^macro[html_start;Некоторые аспекты расследования компьютерных преступлений;Некоторые аспекты расследования компьютерных преступлений;Некоторые, аспекты, расследования, компьютерных, преступлений] ^macro[pagehead;img/library.gif] ^macro[leftcol] ^macro[centercol;


Белоусов Андрей
Crime-research.org

Некоторые аспекты расследования компьютерных преступлений

Andrey Belousov Борьба с компьютерными преступлениями для современного общества, насыщенного информационными компьютерными технологиями, стала одной из первоочередных задач. Результаты опросов, изучение материалов судебных слушаний, наблюдения ученых позволяют утверждать, что перед мировым сообществом встали серьезные проблемы в этой сфере. В развитых странах уровень киберпреступности измеряется тысячами правонарушений, а экономический ущерб составляет миллиарды долларов США.

Американские эксперты обнародовали интересную статистику. В США средняя стоимость ущерба составляет: от одного физического ограбления банка - 3,2 тыс. долл.^; от одного мошенничества - 23 тыс. долл.^; от одного компьютерного хищения - 500 тыс. долл.

И все это усложняется несовершенством законодательства и государственной системы борьбы с компьютерными преступлениями [1].

Таким образом, принимая во внимание увеличение роли компьютерных информационных систем в жизни общества, масштабов их использования для обработки информации с ограниченным доступом в органах государственной власти и управления, популярность глобальной компьютерной сети Интернет, встает насущная проблема защиты этих систем и обработанной информации от преступных посягательств, связанных с хищением, искажением или уничтожением компьютерной информации, неправомерным использованием компьютеров, а также умышленным нарушением их работы.

Виталий Козлов считает целесообразным к числу компьютерных преступлений отнести как преступления в сфере компьютерной информации, либо ее защиты, так и преступления, совершаемые с использованием компьютерных технологий [2]. Такое определение, по нашему мнению, наиболее полно соответствует рекомендациям экспертов ООН, и охватывает любое преступление, которое может совершаться с помощью компьютерной системы или сети, в рамках компьютерной системы

Расследование компьютерных преступлений существенно отличается от расследований других “традиционных” преступлений. Изучение уголовных дел этой категории дает основание полагать, что одной из существенных причин низкого качества следствия является отсутствие систематизированных и отработанных методик расследования компьютерных преступлений, а также ошибки, которые совершаются при проведении следственных действий в отношении компьютерной информации либо самих компьютеров [3].

На первый взгляд кажется, что компьютерные преступления могут быть расследованы в соответствии с традиционным законодательством, относящимся к краже, растрате, нанесению вреда собственности и т.д. Однако несоответствие традиционного уголовного законодательства в применении к этой новой форме преступления становится очевидным, как только мы попытаемся установить наличие всех элементов состава традиционного преступления, совершенных с помощью ЭВМ. Например, если злоумышленник вошел в помещение, где расположена ЭВМ, незаконно или с преступной целью, тогда закон может быть применен традиционно. Если преступник вошел в помещение, где находится ЭВМ, для того, чтобы причинить вред материальной части машины, украсть программу, то одно лишь вторжение с незаконным намерением будет достаточным для предъявления обвинения по делу. Однако если лицо пытается получить доступ к данным, внесенным в память ЭВМ для того, чтобы похитить ценную информацию, хранящуюся в ЭВМ, предъявление обвинения, в соответствии с традиционным законом, вряд ли будет возможным. Доступ может быть получен через дистанционный терминал, установленный на дому у преступника или посредством секретного телефонного кода. Также не всегда возможно доказать, как того требует закон, что имело место какое-либо изъятие собственности. Например, компьютерная программа может быть "считана" с отдаленного компьютерного терминала. Такое изъятие не затрагивает элементов материальной реализации ЭВМ и может даже не затронуть программное обеспечение, т.к. закодированная информация может быть только списана (т.е. скопирована) где-либо еще, по-прежнему оставаясь в ЭВМ. Требования обычного права к такому составу преступления, как хищение, а именно, чтобы обязательно имело место "изъятие", — неадекватно по отношению к современным методам копирования и хищения информации, которые не изменяют оригинала и не изымают его физически из владения.

Рассмотрим основные проблемы, с которыми придется столкнуться следователю или эксперту.

Кому-то покажется странным, но одной из самых больших сложностей может оказаться установление факта совершения преступления. Это связано с тем, что внешние проявления компьютерного преступления обычно несколько скромнее, чем при ограблении продуктовой лавки. Действительно, при компьютерных преступлениях редко наносится какой-либо видимый материальный ущерб. Например, незаконное копирование информации чаще всего остается необнаруженным, введение в компьютер вируса обычно списывается на непреднамеренную ошибку пользователя, который не смог его "отловить" при общении с внешним компьютерным миром.

Ввиду сложности математического и аппаратного обеспечения уровень раскрываемости компьютерных преступлений в настоящее время довольно низок. Более того, даже при очевидно корыстных преступлениях пострадавшие часто не торопятся заявлять в правоохранительные органы. Иногда виновные просто увольняются или переводятся в другие структурные подразделения. Отказ от уголовного преследования ведет к отсутствию общего предупреждения, более того, он как бы приглашает других попробовать свои возможности. Не следует, однако, всегда осуждать за это жертву - ее поведение часто определяет сложный комплекс проблем. Понимание этого может помочь как потенциальной жертве, так и правоохранительным органам.

Механизмы совершения преступлений, связанных с автоматизированными системами обработки информации, подчас скрыты от потерпевших, которыми являются акционеры фирм. Кроме того, факт утечки информации может быть скрыт с помощью электронных средств до того, как это будет выявлено.

В раскрытии факта совершения преступления очень часто не заинтересованы должностные лица, в обязанности которых входит обеспечение компьютерной безопасности. Признание факта несанкционированного доступа в подведомственную им систему ставит под сомнение их профессиональную квалификацию, а несостоятельность мер по компьютерной безопасности, принимаемых руководством, может вызвать серьезные внутренние осложнения.

Банковские служащие, как правило, тщательно скрывают обнаруженные ими преступления, которые совершены против компьютеров банка, так как это может пагубно отразиться на его престиже и привести к потере клиентов.

Некоторые жертвы боятся серьезного, компетентного расследования, потому что оно может вскрыть неблаговидную или даже незаконную механику ведения дел.

Жертвы часто опасаются, что страховые компании увеличат размер страховых взносов (или откажутся от возобновления страхового полиса), если компьютерные преступления становятся для этой организации регулярными.

Пострадавший может отказаться от расследования, опасаясь, что его финансовые и другие служебные тайны могут стать достоянием гласности во время суда.

Зарубежные прокуроры и следователи отмечают, что документы, представленные им пострадавшими от компьютерных преступлений, часто оказываются недостаточными для предъявления обоснованных обвинений.

Если преступления, связанные с коммерческой деятельностью, традиционно измерялись минутами, часами, сутками и неделями, то некоторые преступления в сфере использования автоматических систем измеряются в долях секунды.

Интересным аспектом финансовых компьютерных преступлений является сложность определения причиненного ущерба. Примером может служить дело Шнейдера по электронному ограблению Тихоокеанской телефонной компании. На следствии он заявил, что украл около одного миллиона долларов, а, по заявлению компании, было украдено не более ста тысяч долларов.

Очень часто расследование компьютерных преступлений является делом весьма дорогостоящим. Иногда организации не желают увеличивать свои потери добавлением к ущербу расходов на расследование. Зная свои ограниченные материальные ресурсы, жертвы отказываются от идеи раскрыть преступление.

Известно, что, будучи разоблаченными, компьютерные преступники во многих странах отделываются легкими наказаниями, зачастую - условными приговорами. Для жертв это является одним из аргументов за то, что даже заявлять о преступлении нет особого смысла.

Таким образом, уже на самых первых этапах следствия правоохранительные органы бывают лишены поддержки сотрудников пострадавшей организации.

Еще одной немаловажной проблемой, которая затрудняет следствие, является то, что компьютерные преступления, по сравнению с традиционными видами преступлений, общественным мнением зачастую не рассматриваются как серьезная угроза.

Обыватель обычно воспринимает компьютерного пирата как умную и интересную личность, а жертву как жадную и глупую. Поэтому общественность редко льет слезы по поводу ущерба организаций, пострадавших от компьютерных преступлений, а сами они не спешат выставлять себя на посмешище [4].

Раскрытие компьютерного преступления часто бывает связано с чистой случайностью. Однажды сотрудник вычислительного центра, который обслуживал несколько нефтяных компаний, обратил внимание, что у одного из клиентов перед тем, как загорится световой индикатор записи, всегда долгое время светится индикатор считывания. Проведенное расследование показало, что этот человек занимался промышленным шпионажем и продавал данные компании компаниям-конкурентам

Безусловно, хороший следователь, ведущий дела по компьютерным преступлениям, должен быть и прекрасным программистом или, по крайней мере, разбираться в нюансах использования и возможностях вычислительной техники. К сожалению, таких специалистов не так уж много и среди программистов, а уж среди следователей и подавно.

