Неправомерный доступ к компьютерной информации (ст. 272 УК РФ): особенности предупреждения, выявления и расследования

Информационные следы образуются в результате воздействия (уничтожения, модификации, копирования, блокирования) на компьютерную информацию путем доступа к ней и представляют собой любые изменения компьютерной информации, связанные с событием преступления. Прежде всего, они остаются на магнитных носителях информации и отражают изменения в хранящейся в них информации (по сравнению с исходным состоянием). Речь идет о следах модификации информации (баз данных, программ, текстовых файлов), находящейся на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных и магнито-оптических дисках. Кроме того, магнитные носители могут нести следы уничтожения или модификации информации (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Информационными следами являются так же результаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных программ, а так же программного обеспечения. Для выявления подобных следов необходимо участие специалистов в сфере программного обеспечения и вычислительной техники.

 

3. Особенности первоначального  этапа расследования не­правомерного  доступа к компьютерной информации

 

Наиболее распростра­ненными поводами к возбуждению уголовного дела по ст. 272 УК РФ являются: сообщения должностных лиц организаций или их объединений (около 40 %); заявления граждан (около 35 %); непосредственное обнаружение органом доз­нания, следователем или прокурором сведений, указывающих на признаки преступления (около 20 %); сообщения в средствах массовой информации и иные поводы (около 5 %).

В зависимости от источника и содержания сведений о неправомерном доступе к компьютерной информации, могут складываться различные проверочные ситуации:

1. Неправомерный доступ обнаружен при реализации компьютерной информации незаконным пользователем (например, при распространении сведений, носящих конфиденциальный характер).

2. Факт неправомерного  доступа к компьютерной информации  обнаружен законным пользователем, но лицо, совершившее это, не установлено.

3. Неправомерный доступ  обнаружен законным пользователем с фиксацией на своей ЭВМ данных о лице, осуществляющем «перекачку» информации через сеть.

4. Неправомерный доступ  обнаружен оператором, программистом  или иным лицом в результате того, что преступник застигнут на месте преступления.

5. Имел место неправомерный  доступ к компьютерной информации (имеются иные сведения об этом), однако лицо, его совершившее, не установлено.

Для установления основания для возбуждения уголовного дела и разрешения приведенных проверочных ситуаций необходимо осуществление прове­рочных действий в соответствии со ст. 109 УПК РСФСР: получение объясне­ний, производство осмотра места происшествия, истребование необходимых ма­териалов, осуществление оперативно-розыскных мероприятий.

Для уточнения оснований к возбуждению уголовного дела по ст. 272 УК РФ необходимо получить объяснения у инженеров-программистов, занимавшихся разработкой программного обеспечения и его сопровождением (отладкой и обслуживанием), операторов, специалистов по техническому обеспечению, занимающихся эксплуатацией и ремонтом средств компьютерной техники, системных программистов, инженеров по средствам связи и телекоммуникационному оборудованию, специалистов по обеспечению безопасности компьютерных систем и др.

При подготовке к проведению осмотра места происшествия необходимо пригласить соответствующих специалистов и понятых из числа лиц, владеющих компьютерной техникой, подготовить соответствующую компьютерную техни­ку, проинструктировать членов следственной группы и провести консультации со специалистами. По прибытии на место происшествия необходимо:

-зафиксировать обстановку, сложившуюся на момент осмотра места происшествия;

-исключить возможность посторонним лицам (да и участникам следственно-оперативной группы) соприкасаться с оборудованием;

-определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть;

-установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения;

-пояснить, подключен ли компьютер к телефонной или телетайпной линиям;

-определить, запущены ли программы на ЭВМ и какие именно.

При изъятии компьютерной информации необходимо руководствоваться следующими рекомендациями:

- в случае невозможности изъятия средства компьютерной техники, после его осмотре необходимо блокировать соответствующее помещение, отключать источники энергопитания аппаратуры;

-при изъятии, магнитного носителя информа­ции нужно их перемещать и хранить только в специальных опломбированных и экранированных контейнерах или в стандартных футлярах заводского изготов­ления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучении;

-при необходимости изъятия информации из оперативной памяти компьютера, ее копируют на физический носитель с использованием стандартных программных средств; 4) изъятие средств компьютерной техники производится только в выключенном состоянии.

При решении вопроса о возбуждении уголовного дела целесообразно истребовать:

-журнал учета сбоев в работе компьютерной сети, выхода отдельных компьютеров или технических устройств из строя; журнал учета рабочего времени;

-документы о проведенных в течение дня операциях; физические (матери­альные) носители информации; программное обеспечение ЭВМ (при невозмож­ности изъять физические носители);

- файл администратора сети, в котором фик­сируется вся работа сети (моменты включения и выключения, результаты тес­тирования, протоколы сбойных ситуаций);

- системный блок и выносные нако­пители информации; информация (в виде файлов) о попытках незаконного ис­пользования компьютера, несанкционированного подключения к сети;

- акты по результатам антивирусных проверок контрольные суммы файлов, которые хранятся в соответствующих программах; список лиц, которые имеют право доступа к той или иной компьютерной информации и список паролей, под кото­рыми они идентифицированы в компьютере;

- технические средства распознания пользователей (магнитные карты, ключи блокировки и пр.) с целью предотвра­тить доступ пользователей к компьютерам в период проведения проверки; и др.

С учетом комплекса исходной информации, полученной при проведении проверочных действий, на первоначальном этапе расследования могут складываться следующие типичные следственные ситуации.

- Установлен неправомерный доступ к компьютерной информации, есть следы, есть подозреваемый, который дает правдивые показания.

