МЕТОДИКА РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

РАССЛЕДОВАНИЕ ФАКТОВ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

Информация и информационные правоотношения стали предметом преступного посягательства в Российской Федерации с 90-х гг. XX в. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных компьютерных программ (ст. 273); нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, их системы или сети (ст. 274).

Общий объект указанных преступлений — общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.

Под компьютерной информацией понимают сведения (общения, данные), представленные в форме электрических сигналов, независимые от средств их хранения, обработки и передачи. Документированная информация — это зафиксированные на материальном носителе сведения с реквизитами, позволяющими их идентифицировать. Компьютерная информация является документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя.

К машинным носителям компьютерной информации относят устройства памяти ЭВМ, ее периферийные устройства, компьютерные средства связи, сетевые устройства и сети электросвязи.

На начальном этапе расследования в сфере компьютерной информации, как правило, выделяются следующие следственные ситуации:

  • • преступник известен и задержан;
  • • преступник известен, но скрылся;
  • • преступление совершено, а механизм преступления и преступник неизвестны.

На начальном этапе расследования проводятся следующие следственные действия: осмотр места происшествия, выемка документов, контроль и запись телефонных и других переговоров, допросы подозреваемых, свидетелей, потерпевших и обыски.

При осмотре (обыске, выемке) главное и решающее значение имеет выполнение мероприятий по предотвращению повреждения или уничтожения компьютерной информации. При обнаружении криминалистически значимой компьютерной информации прилагаются к протоколу.

При первом допросе подозреваемых выясняются все обстоятельства подготовки и совершения преступления.

При первых допросах свидетелей и потерпевших необходимо выяснить: какая информация подвергалась вредоносному воздействию; какой вред причинен преступлением; кто имел доступ к компьютерной технике и т.п.

На дальнейшем этапе расследования могут проводиться четыре вида компьютерно-технических экспертиз, а именно:

  • • судебно-аппаратно-компьютерная экспертиза;
  • • судебно-информационно-компьютерная экспертиза;
  • • судебно-программно-компьютерная экспертиза;
  • • судебно-компьютерно-сетевая экспертиза.

По преступления данной категории могут назначаться и другие экспертизы: судебно-трасологические; судебно-экономические; фоноскопические; судебно-технические экспертизы документов и др.

Статья 272 УК РФ устанавливает ответственность, если неправомерный доступ к компьютерной информации привел к таким негативным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.

Уничтожение информации — это такое изменение ее состояния, которое лишает ее первоначального качества, вследствие чего она перестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией — ее видоизменение с появлением новых, нежелательных свойств.

Копирование — это воспроизведение точного или относительно точного аналога оригинала.

При расследовании неправомерного доступа к компьютерной информации следственные задачи решаются в такой очередности:

  • • устанавливается:
    • — факт неправомерного доступа к информации в компьютерной системе или сети,
    • — место несанкционированного проникновения в эту систему или сеть,
    • — время совершения преступления;
  • • определяется:
  • — способ несанкционированного доступа и степень надежности средств защиты компьютерной информации,
  • — лица, совершившие неправомерный доступ, их виновность и мотивы преступления,
  • — вредные последствия содеянного.

Факт неправомерного доступа к информации первыми, как правило, обнаруживают пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности правоохранительных органов. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по уголовным делам.

Признаками несанкционированного доступа или подготовки к нему могут служить:

  • • появление в компьютере искаженных данных;
  • • необновление в течение длительного времени кодов, паролей и других защитных средств компьютерной системы;
  • • увеличение числа сбоев в работе ЭВМ;
  • • участившиеся жалобы пользователей компьютерной системы или сети.

Необходимо выделить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду:

  • • нарушения принятых правил оформления документов и изготовления машинограмм;
  • • лишние документы, подготовленные для обработки на ЭВМ;
  • • несоответствие информации, содержащейся в первичных документах, данным машинограмм;
  • • преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации.

Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного доступа в компьютерную систему или сеть удается установить с немалыми трудностями, ибо таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств, но и для этого приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается в случае несанкционированного доступа к единичному компьютеру. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях, которые тоже подлежат установлению.

Значительно труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые, естественно, не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов. Подлежат выяснению и места хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа устанавливается с помощью программ общесистемного назначения, которые в работающем компьютере обычно фиксируют текущее время. Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда конкретно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме.

Способы преступной деятельности в среде компьютерной информации могут быть разделены на две большие группы. Первая группа преступных действий осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть:

  • • хищение машинных носителей информации в виде блоков и элементов ЭВМ;
  • • использование визуальных, оптических и акустических средств наблюдения за ЭВМ;
  • • считывание и расшифровка различных электромагнитных излучений компьютера и обеспечивающих систем;
  • • фотографирование информации в процессе ее обработки;
  • • изготовление бумажных дубликатов входных и выходных документов, копирование распечаток;
  • • использование визуальных, оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, подслушивание их разговоров;
  • • осмотр и изучение не полностью утилизированных отходов деятельности вычислительных центров;
  • • вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации и получение от них под разными предлогами нужных сведений и др.

Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них.

При установлении лиц, совершивших несанкционированный доступ к закрытой компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых лучше начинать с технического персонала пострадавших компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации и т.д.

Установить виновность и мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, можно лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется:

  • • с какой целью совершен несанкционированный доступ к компьютерной информации;
  • • знал ли правонарушитель о системе ее защиты;
  • • желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компьютерной системе или сети могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютерными программами, а также информацией путем изъятия машинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в компьютерную систему компьютерного вируса, заведомо ложных данных и др.

При определении размера вреда, причиненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных, допросов технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения.

На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >