьютерную информацию» [16, с. 195].

Таким образом, оперативность в действиях дознавателя или следователя с момента обнаружения цифровых данных до момента их фиксации напрямую предопределяет сохранность криминалистически значимой информации, содержащейся на контенте сайта или на электронном устройстве подозреваемого (обвиняемого), потерпевшего.

Общие криминалистические рекомендации по изъятию и фиксации доказательств содержат требования фиксировать в протоколе индивидуальные признаки, изъятых устройств и электронных носителей информации (размер, форму, номер и т. д.), позволяющие идентифицировать их и хранящуюся на них информацию; предъявляют требования к обеспечению их сохранности, механической целостности. Однако, как справедливо отмечают И. Г. Че-кунов и др., «такие общие требования по отношению к компьютерной информации нельзя признать достаточными для обеспечения её сохранности и дальнейшей идентификации» [16, с. 195].

Несмотря на то, что с процессуальной точки зрения доказательством будет протокол следственного действия и электронный носитель информации, на который копируется криминалистически значимая информация, содержащаяся на оригинале (контент сайта, мобильного телефона, электронного планшета), наряду с этим необходимо верифицировать, зафиксированную на электронном носителе (CD-диске, USB-накопителе) информацию. Верифицировать цифровые данные, полученные из социальных сетей или мессен-джеров, вне зависимости от типа файла (текстовый, графический, аудио-, видео) и их расширений (txt, docx, pdf, jpg, png, mp3, mp4, mkv, avi) возможно с помощью вычисления контрольной суммы файла (хеш-суммы) по определенному алгоритму (MD5, SHA-1, SHA-2 ). Именно с помощью хеш-суммы на любом из этапов расследования преступления становится возможным подтвердить идентичность изъятой и зафиксированной на электронном носителе информации. При этом сведения о хеш-сумме изъятого файла должны быть занесены в протокол следственного действия. Необходимость в производстве расчета контрольной суммы файла при фиксации и изъятии цифровых следов обусловливается тем, что:

— во-первых, исключается возможность внесения изменений в первоначальное содержание файла (скриншотов образов экрана, аудио-, видеофайлов); так, в случае, если, например, файл смонтирован при помощи современных программ обработки изображений (Adobe Photoshop, GIMP, PhotoEditor), то хеш-сумма файла будет отличной от той, которая зафиксирована в протоколе следственного действия, что будет свидетельствовать о внесении каких-то изменений в файл, содержащийся на электронном носителе информации;

— во-вторых, в случае, если электронный носитель, на котором содержится изъятая информация, будет поврежден, это не повлечет её утраты, если информация скопирована на другие электронные носители. Достоверность и идентичность содержащейся информации можно будет подтвердить при помощи расчета хеш-суммы файла, содержащегося на другом электронном носителе информации, посредством соотношения контрольных сумм файлов, указанных в протоколе следственного действия и полученных с электронного носителя информации.

Специфика цифровых данных, содержащихся в сети Интернет или на электронном носителе информации, обусловливает и наличие специфических знаний у субъекта, осуществляющего её фиксацию и изъятие. По этому поводу Е. И. Галяшина справедливо отмечает: «если лицу необходимо получить доступ к оригинальному цифровому доказательству, лицо должно иметь соответствующую подготовку; вся деятельность по изъятию, доступу, хранению или передаче цифровых доказательств полностью задокументирована, защищена и доступна для анализа» [17, с. 338]. Несоблюдение определенных этапов при работе с цифровыми доказательствами может привести впоследствии к признанию представленных доказательств недопустимыми.

Основываясь на вышеприведенных особенностях фиксации и изъятия цифровых следов, находящихся на страницах социальных сетей пользователей или мессенджеров, предлагаем сформулировать следующие рекомендации для дознавателей и следователей при работе с такими доказательствами для признания их надлежащими:

1. Оперативность фиксации и изъятия цифровых данных при их обнаружении.

2. Привлечение специалиста в области IT-технологий или информационно-компьютерной безопасности (ст. 168 УПК РФ) для оказания помощи в обнаружении, фиксации и изъятии цифровых данных, размещенных в сети Интернет, при производстве такого следственного действия, как осмотр предметов (документов) в соответствии со ст. 177 УПК РФ.

3. Верификация соответствия символьного адреса сайта и настоящего IP-адреса посредством осуществления трассировки сайта, что должно подтверждаться записью в протоколе,

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. Проведение расчета контрольной суммы файла(-ов) (хеш-суммы), зафиксированного на электронном носителе информации.

5. Копирование информации с оригинала (контента сайта, мобильного телефона) как минимум на два электронных носителя информации (CD-диск, USB-накопитель), в целях обеспечения сохранности криминалистически значимой информации.

6. Протокол следственного действия, приложением к которому является файл(-ы) (цифровые данные), содержащийся на электронном носителе информации (pdf, docx, mp4, mkv, avi и др.) должен обязательно включать:

— дату и время фиксации;

— данные о лице, которое производило фиксацию, его подпись;

— данные о специалисте, который был привлечен для участия в следственном действии;

— данные о соответствии символьного адреса сайта его настоящему IP-адресу, что должно подтверждаться соответствующей записью в протоколе;

— данные о хеш-сумме файла, зафиксированного на электронном носителе информации;

— данные об используемых технических средствах (программном обеспечении, компьютерной технике) [7, с. 101—103].

Таким образом, процедура фиксации и изъятия цифровых следов из социальных сетей и мессенджеров требует определенного порядка, связанного со спецификой данных объектов, несоблюдение правил работы с такими доказательствами может привести к признанию полученных цифровых данных из сети Интернет или электронных носителей информации недостоверными и, как следствие, недопустимыми доказательствами по делу.

