Соотношение криминалистической техники и тактики расследования преступлений в сфере информационных технологий Текст научной статьи по специальности «Право»

СООТНОШЕНИЕ КРИМИНАЛИСТИЧЕСКОЙ ТЕХНИКИ И ТАКТИКИ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

© К. В. Дмитриева

Дмитриева

Ксения Владимировна

аспирант кафедры уголовного процесса и криминалистики

филиал Самарской гуманитарной академии в. г. Тольятти

Статья посвящена проблемам расслелования преступлений в сфере информационных технологий (компьютерных преступлений). Анализируется криминалистическая тактика, основные необхолимые слел-ственные лействия и специфика их провелений по лелам о компьютерных преступлениях.

Ключевые слова: криминалистика, криминалистическая техника, криминалистическая тактика, расследование преступлений, следственные действия, компьютерные преступления, преступления в сфере информационных технологий.

По мнению специалистов дела о преступлениях в сфере компьютерной информации отличаются наибольшей спецификой. К необходимым следственным действиям, которые проводятся по данным делам, относятся: осмотр места происшествия, осмотр электронно-вычислительной техники, осмотр машинного носителя информации, осмотр документов на машинном носителе, осмотр машинограммы, обыск и выемка, экспертные исследования [1].

При производстве этих следственных действий необходимо тактически правильно производить поиск информации в компьютере (машинном носителе информации), что позволит избежать ее уничтожения или повреждения; найти требуемое; зафиксировать и изъять в соответствии с процессуальными нормами.

Остановимся подробнее на особенностях производства каждого из указанных следствен-

ных действий и применения соответствующих технико-криминалистических средств.

Осмотр места происшествия. В процессе подготовки к совершению этого следственного действия, еще до выезда на место происшествия, (помимо других организационных вопросов) необходимо решить вопрос подготовки соответствующей компьютерной техники и программного обеспечения, которые будут использоваться для считывания и хранения изъятой информации, при обнаружении изменений в компьютерной информации, исследовании полученной информации, обнаружении информационных следов преступления. Это может быть персональный компьютер, исполненный в переносном варианте Notebook. Кроме компьютера, необходим кабель, а также специальное программное обеспечение, позволяющее осуществлять копирование и экспресс-анализ информации на месте [2]. Могут быть использованы иные носители информации, обладающие большей емкостью: лазерные и DVD-диски, ZIP-накопители, флеш-накопители и др. Решающее значение при выборе компьютерной техники здесь имеет именно характер той информации, которая будет объектом поиска, а также тип носителя, на котором эта информация зафиксирована.

Как отмечает А. В. Касаткин, отношение к компьютерной технике среди практических работников неоднозначно, причиной является сопротивление новых пользователей вычислительных систем, а следователь становится пользователем в прямом смысле, собирая в нем информацию о преступлении [3]. Такого рода сопротивление есть результат страха перед новым и неизвестным, а это и является причиной большинства ошибок, имеющих место в практике. Таким образом, для наиболее эффективного и правильного использования указанных технических средств необходимо пригласить специалиста. Как отмечают Е. Р. Россинская и А. И. Усов, при расследовании преступлений, сопряженных с использованием компьютерных средств, участие специалиста необходимо, поскольку даже малейшие неквалифицированные действия с компьютерной системой заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации [4]. По прибытии на место происшествия необходимо зафиксировать обстановку, сложившуюся на момент осмотра, произвести ориентирующую и обзорную видеосъемку.

Местом происшествия преступлений, совершаемых в сфере информационных технологий, обычно являются какие-либо помещения (офисы различных организации, предприятий, компаний и т. д.). В этом случае фотосъемка в помещении существенно осложняется, это связано с получением как общих планов всей обстановки, так и ее отдельных узлов и деталей. Замкнутость фиксируемого пространства практически не позволяет отойти на расстояние, позволяющее охватить большую часть или все пространство, а нередко и отдельный предмет, например, дверь, одним кадром. Это приводит к разрозненности снимков. Поэтому запечат-ление общего вида помещения требует не менее двух точек съемки [5].

Применение видеозаписи позволяет, в частности, с большей полнотой, всесторонностью и объективностью зафиксировать ход и результаты

следственных действий при расследовании преступлений в сфере информационных технологий (применение видеозаписи при расследовании преступлений других категорий не менее актуально). Функцию оператора для производства видеосъемки может выполнять штатный специалист-криминалист дежурной смены ОВД.

Осмотр средства электронно-вычислительной техники. При первоначальном осмотре средств вычислительной техники (СВТ) в качестве дополнительного средства фиксации обнаруженных следов, документов и предметов также желательно использовать цветную фото- или видеосъемку.

