УДК 343.98
DOI: 10.24411/2587-9820-2019-10045
А. В. Смолин А. А. Зайцев
ТАКТИКА ПРОИЗВОДСТВА ОТДЕЛЬНЫХ СЛЕДСТВЕННЫХ ДЕЙСТВИЙ ПО ПРЕСТУПЛЕНИЯМ, СОВЕРШЁННЫМ С ПРИМЕНЕНИЕМ
КОМПЬЮТЕРНОЙ ТЕХНИКИ
Аннотация. В статье раскрываются особенности тактики производства отдельных следственных действий, таких как осмотр места происшествия, осмотр предметов и документов, обыск, выемка, допрос при производстве предварительного расследования по уголовным делам о преступлениях, совершённых с применением компьютерной техники. Указываются основные ошибки, допускаемые при производстве указанных следственных действий и пути их устранения.
Ключевые слова: тактика следственных действий, расследование компьютерных преступлений, обыск, выемка, осмотр места происшествия, осмотр электронных носителей информации.
A. V. Smolin А. А. Zaitseff
ABOUT SOME ELEMENTS OF THE FORENSIC CHARACTERISTICS OF CYBERCRIME
Abstract. The article reveals the peculiarities of tactics for the production of individual investigative actions, such as examining the scene of an incident, examining objects and documents, searching, seizing, interrogating during the preliminary investigation of criminal cases of crimes committed using computer technology. The main errors made during the production of these investigative actions and ways to eliminate them are indicated.
Keywords: tactics of investigative actions, investigation of computer crimes, search, seizure, inspection of the scene, inspection of electronic information carriers.
Не вызывает сомнений, что основными следственными действиями, которые проводятся по уголовным делам, являются: следственный осмотр, обыск, выемка и допрос. Преступления, совершаемые с применением компьютерной техники, достаточно многообразны, каждое из них имеет свои исключительные аспекты криминалистической характеристики [См. об этом
52
подробнее: 1], что неминуемо формирует и особенности при производстве по ним следственных действий. В первую очередь это выражается в том, что основным источником доказательственной информации являются электронные носители информации, а уголовно-процессуальным законом в настоящий момент предусмотрены серьёзные ограничения к их изъятию, предусмотренные ст. 164.1 УПК РФ. Специфика процесса изъятия состоит в том, что оно должно осуществляться с участием специалиста. Это обусловлено риском утраты содержащихся на них доказательств, а также возможностью копирования информации в ходе производства следственных действий в случае заявления ходатайства со стороны их законного владельца или обладателя информации.
Введя в уголовно-процессуальный кодекс новый термин «электронные носители информации», законодатель не определил его сущность. В связи с этим необходимо придерживаться определения, закреплённого в ГОСТ 2.051—2013 [2], согласно которому, электронный носитель — это материальный носитель, используемый для записи, хранения и воспроизведения информации, обрабатываемой с помощью средств вычислительной техники.
При обнаружении в ходе производства следственного действия различных электронных устройств встаёт вопрос о целесообразности их полного изъятия. При этом, например, при обнаружении персонального компьютера, изымать всю компьютерную систему (системный блок) и периферийные устройства далеко не всегда обязательно. Эти устройства взаимодействуют между собой, но каждый компонент системы выполняет определённую функцию; они не все хранят информацию и поэтому могут работать и быть исследованными независимо. В некоторых случаях, по согласованию со специалистом изымаются только устройства, соответствующие направлению исследования, или даже только жёсткий диск из системного блока.
Участие специалиста, а также применение им соответствующих технических средств может способствовать недопущению сокрытия электронных устройств, а также удалению содержащейся на них информации. Лицо, осуществляющее первоначальный доступ к обследуемому объекту (электронному носителю информации), должно иметь соответствующую квалификацию, осознавать суть основных процессов, происходящих к компьютерной системе, и, соответственно, понимать физические принципы записи, хранения и удаления информации на каждом из носителей [3, с. 159].
Во избежание ошибок при проведении следственных действий на начальном этапе расследования, которые могут привести к потере или искажению электронной информации, следует придерживаться некоторых предохранительных мер.
1. В целях недопущения повреждения информации на жёстких магнитных дисках первоначально при работе с ними необходимо проводить процедуру клонирования содержащейся на них информации при помощи специального программного обеспечения на другие жёсткие диски.