Однако не следует думать, что раскрытие компьютерных преступлений немыслимо сложно и является уделом избранных. На самом деле есть несколько факторов, которые в определенной степени упрощают эту задачу. Основным фактором, упрощающим расследование, обычно является сильно ограниченный круг лиц, которые в принципе могли бы совершить данное преступление. На белом свете проживает значительно большее число людей, способных оторвать трубку в телефоне-автомате, чем людей, способных изобрести и распространить компьютерный вирус.

Исследования преступных действий, имеющих отношение к несанкционированному использованию компьютерных систем информации, выявили, что большая часть подобных преступлений была совершена лицами, имевшими разрешение пользоваться этими системами, людьми, которые достаточно хорошо знали режим работы системы и сумели использовать возможности этой системы в корыстных целях.

Каждый программист знает, что если он обнаружил исправления в своей программе, изменение пароля при входе в библиотеку, неудачно снятую копию или восстановление архива, то он, как правило, найдет, кому предъявить претензии.

Если же речь идет о таких технически сложных действиях как несанкционированный доступ в тщательно закрытую систему, подделка информации, установка "логической бомбы" в отлаженной программе, то специалистов, которые имеют достаточную квалификацию для такой акции, в каждом вычислительном центре можно перечислить по пальцам.

Таким образом, здесь возникает парадокс - чем хитрее компьютерное преступление, тем легче «вычислить» преступника.

Другим фактором, облегчающим расследование, является то, что практически все крупнейшие компьютерные центры оснащены системами протоколирования действий оператора. Как правило, снятие журнала оператора входит в должностные инспекции обслуживающего персонала.

Например, специалистам Корнельского университета удалось путем раскрытия архива парольных слов, использовавшихся для входа в систему, выявить лицо, которое ввело компьютерный вирус в общенациональную сеть телефонной связи, объединяющей военные, промышленные и научные организации. Системы предупреждения несанкционированного доступа фиксируют все попытки такого рода.

Отсюда следует, что технические средства защиты компьютеров могут сыграть немаловажную роль и в раскрытии компьютерных преступлений. Мы не будем останавливаться на технических методах расследования, которые может использовать следователь-программист [5]. Отметим только, что их придумано уже достаточно много. Здесь и программы, ищущие места несовпадения эталонного и реального текстов одной и той же программы, программы поиска ключевых слов, выражений и цифровых комбинаций, программы-индикаторы изменений в системе, программы-антивирусы и др.

Раскрытие компьютерных преступлений сильно затруднено из-за того, что безошибочных программ не бывает и на ошибки компьютера очень удобно списать попытки преступления. Так, банк "Юнайтеддайм сервинг" стал жертвой проведенных им мероприятий по исправлению ошибок, когда их использовал старший кассир и изменил баланс крупных неактивных счетов. Он попросту пересмотрел и исправил их, чтобы отразить в них сумму, оставшуюся на счете после того, как он наведался в банковское хранилище. Когда его внимание привлекли индивидуальные недостачи, он определял проблему как ошибки, допущенные компьютером. Он исправлял ошибки и покрывал недостачи, переводя их с других счетов. Присвоение 1,5 млн. долларов было обнаружено не ревизорами, а ФБР, представившим доказательство, что он пускал в оборот суммы до 300 тыс. долларов ежедневно.

Тот же автор отмечает, что из 63 ошибок, допущенных банковским компьютером, о которых стало известно, ни одна не была допущена в пользу клиента. Очевидно, что это не простая случайность. Преступников, однако, не оказалось.

Другой проблемой для следователя является весьма частое совмещение профессий при эксплуатации вычислительной техники. Зачастую бухгалтер сам является и программистом, и оператором. В результате взаимные проверки исключаются, возможность злоупотреблений возрастает, а следовательские действия становятся более трудными.

На основе данных, полученных в ходе анализа отечественной и зарубежной специальной литературы и публикаций в периодической печати по вопросам теории и практики борьбы с компьютерной преступностью [6], нами выделяются три основные группы мер предупреждения компьютерных преступлений, составляющих в своей совокупности целостную систему борьбы с этим социально опасным явлением, а именно:

1) правовые^;
2) организационно-технические^;
3) криминалистические.