Учитывая особенности расследования рассматриваемой группы преступлений, рекомендуется сделать следующие снимки [6] : 1) ориентирующий снимок расположения ЭВМ и ее периферийных устройств относительно окружающей обстановки; 2) узловой снимок ЭВМ с ее периферийным оборудованием [7] и (или) их проводного соединения между собой; 3) детальные снимки: изображения на экране (дисплее) СВТ в момент начала осмотра; документа, распечатываемого на принтере в момент начала осмотра; следов, электронных документов и других вещественных доказательств обнаруженных в ходе следственного действия. Чтобы выявить характерные детали снимаемых предметов и следов применяют дополнительное освещение снимаемых объектов, которое образует так называемый выравнивающий свет. Для этого используют различного рода отражатели, а также экраны, с помощью которых добиваются необходимой освещенности затемненных участков снимаемых объектов [8].

Следует особо отметить, что тактика проведения того или иного следственного действия существенно изменяется в зависимости от того, какие технические средства применяются при проведении этого следственного действия. Например, во избежание уничтожения (повреждения) СВТ и следов преступления при работе специалиста-криминалиста по осмотру СВТ недопустимо использование магнитосодержащих материалов, инструментов, приборов и оборудования, направленных источников магнитного и электромагнитного излучения (магнитного порошка, магнитной кисточки, электромагнита, металлодетектора, мощных ламп освещения, мощных УФ- и ИК-излучателей и т. д.), а также кислотно-щелочных материалов и нагревательных приборов [9]. При осмотре места происшествия и при производстве других следственных действий вышеуказанными материалами можно пользоваться с особой осторожностью на расстоянии более 1 метра от СВТ и их соединяющих проводов.

Как справедливо отмечает Н. Н. Федотов, криминалист вполне может обойтись без специальной криминалистической техники вообще, так как компьютер сам по себе достаточно универсален [10].

На наш взгляд, целесообразнее использовать сам носитель информации (компьютер, КПК, флеш-накопитель и т. д.) как технико-криминалистическое средство при производстве следственных действий. Но как поступить, если информация недоступна из-за наличия специальных систем защиты информации (например, данные защищены паролем)? В этом случае разумнее изъять данный носитель.

Однако специальная техника существенно облегчает работу и карманы. На сегодняшний день на рынке имеются следующие криминалистические инструменты: устройства для клонирования жестких дисков и других носителей; переносные компьютеры с комплексом программных и аппаратных средств, ориентированных на исследование компьютерной информации в полевых условиях; программные средства для исследования локальных сетей и некоторые другие.

Но данная техника может облегчить работу специалисту, т. к. ее использование предполагает наличие специальных знаний в области информационных технологий, а криминалисту она создаст лишь дополнительные неудобства при проведении следственного действия.

Основная сложность выбора применяемых технических средств и методов при производстве следственных действий заключается в том, чтобы при взаимодействии технического средства специалиста с техникой содержащей значимую информацию, информация не должна быть изменена или повреждена.

Не следует также забывать о возможностях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, корпусе ЭВМ, периферийных устройствах (оборудовании), выключателях, рукописных, в том числе шифрованных, записей и прочее. Поиск маловидимых следов осуществляется с помощью любого источника света или криминалистической лупы с подсветкой, что позволяет осматривать объекты при различных лучах освещения. При выявлении следов используются различные порошки, этот метод позволяет выявить видимые и маловидимые следы за счет усиления контраста между следом и фоном [11].

Осмотр машинного носителя информации. Осмотр машинного носителя информации может быть произведен в ходе осмотра места происшествия или как самостоятельное следственное действие. Здесь при выборе технических средств основное внимание необходимо обратить на следующие данные: наличие, количество, размеры, цвет, марка и техническое состояние носителя и разъемов для подключения к соответствующему считывающему устройству; признаки материальной подделки машинного носителя информации, которые определяются с помощью научно-технических и криминалистических средств [12].

Другие данные и характеристики носителя информации также имеют существенное значение, но для их установления не применяются технические средства. Все полученные данные должны быть надлежащим образом зафиксированы в протоколе осмотра.

Осмотр документа на машинном носителе. Документ на машинном носителе — документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации ЭВМ. С криминалистической точки зрения можно выделить два вида таких документов: 1) электронный документ — документ, в котором информация представлена в электронно-цифровой форме (например, электронно-цифровое документальное сообщение, переданное по каналам электросвязи; электронная страница сети Интернет; база данных и др.). Особенность заключается

в том, что данные документы не всегда могут восприниматься человеком непосредственно — глазами, ушами, пальцами. Представим, что на месте происшествия, а именно на диске сервера, в лог-файле обнаружена запись. Органами чувств человека она не воспринимается. Чтобы увидеть эту запись, потребуется посредничество следующих технических средств: механизм жесткого диска; программное обеспечение ВЮБ; операционная система; файловая система (драйвер); драйвер экрана; аппаратные средства ввода и вывода (клавиатура, монитор) со своими собственными микропрограммами и т. д. Таким образом, особенностью наблюдения в отношении компьютерной информации является то, что непосредственно наблюдаемое (изображение на экране монитора) имеет весьма косвенное отношение к объекту наблюдения (компьютерной информации). Но если имеется объективная возможность преобразования документа в человекочитаемую форму для визуального контроля с помощью различных технических средств отображения данных, а именно с использованием принтера получают распечатку компьютерной информации на бумаге (листинг), то этот документ обязательно прикладывают к протоколу [13] ; 2) пластиковая карта [14].

Осмотр машинограммы. В целом методика осмотра машинограммы (кассовый чек, билет для проезда на железнодорожном транспорте, распечатки информации из фискальной памяти кассовой ЭВМ и т.д.) мало чем отличается от осмотра обычного бумажного документа. Но есть и определенные особенности: осмотр осуществляют с помощью специалиста, знающего технологию обработки машинограмм определенного вида, при необходимости используют помощь специалиста-криминалиста, имеющего допуск на производство судебной компьютерно-технической и (или) технико-криминалистической экспертизы документов; обнаруживают и изымают одорологические и дактилоскопические следы; измеряют и описывают подложку документа (цвет и размер листа бумаги); с помощью стандартных криминалистических средств (лупы, ИК- и УФ-ламп) пытаются обнаружить признаки материальной подделки; устанавливаются другие интересующие следствие (дознание) данные; описывают тип печати, цвет использованного красителя и индивидуальные признаки печатающего устройства [15].

Обыск и выемка. Искомые доказательства могут содержаться на компьютерных носителях — и это не только персональный компьютер, коммуникаторы, смартфоны, в обыденном понимании, к компьютерным носителям информации относятся также съемные и несъемные магнитные диски, компакт-диски (СЮ), ЮУЮ-диски, флэш-накопители, оптические диски, магнитные карты, цифровые кассеты, цифровые фотоаппараты, видеокамеры, плееры и некоторые другие [16]. Другие виды техники не содержат доступных пользователю носителей компьютерной информации, поэтому ее изымать или исследовать нецелесообразно. Таковыми являются: сканеры, факс-аппараты, а также клавиатуры, мониторы, мыши, джойстики, звуковые колонки. В ходе обыска всегда следует учитывать возможность возрастания напряжения статического электричества (например, преступники могут использовать специальное оборудование, создающее

сильное магнитное поле, стирающее магнитные записи), которое может повредить данные и магнитные носители. В этом случае желательно использовать устройство для определения и измерения магнитных полей (например, компас).

При производстве этого следственного действия также необходимо использовать такие технические средства, как фото- и видеоаппаратуру, например, при фиксации текущего изображения на мониторе (дисплее).

В случае необходимости изъятия печатающего устройства, например, когда в деле фигурируют поддельные документы (принтера, плоттера и. д.), необходимо помнить, что в настоящее время возможна идентификация печатной продукции, изготовленной лишь на матричном (игольчатом) принтере. Для лазерного (электрографического) и струйного принтеров идентификационный анализ практически невозможен (решаются положительно лишь задачи диагностики). Изымаются только распечатки, обнаруженные на выходном лотке принтера или около него, поскольку такие распечатки содержат компьютерную информацию [17].

Доступ к информации и исследование ее на месте допустимы лишь в тех случаях, когда невозможно изъять носитель и отправить его на экспертизу. Все действия с компьютерной техникой протоколируются таким образом, чтобы независимый исследователь мог бы их повторить и получить такие же результаты.

На наш взгляд, некоторые носители значимой информации достаточно компактны и в отсутствие специалиста целесообразнее их изъятие, с предварительной фото- и видеофиксацией изображения на мониторе (дисплее) и местоположения относительно другой техники и предметов.

Изъятая техника упаковывается сообразно с хрупкостью и чувствительностью к внешним воздействиям (особо чувствительны к вибрации жесткие магнитные диски, их механическое повреждение, например, из-за перевозки в багажнике, приводит к полной недоступности данных) [18].

Назначение экспертиз. Для следователя и оперуполномоченного важно знать, что именно может компьютерно-техническая (КТЭ) экспертиза и чего она не может. Также важно уметь корректно формулировать вопросы для КТЭ.

Какими же средствами и инструментами пользуются в процессе проведения КТЭ? Например, перед экспертом поставлены следующие вопросы: имеется ли в памяти системного блока персонального компьютера, изъятого в НГКИ, файл, содержащий текстовый фрагмент согласно приложению (т. е. некий фрагмент)? Если имеется, то каково его месторасположение в памяти системного блока компьютера? В данном случае было использовано следующее оборудование: персональная ЭВМ на базе процессора АМЮ АШ1оп ХР-М 3000+ производства фирмы «МЕОЮ№> (Германия); лазерный принтер «НР ЪаБег^е! 1200» (США); операционные системы, прикладное программное обеспечение, антивирусное программное обеспечение и т. д. Такое обилие технической терминологии может запутать не только неспециалиста, но и следователя (дознавателя) [19]. Поэтому еще до формулировки вопросов для КТЭ всегда следует привлекать

специалиста (это может быть и неофициальная консультация), в крайнем случае, сам эксперт поможет уточнить существенные вопросы и термины.

В заключение обозначим наиболее важные моменты: во-первых, наряду с необходимостью применения специальных технических средств, при расследовании дел данной категории использование стандартных технико-криминалистических средств обнаружения и фиксации информации (учитывая особенности их применения) во взаимосвязи со специальными криминалистическими средствами существенно облегчает работу следователя (дознавателя); во-вторых, при производстве большинства следственных действий необходимо использовать фото- и видеосъемку. На наш взгляд, вследствие популяризации фото- и видеотехники у практических работников не возникнет трудностей с их правильным использованием; в-третьих, тактика проведения того или иного следственного действия существенно изменяется в зависимости от того, какие технические средства применяются при проведении этого следственного действия.

И особо следует отметить, что существует объективная возможность использования компьютера в качестве самостоятельного технико-криминалистического средства и необходимость использования стандартных и дополнительных криминалистических средств автоматически отпадает.

Еще одним важным аспектом является правильное, а главное своевременное использование специальных познаний и помощи специалистов, так как это способствует полному и всестороннему расследованию преступлений.

ПРИМЕЧАНИЯ

1. См.: Вехов В. Б, Попова В. В., Илюшин Д А. Тактические особенности расследования преступлений в сфере компьютерной информации: науч.-практ. пособие. Изд. 2-е, доп. и испр. М. : ЛексЭст, 2004. С. 50.

2. Преступления в сфере компьютерной информации: квалификация и доказывание : учеб. пособие / под ред. Ю. В. Гаврилина. С. 126.

3. Касаткин А. В. Тактика собирания и использования компьютерной информации при расследовании преступлений : дис. ... канд. юр. наук. М., 1997. 84 с.

4 Российская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. М., 2001. С. 93.

51 Душенин С. В, Егоров А. Г., Зайцев В. В., Хрусталев В. Н. Судебная фотография / под. ред. А. Г. Егорова. СПб. : Питер, 2005. С. 183.

6. Вехов В. Б, Попова В. В., Илюшин Д А. Указ. соч. С. 61.

7. Периферийное устройство — любое техническое устройство, обеспечивающее передачу данных и команд между памятью ЭВМ и пользователем относительно определенного центрального процессора; комплекс внешних устройств ЭВМ, не находящихся под непосредственным управлением центрального процессора.

8. Душенин С. В, Егоров А. Г, Зайцев В. В, Хрусталев В. Н. Указ. соч. С. 183.

9. Вехов В. Б, Попова В. В, Илюшин Д А. Указ. соч. С. 61.

10. Федотов Н. Н. Форензика — компьютерная криминалистика. М. : Юридический мир, 2007. С. 28.

11. Криминалистика : учебник / под. ред. А. Г. Филиппова. М. : Высшее образование, 2007. С. 73.

12. Вехов В. Б, Попова В. В., Илюшин Д. А. Указ. соч. С. 64.

13. Федотов Н. Н. Указ. соч. С. 17.

14. Пластиковая карта — обобщающее понятие документа, выполненного на основе металла, бумаги или полимерного (синтетического) материала — пластика, стандартной прямоугольной формы, хотя бы один из реквизитов которого находится в форме, доступной восприятию средствами электронно-вычислительной техники и электросвязи; имеет стандартные размеры 86х54х0,76мм.

15. Вехов В. Б, Попова В. В, Илюшин Д А. Указ. соч. С. 73.

16. Федотов Н. Н. Указ. соч. С. 212.

17. Вехов В. Б, Попова В. В, Илюшин Д А. Указ. соч. С. 83.

18. Аверьянова Т. В, Белкин Р. С, Корухов Ю. Г, Российская Е. Р. Криминалистика : учебник для вузов / под ред. Р. С. Белкина. М. : Норма, 2001. С. 959.

19. Федотов Н. Н. Указ. соч. С. 312.