53
2. Любое вмешательство в содержащиеся на носителях информации сведения производить только с участием специалиста.
3. Все манипуляции, производимые с электронными носителями информации в ходе производства следственного действия, необходимо детально отражать в протоколе данного следственного действия.
4. Все изъятые электронные носители информации должны быть упакованы и опечатаны таким образом, чтобы исключить возможность их повреждения, включения в сеть и разборки.
Хотелось бы особенно остановиться на тактических особенностях изъятия компьютерной техники. В первую очередь необходимо строгое соблюдение процессуальной стороны этого момента. Необходимо проводить изъятие с созданием условий, препятствующих подключению электронного устройства, которое впоследствии может стать вещественным доказательством, к электрической сети или к другому электронному устройству. При этом надо иметь в виду, что подключение электронного устройства к электрической сети или другому устройству после изъятия возможно и при опечатывании, заматывании липкой лентой и т. п., без повреждения целостности указанной упаковки, что впоследствии даст повод для возникновения сомнений в отсутствии модификации информации на данном устройстве, а это, в свою очередь, может служить основанием для признания вышеуказанного вещественного доказательства недопустимым. Ввиду чего усматривается целесообразным изъятие компьютерной техники с последующей упаковкой устройств целиком в отдельные упаковки.
Кроме того, необходимо обеспечить запрет на включение и осмотр изъятой компьютерной техники без соответствующего документального отображения, поскольку любая работа с электронными документами (запуск различных программ и выход в информационно-телекоммуникационную сеть «Интернет», работа на различных сайтах информационно-телекоммуникационной сети «Интернет») вызывает изменения в файлах операционной системы, оставляет различные следы.
На исследуемом компьютере может быть установлена программа для поточного шифрования, которая подразумевает работу с так называемыми криптоконтейнерами (криптодисками). Программа обеспечивает защиту данных даже в случае изъятия такого диска или самого компьютера. После отключения диска все записанные на нём файлы и программы сделаются недоступными. Поэтому, во избежание потери данных следует производить проверку на наличие такой системы защиты.
Производство иных следственных действий при расследовании компьютерных преступлений также требует своей специфики. Огромное значение имеет осмотр места происшествия, проводимый до возбуждения уголовного дела в наиболее близкое ко времени и в пространстве соприкосновение следователя с событием преступления. Проведение организационно правильного и тактически верного осмотра места происшествия предопределяет ус-
54
пешное расследование. По мнению П. М. Зуева, лицо, выезжающее на место происшествия, должно хорошо знать типичные следы того или иного происшествия, их особенности и уметь разбираться в механизме их образования. Только тогда можно обеспечить качественное исследование места происшествия [4, с. 12]. В противном случае любые, даже самые совершенные тактические рекомендации, теряют практический смысл. Нельзя не согласиться с данным мнением, т. к. осмотр места происшествия по данной категории преступлений должен производить только следователь или дознаватель, который специализируется на расследовании преступлений, совершённых с использованием компьютерной техники, поскольку ввиду достаточного опыта он быстрее и качественнее зафиксирует необходимые для дальнейшего доказывания следы и обстоятельства.
Так, в ходе осмотра места происшествия полагается установить, кто принимал участие и какую функцию выполнял при подготовке, совершении и сокрытии преступления; какие носители информации, содержащие следы события, подлежащего расследованию, имеются на месте происшествия; какие технические средства и документы использовались для доступа к предмету посягательства и совершения незаконных действий с ним; кто мог стать очевидцем подготовки, совершения или сокрытия преступления и т. п.
Главной особенностью является то, что место происшествия неразрывно связано с ГР-адресами компьютерной техники фигурантов будущего уголовного дела (будь то злоумышленник или потерпевший), а также с 1Р-ад-ресом некоторого элемента какой-либо взаимодействующей платёжной системы. Следовательно, о точном месте происшествия будут говорить сведения о привязке модема к базовой станции оператора сотовой связи, сведения об адресе местожительства в договоре между пользователем Интернета и интернет-провайдером.
Также имеет свои особенности осмотр места происшествия, представляющего серверную, где находится компьютерная техника с информацией, представляющей определённый интерес для следствия. В большинстве случаев управление сервером осуществляется из другого помещения, в связи с чем в протоколе осмотра места происшествия целесообразно указать отсутствие доступа к компьютерной технике, либо наличие проводов, средств связи и т. п. Стремясь указать на место управления данной техникой, необходимо осмотреть место администратора, с целью поиска способа управления указанной техникой.