Подводя итог вышеизложенному, можно заключить, что проблемы собирания цифровых доказательств из социальных сетей и мессенджеров, с одной стороны, связаны с отсутствием норм международного права, регулирующих вопросы взаимодействия между государствами в сфере противодействия информационной преступности, что на практике зачастую приводит органы следствия к невозможности сбора цифровых доказательств из социальных сетей и мессенджеров, представителями которых являются юридические лица, зарегистрированные в иностранных государствах (Facebook, Twitter, WhatsApp и др.). С другой стороны, частная теория информационно-компьютерного обеспечения криминалистической деятельности находится в стадии разработки [18], в связи с чем криминалистические технологии собирания (обнаружения, фиксации, изъятия) цифровых доказательств не получили должного теоретического обобщения и систематизации, что, как следствие, приводит на практике к отсутствию единого научно-методического подхода к собиранию цифровых доказательств из социальных сетей и мессенджеров.

БИБЛИОГРАФИЧЕСКИЕ ССЫЛКИ

1. Российская Е. Р. Проблемы использования специальных знаний в судебном исследовании компьютерных преступлений в условиях цифровизации / Е. Р. Российская // Вестник Университета имени О.Е. Кутафина. — 2019. — № 5 (57). — С. 33— 44.

2. Российская Е. Р. Криминалистика. Учебник для вузов / Е. Р. Российская. — М.: Норма-ИНФРА-М, 2016. — 464 с.

3. Гужаева В. А., Прокофьева Е. В., Прокофьева О. Ю. Преступность в сети Интернет: криминологические характеристики / В. А. Гужаева, Е. В. Прокофьева, О. Ю. Прокофьева // Вестник экономической безопасности. — 2019. — № 4. — С. 111—114.

4. Семикаленова А. И., Рядовский И. А. Использование специальных знаний при обнаружении и фиксации цифровых следов: анализ современной практики / А. И. Семикале-нова, И. А. Рядовский // Актуальные проблемы российского права. — 2019. — № 6 (103). — С. 178—185.

5. Российский С. Б. Следственные действия: моногр. / С. Б. Россинский. — М.: Норма, 2018. — 240 с.

6. Сааков Т. А. Особенности изъятия речевых произведений, находящихся в цифровой среде // Современные проблемы цифровизации криминалистической и судебно-экспертной деятельности: мат-лы науч.-практ. конф. / Т. А. Сааков. — М., 2019. — С. 191—194.

7. Сааков Т. А. Судебная автороведческая экспертиза объектов из цифровой среды при установлении демографических характеристик автора / Т. А. Сааков // Законы России: опыт, анализ, практика. — 2020. — № 4. — С. 96—104.

8. Колычева А. Н., Васюков В. Ф. Расследование преступлений с использованием компьютерной информации из сети Интернет: учеб. пособ. / под ред. А. Г. Волеводза. — М.: Проспект, 2020. — 200 с.

9. Ватрушкин А. А. Правовые основы обеспечения кибербезопасности критической инфраструктуры Российской Федерации / А. А. Ватрушкин // Евразийская адвокатура. — 2017. — № 6 (31). — С. 78—84.

10. Белкин Р. С. Криминалистика: проблемы, тенденции, перспективы. Общая и частные теории. — М.: Юрид. лит., 1987. — 272 с.

11. Танимов О. В., Кудашкин Я. В. О правовой природе и возможности правового регулирования отношений в сети Интернет / О. В. Танимов, Я. В. Кудашкин // Информационное право. — 2012. — № 2. — С. 17—21.

12. Бабкин С. А. Право, применимое к отношениям, возникающим при использовании сети Интернет: основные проблемы / С. А. Бабкин. — М.: Центр ЮрИнфоР, 2003. — 68 с.

13. Никишин В. Д. Особенности назначения судебной экспертизы материалов религиозного характера экстремистско-террористической направленности и оценки её результатов / В. Д. Никишин // Законы России: опыт, анализ, практика. — 2019. — № 4. — С. 95—101.

14. Никишин В. Д. Цифровые и речевые следы в аспекте обеспечения информационной (мировоззренческой) безопасности в интернет-среде / В. Д. Никишин // Судебная экспертиза. — 2020. — № 1 (61). — С. 131—139.

15. Семикаленова А. И. Цифровые следы: назначение и производство экспертиз / А. И. Семикаленова // Вестник Университета имени О. Е. Кутафина. — 2019. — № 5. — С. 115—120.

16. Чекуно И. Г., Рядовский И. А., Пузарин А. В., Русскевич Е. А. Методические рекомендации по расследованию преступлений в сфере компьютерной информации: учеб. пособ. / И. Г. Чекуно, И. А. Рядовский, А. В. Пузарин, Е. А. Русскевич. — 2-е изд. — М.: Московский университет МВД России имени В. Я. Кикотя, 2019. — 226 с.

17. Галяшина Е. И. Проблемы криминалистической диагностики фальсификации фонограмм, получаемых при проведении оперативно-розыскных мероприятий / Е. И. Га-ляшина. — Научная школа уголовного процесса и криминалистики Санкт-Петербургского государственного университета и современная юридическая наука. — СПб.: Изд. дом СПбГУ, 2016. — С. 334—357.

18. Россинская Е. Р. Теория информационно-компьютерного обеспечения криминалистической деятельности: концепция, система, основные закономерности / Е. Р. Рос-синская // Вестник Восточно-Сибирского института МВД России. — 2019. — № 2 (99). — С. 193—202.

i Надоели баннеры? Вы всегда можете отключить рекламу.