CC BY
163
8.2. СРЕДСТВА ПРОВЕРКИ НАДЕЖНОСТИ «ЭЛЕКТРОННЫХ» ДОКАЗАТЕЛЬСТВ В ХОДЕ ПРОИЗВОДСТВА ПО УГОЛОВНОМУ ДЕЛУ
Пастухов Павел Сысоевич, канд.юрид.наук, доцент. Должность: доцент. Место работы: Пермский государственный национальный исследовательский университет. Подразделение: кафедра уголовного процесса и криминалистики. E-mail: pps64@mail.ru
Аннотация: В статье обосновывается необходимость использования при проверке надежности «электронных» доказательств в ходе производства по уголовному делу единых правил установления их достоверности, сформулированных Международной организацией по цифровым доказательствам (IOCE). Особое внимание уделено специальному средству проверки «электронных» доказательств, которым является компьютерно-техническая экспертиза. Приведен конкретный пример из следственной практики, когда главное обвинительное доказательство было признано недопустимым, а вместе с тем привело к прекращению уголовного дела.
Ключевые слова: электронные доказательства, уголовный процесс, состязательность.
MEANS OF VERIFICATION RELIABILITY «ELECTRONIC» EVIDENCE IN CRIMINAL PROCEEDINGS
Pastukhov Pavel Sisoevich, PhD at law, associate professor. Position: associate professor. Place of employment: Perm State National Research University. Department: criminal process and forensics chair. E-mail: pps64@mail.ru
Annotation: The necessity of using in the course of checking the reliability of «electronic» evidence in the course of criminal proceedings to establish common rules for their reliability, formulated by the International Organization for digital evidence (IOCE). Particular attention is paid to special means test «electronic» evidence, which is a computer-technical expertise. The concrete example of investigative practice, when the main incriminating evidence was considered unacceptable and at the same time led to the termination of the criminal case. Keywords: electronic evidence, criminal procedure, competitiveness.
Среди практиков и ученых распространено мнение о том, что в ходе производства по уголовному делу установить аутентичность цифровых фонограмм достаточно сложно, так как существуют широкие возможности внесения в цифровые фонограммы скрытых изменений, которые нельзя выявить. В частности, Е.И. Галяшина утверждает, что сложность в процессуальной проверке и оценке достоверности цифровых фонограмм, даже подтвержденных с помощью технологии цифровой подписи, заключается в принципиальной возможности их мистификации без оставления каких-либо следов проведенных манипуляций, в отсутствии в настоящий момент криминалистических методик и эффективных экспертных рекомендаций установления аутентичности цифровых фонодокументов, что затрудняет их допустимость в качестве основы формирования доказательств в уголовном судопроизводстве1.
1 См.: Галяшина Е.И. Теоретические и прикладные основы судебной фоноскопической экспертизы //Автореф. дис. ... д-ра
По этому поводу следует прислушаться к мнению о том, что при проверке компьютерной информации должны использоваться единые правила установления ее достоверности. Этими правилами являются принципы, сформулированные Международной организацией по цифровым доказательствам (IOCE):
в ходе работы с цифровым доказательством должны быть соблюдены все общие судебно-экспертные и процессуальные положения;
при изъятии цифровых доказательств производимые действия не должны изменять цифровое доказательство;
если лицу необходимо получить доступ к оригинальному цифровому доказательству, лицо должно иметь соответствующую подготовку;
вся деятельность по изъятию, доступу, хранению или передаче цифровых доказательств должна быть полностью задокументирована, защищена и доступна для анализа);
лицо несет ответственность за то, что будет бережно производить все действия с цифровым доказательством, пока цифровое доказательство находится в его распоряжении;
любая организация, которая отвечает за изъятие, доступ, хранение или передачу цифровых доказательств отвечает за соответствие данным принципам.
Н.А. Зигура предлагает данные принципы расширить, а именно: по отношению к компьютерной информации на этапе проверки должны соблюдаться следующие правила: по возможности установление технического средства, с какого была получена или скопирована данная информация; проверка соответствия типа, модели, фирмы изготовителя материального носителя компьютерной информации с параметрами, указанными в протоколе следственного действия, в заключении специалиста; установление программного средства, с помощью которого была получена данная информация.