Важным будет также являться поиск средств подготовки и сокрытия преступления. К указанным средствам могут относиться различные средства связи, в том числе средства негласного получения информации, различная литература в области компьютерной техники и программирования, в том числе аудиозаписи и видеофильмы на различных носителях, средства хранения и передачи информации.
Немаловажное значение в формировании доказательственной базы по уголовным делам имеет проведение обыска. По уголовным делам в ходе обыска проводится отыскание и изъятие предметов, имеющих отношение к событию преступления. Закономерным является то, что в отношении рассматриваемой категории преступлений такими предметами являются компьютерные устройства и различные носители электронной информации.
Не останавливаясь на том, что подлежит изъятию, важно понимать то, что с учётом развития в настоящее время уровня научно-технической мысли и промышленных возможностей носители информации, имеющей доказательственное значение, могут находиться в корпусах различных предметов. В частности, широко используются авторучки и зажигалки с видеокамерами, аудиоплееры и часы. Ввиду последнего обстоятельства рекомендуется проведение поисковых мероприятий с применением специальных средств, позволяющих обнаружить средства мобильной связи и хранения электронной информации.
Ведя подготовку к проведению обыска, необходимо тщательно изучить план помещения, собрать необходимую информацию, и определить местонахождение компьютерного устройства, подлежащего изъятию. Также необходимо установить возможности его подключения к локальным и внешним сетям, дающим возможность дистанционного уничтожения хранящейся на нём информации. Кроме того, нельзя упускать из виду, что во время нахождения компьютерного устройства во включённом состоянии могут сработать аппаратные и программные средства уничтожения вышеуказанной информации. Ввиду чего категорически необходимо, чтобы все действия, связанные с выключением и изоляцией компьютерной техники проводились специалистами.
При производстве допроса участников по данным категориям преступлений целесообразно приглашать для участия специалиста, который будет оказывать содействие в качестве консультанта. Последний может помочь при подготовке к проведению указанного следственного действия, составив примерный перечень вопросов. Кроме того, может возникнуть необходимость в непосредственном участии специалиста, поскольку использование фигурантами дела различных технических терминов может осложнить понимание следователя и привести к необходимости проведения повторного допроса для уточнения некоторых обстоятельств. Также может возникнуть необходимость в допросе самого специалиста для разъяснения некоторых технических процессов, терминов, работы программного обеспечения и т. п.
Что же касается проведения различных видов экспертных исследований по рассматриваемой категории преступлений, то их перечень также довольно широк. В рамках расследования данной группы преступлений проводятся трасологические, биологические, товароведческие и т. д. экспертизы. Однако, учитывая определённую специфику, естественно, преобладают компьютерно-технические экспертизы. При производстве компьютерно-технической экспертизы может решаться огромный спектр вопросов, поэтому сле-
56
дователю, назначая данную экспертизу, целесообразно проконсультироваться с экспертом и определить цели и задачи проводимого исследования. На основании этого эксперт поможет сформировать вопросы, требующие разрешения и определит необходимые ему для этого материалы уголовного дела и объекты исследования.
Говоря о наложении ареста на имущество, следует отметить, что оно также в рассматриваемой группе преступлений имеет свои особенности. Так, для наложения ареста на счета злоумышленников в электронных платёжных системах возможно при условии того, что указанная платёжная система зарегистрирована в России. В случае регистрации в иностранных государствах положительного результата вряд ли получится добиться.
Список использованных источников и литературы
1. Зайцев А. А., Смолин А. В. О некоторых элементах криминалистической характеристики киберпреступлений // Криминалистика: вчера, сегодня, завтра. — 2019. — № 3 (11). — С. 35—41.
2. ГОСТ 2.051—2013 Единая система конструкторской документации (ЕСКД). Электронные документы. Общие положения. [Электронный ресурс]. — URL: http://docs.cntd.ru/document/1200106860/ (дата обращения: 25.10.2019).
3. Осипенко А. Л., Гайдин А. И. Правовое регулирование и тактические особенности изъятия электронных носителей информации // Вестник Воронежского государственного университета. — 2014. — № 1. — С. 156—163.
4. Зуев П. М. Методика расследования дорожно-транспортных происшествий: учеб. пособ. — М., 1990. — 56 с.