УДК 343.1 © А. Л. Осипенко, 2009
Проблемы вовлечения электронно-цифровых следов в уголовный процесс
А.Л. Осипенко *
В используемых преступниками компьютерных системах все чаще содержатся сведения, на основе которых возможно обнаружение обстоятельств, имеющих значение для уголовного дела. Однако анализ судебной практики указывает на блок проблем, связанных с недостаточной готовностью следственных органов к использованию подобных сведений. Вовлечение электронно-цифровых следов в уголовный процесс сдерживается нерешенностью ряда проблем, анализу которых посвящена данная статья.
Ключевые слова: расследование преступлений, электронно-цифровые следы, компьютерные данные,
доказательства, доказывание.
В последние годы свидетельства преступной деятельности, представляющие интерес для следствия, все чаще обнаруживаются в компьютерных системах, где они содержатся в различных информационных объектах (электронные документы, сообщения электронной почты, вредоносные программы и т . п . ) . Изучение показывает, что существенная специфика пространственно-временной локализации подобных объектов неизбежно сказывается на изменении содержания, методов и форм их вовлечения в уголовный процесс . Между тем анализ судебной практики привлекает внимание к блоку проблем, которые связаны с недостаточной готовностью следственных органов к использованию данных, хранящихся в компьютерных системах . Даже для сетевых компьютерных преступлений в качестве доказательств в подавляющем большинстве случаев используются «традиционные» объекты, в то время как процессуальное значение «электронных документов», как правило, становится ничтожным в результате неумелых действий по их использованию
Напомним, что ст . 74 УПК РФ определяет, что доказательствами по уголовному делу являются любые сведения, на основе которых суд, прокурор, следователь, дознаватель устанавливают наличие или отсутствие обстоятельств, подлежащих доказыванию при производстве по уголовному делу, а также иных обстоятельств, имеющих значение для уголовного дела . Очевидно, что при расследовании преступлений, совершенных с использованием компьютерных систем, основная часть подлежащих доказыванию обстоятельств в той или иной степени получает отражение в данных, сохраненных в электрон-
* В нашем журнале публикуется впервые .
ном виде, а потому последние должны подвергаться исследованиям и оценке с тем, чтобы стать доказательствами по делу. Однако не все обнаруженные доказательства могут быть вовлечены в уголовный процесс . Допустимые доказательства предполагают известность происхождения сведений и возможность их проверки, а также соблюдение при их получении закрепленной уголовно-процессуальным законом процедуры собирания и фиксации, выполнение правил, регламентирующих соответствующую стадию уголовного процесса . Обеспечение этого требования в отношении данных, обнаруживаемых в компьютерных системах, на практике вызывает заметные трудности В специальных исследованиях отмечается невысокая эффективность традиционных положений частной криминалистической теории о механизмах следообразования в приложении их к специфическим следам, возникающим при совершении преступлений в сфере компьютерной информации 1 .
В основном компьютерная информация, содержащая сведения, которые могут стать доказательствами по уголовным делам, вводится в уголовный процесс через категорию «иные документы» Иными документами в УПК РФ названы документы, которые не признаны вещественными доказательствами и не являются протоколами следственных действий и судебного заседания, но содержат сведения, имеющие существенное значение для выяснения обстоятельств, подлежащих доказыванию . Статья 84 УПК РФ признает, что относимые к доказательствам документы могут содержать сведения, зафиксированные как в письменном, так и в ином виде
К ним могут относиться материалы фото- и киносъемки, аудио- и видеозаписи и другие носители информации . Вполне логично причислить к упомянутым в данной норме «иным носителям» и носители компьютерной информации. Странно, однако, что законодатель не сделал этого явно, поскольку в наши дни по распространенности такая форма хранения документов не уступает (и даже превосходит) названные в статье аудио- и видеозаписи. Заметим, что в США признание компьютерных записей в качестве документов, используемых в доказывании, явно отражено в соответствующих правовых актах 2 .