Здесь необходимо выделить несколько аспектов: во-первых, какое программное средство использовалось для формирования (создания) данной информации, например, создание регистрирующих журналов событий происходит посредством работы операционной системы; во-вторых, какое программное средство использовалось для копирования, если данная информация скопирована на другой носитель; в-третьих, какой программой необходимо воспользоваться для воспроизведения данной информации. Указание характеристик программных средств в протоколе следственного действия, например, необходимо указать тип операционной системы, регистрационный номер; в-четвертых, установление реквизитов компьютерной информации, таких как тип файла, его объем, время создания, время редактирования, время открытия, сведения о пользователе; в-пятых, установление, каким образом было обеспечено условие целостности (неизменности) данных. Указать, какие программные средства используются для обеспечения целостности данных в протоколе следственного действия. Для выполнения задачи сохранения целостности компьютерной информации и её широкого использования в практической деятельности, по нашему мнению, можно ис-
юрид. наук. Воронеж, 2002. С. 5, 6; Галяшина Е.И. Возможности использования цифровой фонограммы как доказательства //Эксперт-криминалист. 2008. № 4. С. 29.
пользовать принцип хэширования2, который широко применяется в различных программах3.
Криптостойкую хеш функцию можно использовать для подтверждения любой электронной информации, включая аудио и видео файлы, записанные с помощью различных технических средств. При копировании такой информации на внешнее устройство хранения информации необходимо вычислить хеш функцию, которая будет служить подтверждением неизменности исходной информации. Данную функцию используют при проведении компьютерно-технических экспертиз, которые необходимы для всестороннего изучения элек-
~ 4
тронных носителей .
Для восстановления удаленной информации, или расшифровки используется специальное программное обеспечение. Данное программное обеспечение должно удовлетворять критерию, основанному на научности знания, этот критерий выполняется, если используемый программный продукт прошел сертификацию, а деятельность по его созданию лицензирована5.
Т.Э. Кукарникова предлагает иные специальные защитные структуры, следы которых статистически достаточно надежно обнаруживались бы на самых малых участках документов, которых, в принципе, может производиться монтаж, меняющий содержание документа6. Применение электронной цифровой подписи для сохранения целостности данных является перспективным методом обеспечения аутентичности содержания электронного документа, имеющего доказательственное значение. Данная подпись является криптографическим преобразованием информации с использованием закрытого ключа электронной подписи.
Таким образом, существует целый арсенал проверки надежности электронных доказательств. Специальным средством проверки электронных доказательств является компьютерно-техническая экспертиза. При проведении компьютерно-технических экспертиз производятся следующие шаги, направленные на сохранение исходной информации без модификации:8
1. Накопитель, содержащий исследуемую информацию, подключается к жесткому диску эксперта и вычисляется хеш-функция информации, содержащейся на исходном накопителе. Данное подключение осуществляется способом, исключающим запись, в том числе случайную (только чтение).
2 Хэширование - в криптографии - преобразования массива данных произвольного размера в блок данных фиксированного размера, служащий (в некоторых случаях) заменителем исходного массива. Хеширование выполняется с помощью хэш-функций. Хэш-функция - функция, осуществляющая хэширование массива данных посредством отображения значений из очень большого множества-значений в существенно меньшее множество-значений.
См.: Зигура Н.А. Компьютерная информация как вид доказательств в уголовном процессе России // Дис... канд. юрид. наук. Челябинск, 2010. С. 144.
3 См.: Зигура Н.А. Указ. соч. С.145.
4 См.: Александров А.С., Кувычков С.И. О надежности «электронных доказательств» в уголовном процессе //Библиотека криминалиста. Научный журнал. 2013. № 5. С. 46-48.
5 См.: Зигура Н.А. Указ. соч. С. 140.
6 См.: Кукарникова Т. Э. Электронный документ в уголовном процессе и криминалистике // Дис. . канд. юрид. наук. Саратов, 2003. С. 88.
7 Федеральный закон от 06.04.2011 № 63-Ф3 (ред. от 05.04.2013) «Об электронной подписи» // СЗ РФ. 11.04.2011. № 15. Ст. 2036 / СПС Консультант Плюс.
8 См.: Костин П.В. Исследование машинных носителей инфор-
мации при расследовании преступлений в сфере экономики:
Учебное пособие. Н. Новгород: Нижегородская академия МВД
России, 2009. С. 6.
Создается точная электронная копия исходного накопителя, путём побитного копирования информации. Для этого используется процедура клонирования содержимого электронного накопителя с помощью дуб-ликаторов или специального программного обеспечения (FTK Imager, EnCase, Forensic, NortonGhost, команды dd OS Linux) на жесткие диски эксперта.
Вычисляется хеш-функция дубликата, которая должна совпадать с исходной хеш-функцией.
Далее вся работа по поиску информации производится на подключённых к стендовому компьютеру дисках-клонах, которые исследуются.
Данная методика исключает модификацию исходной информации и позволяет провести повторное исследование исходного накопителя. Современные методы судебной экспертизы позволяют установить аутентичность цифровых фонограмм и видеофонограмм. Так что с технической стороны проверка достоверности электронных доказательств проблем не составляет. Проблемы создаются искусственно людьми, которые осуществляют операции по сохранению, использованию, передаче электронной информации, а также теми, кто в суде эту информацию воспринимает и интерпретирует (иногда намеренно искажая смысл информации и операций с ней).
Пожалуй, именно технические возможности проверки электронной информации вроде хэширования делают электронные доказательства более верифицируемыми по сравнению с обычными личными и вещественными доказательствами. Полагаем, что в УПК РФ следует включить бланкетную норму, отсылающую к международно-правовым стандартам работы с электронными доказательствами или надо инкорпорировать эти правила в текст УПК РФ.
Для обеспечения условий формирования электронного доказательства в суде важно в ходе досудебного производства обеспечить поэтапную регистрацию всей информации об идентификационных свойствах, производстве, хранении и движении аудиофайла от пользователя к пользователю, вплоть до исследования в судебном заседании и в случае необходимости продемонстрировать ее участникам процесса. Правильным будет пошаговое документирование идентификационных свойств файла с момента его регистрации, трансляции, хранения и перемещения с одного носителя на другой10. Так называемая цепь законных владений (chain of custody11) является главным критерием проверки доказательств в суде. Участники досудебного уголовного производства в случае возникновения необходимости должны уметь дать соответствующие показанию суду и участникам процесса с объяснениями правомерности своих действий и тем самым снять
9 См.: Александров А.С., Кувычков С.И. О надежности «электронных доказательств» в уголовном процессе // Библиотека криминалиста. Научный журнал. 2013. № 5. С. 46-48.
10 См.: Галяшина Е.И. Оценка достоверности цифровых фонограмм в уголовном процессе // Доказывание и принятие решений в современном уголовном судопроизводстве. Материалы международной научно-практической конференции, посвященной памяти доктора юрид. наук, профессора Полины Абрамовны Лупин-ской: сборник научных трудов. М.: ООО «Изд-во «Элит», 2011. С. 132.
11 Термин «цепь законных владений» («сЬтат of custody») обозначает порядок документирования в целях сохранности доказательств на всех этапах от момента сбора информации (производства звукозаписи) до передачи ее носителя от одного лица другому вплоть до судебного рассмотрения дела, позволяющий суду убедиться в неизменности ее содержания.
См.: Галяшина Е.И. Оценка достоверности цифровых фонограмм в уголовном процессе. С. 135.
сомнения в неизменности и достоверности электронной информации, представленной в качестве доказательств12.
Приведем пример13 из следственной практики, когда нарушение названного правила привело к признанию главного обвинительного доказательства недопустимым, а вместе с тем и к прекращению уголовного дела (преследования) обвиняемого в виду недоказанности его причастности к инкриминируемому преступлению.