При расследовании компьютерных преступлений часто возникает проблема в проведении обычных следственных действий, как, например, обыск и сбор вещественных доказательств. Действительно, обыск компьютера несколько отличается от обыска квартиры. И дело здесь не в том, что они мало похожи, а в том, что залезть в память компьютера и найти там какие-либо программы, коды и т.п. можно только с помощью других программ, которые, в принципе, вносят изменения в информационное содержимое компьютера. Таким образом, недобросовестный следователь всегда имеет возможность найти в компьютере то, что ему нужно, и приглашенные на обыск понятые ему вряд ли помешают. В то же время недостаточно грамотный следователь при попытке копирования сам может уничтожить улики преступления.

Почти аналогично стоит вопрос и со сбором доказательств. Можно ли полученную при обыске распечатку или информацию на магнитных носителях рассматривать как доказательство?

Cегодня электронный документ активно присоединился к структуре документированной информации. В российском законодательстве он определен как документ, в котором информация представлена в электронно-цифровой форме. Насчет доказательной силы такого документа сказано, что он может быть письменным доказательством при условии, если можно установить его истинность. То есть, возможность суда произвести определенную проверку или экспертизу – главный критерий допустимости подобных документов как доказательства в суде. Возникла необходимость в некотором «показателе подтверждения» истинности информации.

Проблема была решена с помощью системы электронной цифровой подписи (ЭЦП), являющейся реквизитом электронного документа, который защищает его от подделки. Он получается в результате криптографического преобразования информации с использованием закрытого ключа, позволяющего идентифицировать собственника, а также устанавливает отсутствие искажения информации в электронном документе.

Действие электронного документа, скрепленного электронной подписью, обусловлено наличием в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдением установленного режима его использования.

Открытым на сегодня остается вопрос проведения экспертизы электронного документа. В соответствии с процессуальным законодательством, для решения ряда вопросов, по ходатайству одной из сторон, суд вправе назначить экспертизу. Дело в том, что в случае отказа каждой из сторон от документа, являющегося предметом спора, проведение квалифицированной экспертизы не представляется возможным. А невозможность проведения экспертизы является ничем иным, как лишением суда права назначения экспертизы и, соответственно, невозможностью сторон полноценно защищать свои интересы.

Не урегулирован пока в полной мере, но уже имеет определенные перспективы, вопрос о предоставлении суду электронных копий традиционных документов.

Для того чтобы распечатку можно было признать доказательством, нужно, чтобы она снималась только с помощью специально паспортизованных программ, которые прошли соответствующий контроль на защиту от возможности внесения изменений в распечатываемую (или копируемую) информацию. При этом в уголовно-процессуальном законодательстве должны быть четко определены процедуры проведения таких действий, как снятие копии с машинных носителей и распечатка информации. До тех пор пока этот вопрос не будет решен, суд, по-видимому, не должен принимать такие документы в качестве доказательств.

Обратим внимание еще на одну особенность, связанную с раскрытием компьютерных преступлений - алиби подозреваемого. После совершения преступления, удалив протокол работы ЭВМ, преступник может подделать компьютерную информацию с целью изменения времени совершения операции или кода пользователя. По-видимому, к такого рода алиби суды должны относиться не с большей степенью доверия, чем к доказательствам вины подозреваемого, полученным с помощью копирования и распечатки машинной информации.

В заключение отметим, что эффективная борьба с преступностью в сфере использования компьютерных технологий предусматривает оптимальное сочетание правовых и профилактических мер, кропотливую работу по усовершенствованию криминального законодательства, разработку норм, которые устанавливают ответственность за преступления в сфере компьютерной информации, и реально применяются в практической деятельности.

1.Баранов О. Цифрове законодавство // Дзеркало тижня. - № 20 (395. - 1 - 7 червня 2002 р.).

2.Козлов В. "Computer Crime" Что стоит за названием? (криминалистический аспект). – http / www.crime-research.org/library/Ccrime.html.

3.Голубев В. Некоторые вопросы расследования компьютерных преступлений. - Выступление 26 февраля 2003 г. на Southeast Cybercrime Summit в Атланте США. - Crime-research.org.

4.Голубев В. Криминалистическая характеристика субъектов преступной деятельности в сфере использования компьютерных технологий. - http/ www.crime-research.org/library/Golubev0104.html.

5.О защите информации и классификации мер защиты см.: Нечаев А.В. Некоторые аспекты защиты информации // Персональный компьютер на службе криминальной милиции и следствия. Возможности и перспективы. - М., 1997. - С. 58-64.

6.Голубев В.А. Информационная безопасность: проблемы борьбы с киберпреступлениями. – Запорожье: ГУ "ЗИГМУ", 2003. – 220 с.


^macro[showdigestcomments;^uri[];Некоторые аспекты расследования компьютерных преступлений]

] ^macro[html_end]