Необходимость учитывать существенную специфику «электронных доказательств» активно обсуждается исследователями и, в первую очередь, заставляет их уточнять понятийный аппарат криминалистики. Так, В. А . Милашев вводит понятие «бинарные следы», обосновывая его тем, что «следами противоправной деятельности являются результаты логических и математических операций с двоичным кодом» 3 . В . А . Мещеряковым предложено понятие «виртуальные следы» (как промежуточные между материальными и идеальными), определяемые «как любое изменение состояния автоматизированной информационной системы (образованного ею „кибернетического пространства“), связанное с событием преступления и зафиксированное в виде компьютерной информации (т е информации в виде, пригодном для машинной обработки) на материальном носителе, в том числе и на электромагнитном поле» 4 Отметим, что данное понятие вызвало среди криминалистов активную полемику. Рядом авторов оно было поддержано и конкретизировано 5 . Однако тезис о якобы нематериальной природе виртуальных следов справедливо оспаривается другими специалистами 6 . Присоединяясь к последним, В . Б . Вехов вводит понятие «электронно-цифровой след», которым обозначает «любую криминалистически значимую компьютерную информацию, т е сведения (сообщения, данные), находящиеся в электронноцифровой форме, зафиксированные на материальном носителе с помощью электромагнитных взаимодействий либо передающиеся по каналам связи посредством электромагнитных сигналов» 7 При этом он особо подчеркивает материальную природу таких следов (что, на наш взгляд, очень важно) и выделяет основные следообразующие и следовоспринимающие объекты (электромагнитный сигнал, файл, компьютерная программа, база данных, электронное сообщение, электронный документ, электронная страница в сети ЭВМ, сайт в сети ЭВМ и др.) . Хотя указанное определение также нельзя признать полностью безупречным, оно представляется нам обоснованным и вполне приемлемым для практического использования
Не вызывает сомнений, что электронно-цифровые следы, как и любые иные доказательства, при вовлечении в уголовный процесс подлежат обязательной проверке с точки зрения относимости, допустимости и достоверности При этом оценка достоверности криминалистически значимой компьютерной информации (соответствия содержания доказательства действительности) представляет достаточно сложную проблему
Подобно записям, выполненным на бумаге, компьютерные записи неоднородны и их доказательственная ценность определяется целым рядом обстоятельств . Для пояснения этого компьютерные файлы, содержащие текст, предлагаем разделить на несколько типов в зависимости от того, каким образом формируются записи:
1. Файлы, созданные человеком и сохраненные на компьютерном носителе Это аналоги обычных документов, только содержащих записи в электронной форме (например, почтовые сообщения, служебные записи и т п )
2. Файлы, созданные компьютером в автоматическом режиме без участия человека (например, записи в журнале системных событий, служебные сообщения о доставке электронной почты и т д )
3. Файлы, в которых записи могут быть сгенерированы компьютером с учетом управляющих последовательностей, задаваемых человеком (например, файл, созданный программой финансового учета на основе исходных данных, введенных бухгалтером)
Очевидно, что достоверность информации, содержащейся в файлах каждого из указанных типов, должна оцениваться по-разному Так, записи, создаваемые компьютером в автоматическом режиме, содержат текст, сгенерированный компьютерными программами Как правило, в них вносятся сведения о наступлении определенных условий, заранее заданных составителем программы Для файла, сгенерированного компьютерной программой с учетом введенных оператором данных, должна определяться как достоверность исходных данных, так и допустимость применяемых алгоритмов обработки .
С учетом этого сомнения в достоверности информации могут возникать по различным основаниям Подлинность как создаваемых компьютером, так и сохраненных в электронном виде записей может быть утрачена в результате повреждения или внесения изменений после того, как эти записи были созданы . Искажение данных может произойти в результате ошибок оператора, сбоев оборудования, целенаправленных действий заинтересованных лиц (например, хакеров) Стоит учитывать, что преступник, получивший неправомерный доступ к сетевой компьютерной системе, способен не только удалить из нее улики, но и сознательно сформировать фальши-
вые записи, способные направить следствие по ложному пути
Генерируемые компьютером записи могут быть недостоверными при неправильном функционировании порождающей их компьютерной программы Ненадежность программ может объясняться ошибками программирования (например, неправильно выбранным алгоритмом), несанкционированным внесением изменений в программу, неправильной настройкой конфигурационных параметров и иными факторами Кроме того, программа может использоваться в режимах, на которые она не рассчитана . Естественно, в подобных случаях нельзя абсолютно доверять данным, которые формируются такой программой
Серьезным сомнениям могут подвергаться и выводы относительно авторства сохраненных в компьютерной системе записей Последнее обстоятельство связано с тем, что компьютерные файлы состоят из набора обезличенных машинных кодов и, в отличие от рукописных записей, не несут признаков, позволяющих с определенной степенью уверенности установить, кем они были выполнены (исключения возникают лишь при использовании «электронной подписи»)