-Установлен неправомерный доступ к компьютерной информации, имеются следы, прямо указывающие на конкретного подозреваемого, но он отрицает свою причастность к совершению преступления.

- Установлен неправомерный доступ к компьютерной информации, известны лица, несущие по своему служебному положению за это ответственность, но характер их личной вины, а так же обстоятельства доступа не уста­новлены.

-Установлен факт неправомерного доступа к компьютерной информа­ции, совершить который и воспользоваться его результатами могли только лица из определенного круга (по своему положению, профессиональным навыкам и знаниям) либо известны лица (фирмы, организации), заинтересованные в получении данной информации.

Последняя из приведенных следственных ситуаций, является наиболее сложной, так как отсутствуют сведения о виновном лице, следы преступления, не известен способ совершения и другие данные.

Для разрешения следственных ситуаций, складывающихся на первоначальном этапе расследования, производятся следующие следственные действия: допрос свидетелей, обыск помещений, допрос подозреваемого, проверки по оперативно-справочным, розыскным и криминалистическим учетам.

Рассмотрим специфические особенности тактики проведения первоначальных следственных действий при расследовании неправомерного доступа к компьютерной информации. Учитывая особенности тактики, отмечается, что при его подготовке необходимо:

-выяснить, какая вычислительная техника имеется в обыскиваемом помещении и ее количество;

-установить, используется ли в комплекте с вычислительной техникой устройства автономного или бесперебойного питания;

-пригласить специалиста по компьютерным системам; подготовить соответствующую компьютерную технику;

-изучить личность владельца компьютера, его профессиональные навыки по владению компьютерной техникой;

-определить меры, обеспечивающие конфиденциальность обыска;

-спрогнозировать характер возможно находящейся в компьютере информации; ее роль в быстром и результативном обыске, определить, какую компьютерную информацию необходимо изучить на месте, а ка­кую изъять для дальнейшего исследования.

По прибытии к месту проведения обыска необходимо быстро и неожиданно войти в обыскиваемое помещение, после чего необходимо организовать охрану компьютеров. На обзорной стадии обыска необходимо:

- определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть;

- установить, имеются ли соеди­нения компьютера с оборудованием или вычислительной техникой вне обыскиваемого помещения;

-выяснить, подключен ли компьютер к телефонной или телетайпной линиям;

-определить, запущены ли программы на ЭВМ и какие именно;

-установить, не содержится ли на компьютере информация, которая может способствовать более плодотворному поиску.

    На детальной  стадии обыска нужно четко организовать поисковые мероприятия, направленные на поиск тайников, в которых могут находиться обычные документы и предметы. Таким тайником может служить и сам компьютер. На заключительной стадии рассматриваемого следственного действия составляется протокол и описи к нему, вычерчиваются планы и схемы обыскиваемых помещений, про­водятся дополнительные фотосъемка и видеозапись.

 

4. Расследование неправомерного  доступа к компьютерной информации  на последующем этапе

 

На последующем этапе расследования неправомерного доступа к компьютерной информации, началом которого является привлечение лица в качестве обвиняемого, в зависимости от того, насколько обвиняемый признает свою вину, могут складываться следующие следственные ситуации:

-Обвиняемый признает свою вину и дает развернутые правдивые показания.

- Обвиняемый частично признает свою вину, но отрицает свое участие в основных эпизодах преступной деятельности.

-Обвиняемые признают свою вину, но не установлены все эпизоды преступной деятельности.

-Обвиняемые (при совершении преступления группой лиц по предварительному сговору или организованной группой) отрицают свою причастность к преступлению, дают противоречивые показания.

-Обвиняемый признает свою вину, но не называет соучастников преступления.

Выдвигая и проверяя следственные версии, следователь проводит комплекс последующих следственных действий, в число которых входит: допрос обвиняемого (обвиняемых), очные ставки, назначение экспертиз, предъявление для опознания, следственный эксперимент, проверка и уточнение показаний на месте и др.

На последующем этапе расследования неправомерного доступа к компьютерной информации назначаются и проводятся различные экспертизы, в том числе традиционные криминалистические, экспертизы веществ и материалов, экономические, инженерно-технические и другие экспертизы. Представляется, что можно выделить следующие виды компьютерно-технических экспертиз, необходимость назначения которых возникает при расследовании неправомерного доступа к компьютерной информации:

1. техническая экспертиза компьютеров и периферийных устройств. Она назначается и проводится в целях изучения технических особенностей компьютера, его периферийных устройств, технических параметров ком­пьютерных сетей, а также причин возникновения сбоев в работе компьютерного оборудования;
2. техническая экспертиза оборудования защиты компьютерной информации. Проводится в целях изучения технических устройств защиты информации, используемых на данном предприятии, организации, учреждении или фирме;
3. экспертиза машинных данных и программного обеспечения ЭВМ. Осуществляется в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучение программных методов защиты компьютерной информации;
4. экспертиза программного обеспечения и данных, используемых в компьютерной сети. Проводится в целях изучения информации, которая обрабатывается с помощью компьютерных сетей, эксплуатируемых на данном предприятия, организации, учреждении, фирме или компании.

Предъявление для опознания компьютерной информации, обладающей рядом идентификационных признаков, таких, как ее содержание, вид, атрибуты, носители, имена и размер файлов, даты и время их создания, шрифт, кегль (высота букв), интерлиньяж (расстояние между строк), величину абзацных отступов) особый стиль выделения заголовков, размер полей, особенности нумерации страниц; назначение, выполняемые функции, интерфейс, графическое и музы­кальное оформление и т.д. принципиально возможно, но имеет определенные тактические особенности.