В ходе расследования по уголовному делу № 500722 в отношении Т., подозреваемой в совершении преступления, предусмотренного ст. 273 ч.1 УК РФ (использование и распространение вредоносных программ для ЭВМ) были получены ряд доказательств, подтверждающих вину Т. в совершении преступления. Однако, эти доказательства были признаны следователем недопустимыми в связи с допущенными грубыми нарушениями уголовно - процессуального законодательства России. Так, согласно заключения эксперта, на системном блоке изъятого компьютера присутствуют нелицензионная программа «1С: Предприятие 7.7. Комплексная поставка», эмулятор ключа «патчер» в виде программы, состоящей из двух файлов - исполняемого файла Hinstall.exe (хинстал экзе) и драйвера виртуального устройства Hasp95dl.vxd (хасп 95 дл точка вэ икс дэ). Также обнаружено несколько файлов, свидетельствующих об изменении и полной перезаписи установленных Т. файлов и программ. То есть после изъятия и опечатывания системного блока (19 час. 16 марта 2004 года), 17 и 18 марта 2004 года имело место работа с системным блоком, в ходе которой были перезаписаны файлы, являющиеся частью эмулятора ключа, произведены удаление драйвера защиты и установление нового драйвера защиты, путем запуска указанного «патчера». Кроме того, исполняемый файл эмулятора ключа Hinstall был изменен в 14:23 18 марта 2004 г., а драйвер виртуального устройства Hasp95dl.vxd был записан на жесткий диск в 14:24 18 марта 2004 г., что является недопустимым.
Допрошенный в качестве свидетеля специалист фирмы ООО «Компьютерная компания» Горощенко В.А. показал, что фирма ООО «Компьютерная компания» занимается, согласно заключенного договора, установкой и обслуживаем программных продуктов «1С: Предприятие». 17 или 18 марта 2004 года в обеденное время к нему в офис зашли сотрудники отдела «К» ГУВД Челябинской области и принесли с собой системный блок, опечатанный липкой лентой скотч, и обратились с просьбой исследовать системный блок и предоставить справку о том, какие программные продукты установлены на системном блоке, являются ли они оригинальными. Он согласился провести исследование, так как указания дал директор компании Чере-динов В.М. Раньше аналогичных исследований он не проводил. После чего, включив компьютер, он обнаружил, что на жестком диске установлена программа «1С: Предприятие», но так как в порте LPT (эл-пэ-тэ), отсутствовал аппаратный ключ защиты HASP (хасп), то он понял, что установленный программный продукт «1С» является нелицензионным. После чего он попытался запустить программу «1С: Предприятие», но
12 «Chain of custody» - система охраны вещественных доказательств при их передаче.
См.: Пивовар А.Г. Большой англо-русский полный юридический словарь. М.: Изд-во «Экзамен», 2003. С. 133.
13 Уголовное дело № 500722 в отношении Т.Ю.П. подозреваемой в совершении преступления, предусмотренного ст. 273 ч.1 УК РФ // ГСУ при ГУВД Челябинской области. 2004 г.
программа была не работоспособной. Затем на жестком диске он обнаружил папку с двумя файлами, содержащими эмулятор ключа, позволяющий работать нелицензионной программе «1С: Предприятие» без аппаратного ключа защиты. Он попытался запустить оба файла и проверить работоспособность программы «1С: Предприятие». В компьютере присутствовало два драйвера защиты - hasp.vxd и hasp95.vxd, и он попытался запустить оба драйвера, но программа ни с одним из них не работала. После этого он выключил компьютер. Системный блок у него забрал 19 марта 2004 года сотрудник милиции Еремин А.А. О результатах проделанной работы он доложил директору Чере-динову В.М.
Допрошенный в качестве свидетеля сотрудник отдела «К» ГУВД Челябинской области Еремин А.А. показал, что 15 марта 2004 года в офисе ООО ЧОП «Бо-ярд» был изъят и опечатан системный блок, который для проведения исследования был направлен в ООО «Компьютерная компания», расположенный по адресу: г. Челябинск, ул. Энтузиастов - 12. Директор компании Черединов В.М. расписал проведение исследования специалисту фирмы Горощенко В.А. Через несколько дней позвонил Черединов В.В. и сообщил, что запустить программу «1С: Предприятие» Горощенко В.А. не смог. После чего он забрал системный блок и отвез его для проведения исследования в Учреждение Технической экспертизы, расположенное по адресу: г. Челябинск, ул. Салютная - 23. Каких - либо действий во время и после изъятия, с системным блоком сотрудниками отдела «К» ГУВД Челябинской области и не проводились. Установленные на системном блоке программы не изменялись. О том, что специалист ООО «Компьютерная компания» Горощенко В.А. внес изменения в программы, ему было не известно.