Особые проблемы возникают при получении электронно-цифровых следов преступной деятельности в глобальных компьютерных сетях, предоставляющих пользователям высокую степень анонимности участия в сетевых процессах Применяемые преступниками технические способы дополнительно усложняют доказывание принадлежности обнаруженных записей конкретному лицу Даже установление конкретного 1Р-адреса, с которого производились противоправные действия, не может гарантировать, что эти сведения не являются результатом подмены, осуществленной высококвалифицированным хакером Как показывает практика, для идентификации авторства компьютерной записи большое значение приобретает совокупность всех полученных доказательств В этой связи стоит обратить внимание на то, что достоверность доказательств, сохраненных в электронной форме, может подкрепляться показаниями свидетелей Более того, показания сведущих лиц при расследовании сетевых компьютерных преступлений приобретают в подобных ситуациях особое значение Изложение свидетелями, обладающими специальными знаниями, не только сведений о фактах, но и основанных на этих знаниях мнений способно оказать существенную помощь расследованию и судебному разбирательству И в этом отношении следует учитывать, что п . 3. 1 ч. 2 ст. 74 УПК РФ допускает использовать в качестве доказательств не только заключение и показания эксперта, но и заключение и показания специалиста Напомним, что,
в соответствии с ч. 4 ст. 80 УПК РФ, показаниями специалиста считаются сведения, сообщенные им на допросе об обстоятельствах, требующих специальных познаний, а также разъяснения своего мнения в соответствии с требованиями ст. ст. 53, 168 и 271 УПК РФ Добавим, что на практике при вовлечении электронно-цифровых следов в уголовный процесс данная возможность учитывается крайне редко
Что касается допустимости компьютерных доказательств, то и здесь можно указать на проблемные вопросы Так, с учетом характера источника доказательства делятся на первоначальные и производные К первоначальным доказательствам относят сведения, непосредственно воспринятые свидетелем, либо данные, закрепленные в подлинном документе, вещественные доказательства, изъятые на месте происшествия, и т д Производными доказательствами считают сведения, полученные свидетелем от других лиц, копии документов или описание следов Они позволяют обнаружить первоначальные доказательства, дополнить или в определенных ситуациях даже заменить их Существует принцип, по которому предпочтение отдается первоначальным доказательствам, при их наличии производные доказательства не могут считаться самостоятельными
В этой связи возникает вопрос: «Допустимо ли, например, считать распечатку сохраненного компьютерного файла первоначальным доказательством?» Казалось бы, ответ на него должен быть отрицательным, поскольку при наличии оригинального файла распечатка является лишь его копией, образом, одной из форм представления содержащихся в нем данных В то же время следует учитывать, что восприятие таких данных человеком непосредственно из файла невозможно Полагаем, что с процессуальной точки зрения для компьютерных данных допустимыми следует признавать любые формы их вывода (включая распечатку), предназначенные для того, чтобы точно и достоверно отразить данные, находящиеся в электронно-цифровой форме В этом случае нужно опираться на аналогию с применением в качестве вещественного доказательства выполненных при соблюдении требований УПК РФ следовых копий при невозможности их изъятия
Отметим также, что с учетом сложности изучения электронно-цифровых следов без специальных познаний в области информационных технологий практически в каждом случае расследования сетевых преступлений приходится обращаться к компьютерно-технической экспертизе полученной компьютерной информации и средств ее обработки Исследование таких специфических объектов является относительно новым направлением экспертнокриминалистической деятельности, подходы к которому продолжают формироваться . И в этой сфере, не-
смотря на наработанный практический опыт 8, остаются проблемные моменты, требующие отдельного рассмотрения Среди них можно выделить особые требования к подбору эксперта, оценке его профессиональной подготовленности, высокую сложность и трудоемкость компьютерно-технических экспертиз, связанную с усложнением применяемого программного обеспечения, его существенным разнообразием, постоянным нарастанием объемов обрабатываемых данных Стоит упомянуть и целесообразность разработки стандартизированного и сертифицированного программного обеспечения сбора «компьютерных доказательств» Высока потребность в надежных методиках, гарантирующих достоверность результатов анализа при проведении экспертизы данных на электронных носителях, причем такие стандарты и методики по понятным причинам должны быть достаточно гибкими и постоянно обновляемыми
В завершение отметим, что в настоящей публикации нам, безусловно, удалось рассмотреть лишь часть проблем, сдерживающих использование в качестве доказательств сведений, обнаруживаемых в компьютерных системах. В современных условиях электронно-цифровые следы способны существенно расширить доказательственную базу по многим уголовным делам, а потому их эффективному вовлечению в уголовный процесс следует уделять особое внимание, и соответствующие исследования, разумеется, должны быть продолжены
1 Вехов В. Б. Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: монография. Волгоград, 2008. С. 83-85; Мещеряков В. А. Основы методики расследования преступлений в сфере компьютерной информации: автореф дис . ... д-ра юрид . наук . Воронеж, 2001. С. 106; Яковлев А. Н. Теоретические и методические основы экспертного исследования документов на машинных носителях информации: дис . ... канд . юрид . наук . Саратов, 2000. С . 79-81.
2 Federal Rules of Evidences, Rule 803.
3 Милашев В. А. Проблемы тактики поиска, фиксации
и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ: автореф. дис_____ канд. юрид.
наук . М . ,2004. С 20 .
4 Мещеряков В. А. Указ . соч. С. 21 .
5 Усов А. И. Концептуальные основы судебной компьютерно-технической экспертизы: автореф дис . д-ра юрид . наук. М ., 2002. С. 44-45; Краснова Л. Б. Компьютерные объекты в уголовном процессе и криминалистике: ав-тореф . дис . ... канд . юрид . наук . Воронеж, 2005. С . 12-17; и др
6 Нехорошев А. Б. Компьютерные преступления: квалификация, расследование, экспертиза / под ред . В . Н . Черкасова. Саратов, 2004. Ч . 2. С. 61-65 .
7 Вехов В. Б. Указ . соч . С . 94 .
8 Нехорошев А. Б., Шухнин М. Н., Юрин И. Ю., Яковлев А. Н. Практические основы компьютерно-технической экспертизы . Саратов, 2007; Усов А. И. Судебно-экспертное исследование компьютерных средств и систем: основы методического обеспечения / под ред . Е . Р. Россинской . М . , 2003; Се-микаленова А. И. Судебная программно-компьютерная экспертиза по уголовным делам: автореф дис . канд юрид наук М , 2005