Согласно заключению компьютерно-технической судебной экспертизы на системном блоке компьютера обнаружен эмулятор ключа, являющийся вредоносной программой, и данные по его использованию. Также содержатся сведения по запуску программ и перезаписи эмулятора ключа после произведенного изъятия, что ставит под сомнения допустимость данного доказательства.
Исходя из выше изложенных обстоятельств, орган предварительного следствия, руководствуясь ст. 88 УПК РФ, признал собранные по уголовному делу доказательства недопустимыми из-за допущенных нарушений требований УПК РФ при сборе доказательств и не имеющими юридической силы, а поэтому не способными стать основой обвинения, а так же быть использованными для доказывания. На основании изложенного орган предварительного следствия прекратил уголовное дело в отношении Т. по основанию, предусмотренному п. 2 ч. 1 ст. 24 УПК РФ.
Список литературы:
1. Александров А.С., Кувычков С.И. О надежности «электронных доказательств» в уголовном процессе //Библиотека криминалиста. Научный журнал. 2013. № 5.
2. Галяшина Е.И. Теоретические и прикладные основы судебной фоноскопической экспертизы //Автореф. дис. ... д-ра юрид. наук. Воронеж, 2002.
3. Галяшина Е.И. Возможности использования цифровой фонограммы как доказательства //Эксперт-криминалист. 2008. № 4.
4. Галяшина Е.И. Оценка достоверности цифровых фонограмм в уголовном процессе // Доказывание и
принятие решений в современном уголовном судопроизводстве. Материалы международной научно-практической конференции, посвященной памяти доктора юрид. наук, профессора Полины Абрамовны Лу-пинской: сборник научных трудов. М.: ООО «Изд-во «Элит», 2011.
5. Зигура Н.А. Компьютерная информация как вид доказательств в уголовном процессе России // Дис... канд. юрид. наук. Челябинск, 2010.
6. Костин П.В. Исследование машинных носителей информации при расследовании преступлений в сфере экономики: Учебное пособие. Н. Новгород: Нижегородская академия МВД России, 2009.
7. Кукарникова Т. Э. Электронный документ в уголовном процессе и криминалистике // Дис. . канд. юрид. наук. Саратов, 2003.
8. Логвиненко Н.А. Электронные документы как доказательства в расследовании преступлений // Пробелы в российском законодательстве. - 2014. - №2.
9. Пастухов В.С. О состязательной форме уголовно-процессуального доказывания и использовании «электронных доказательств» // Бизнес в законе. - 2014. -№4.
10. Пастухов П.С. К вопросу о понятии уголовно-процессуального доказательства в контексте электронной информации // Пробелы в российском законодательстве. - 2014. - №4.
11. Пивовар А.Г. Большой англо-русский полный юридический словарь. М.: Изд-во «Экзамен», 2003.
Отзыв
на статью доцента кафедры уголовного процесса и криминалистики Пермского государственного национального исследовательского университета, кандидата юридических наук, доцента Пастухова П.С. на тему «Средства проверки надежности «электронных» доказательств в ходе производства по уголовному делу»
В статье П.С. Пастухова исследуется проблематика, касающаяся средств проверки надежности «электронных» доказательств в ходе расследования и судебного разбирательства уголовного дела.
Автор призывает использовать в ходе проверки надежности «электронных» доказательств по уголовному делу единые правила установления их достоверности, сформулированные Международной организацией по цифровым доказательствам.
Особое место уделено особенностям проведения компьютерно-технических экспертиз. В качестве иллюстраций приведен конкретный пример из следственной практики, когда нарушение правил установления достоверности «электронных» доказательств привело к признанию главного обвинительного доказательства недопустимым.
Работа структурирована, написана хорошим юридическим языком, несомненно актуальна, характеризуется научной новизной, теоретической и практической значимостью.
Вывод: статья кандидата юридических наук, доцента Пастухова П.С. на тему «Средства проверки надежности «электронных» доказательств в ходе производства по уголовному делу» рекомендуется для опубликования в открытой печати.
Заслуженный деятель науки РФ, Почетный работник высшего профессионального образования РФ, доктор юридических наук, профессор О.А. Зайцев
