В.Д. Гавловський,
кандидат юридичних наук
ОСОБЛИВОСТІ МЕТОДИКИ ВИЯВЛЕННЯ ТА РОЗКРИТТЯ ЗЛОЧИНІВ, ЩО ВЧИНЯЮТЬСЯ УГРУПОВАННЯМИ З ВИКОРИСТАННЯМ КОМП'ЮТЕРНИХ ТЕХНОЛОГІЙ
Як свідчить історія розвитку світового науково-технічного прогресу, будь-яка технічна новація, зокрема в галузі засобів комунікації, неминуче притягувала до себе людей, які намагалися і намагаються використати її для вчинення правопорушення, злочину. Особливо це є небезпечним, коли злочин вчиняються формуванням, що має ознаки організованої злочинної групи. Наприклад, поява і розповсюдження телефонного, телеграфного та радіозв'язку дали можливість організованим злочинним угрупованням активно використовувати їх для планування і вчинення антисоціальних діянь. Аудіо-, відеотехніка та телебачення використовуються не тільки як засіб забезпечення безпеки, а й як засіб шантажування, вимагання тощо. Не є винятком з цього також інформатизація та її складова -комп'ютеризація, тобто впровадження комп'ютерних технологій в різні сфери суспільної діяльності.
Комп'ютеризація породила новий вид злочинів, які в теорії і практиці кримінології одержали умовну назву "комп'ютерні злочини". Це в свою чергу викликало потребу осмислення комп'ютерної злочинності як соціального явища і напрацювання відповідних методик боротьби з нею, в тому числі виявлення і розслідування злочинів, що вчиняються з використанням комп'ютерних технологій. Як показує практика оперативно-розшукової діяльності, найбільш небезпечні комп'ютерні злочини вчиняються і досягають злочинної мети після попереднього зговору групою осіб. Проте практика попереднього слідства свідчить, що традиційними засобами без урахування специфіки способу вчинення злочину довести розслідування до суду досить складно.
Виявлення та розкриття комп'ютерних злочинів, особливо таких, що вчиняються організованими злочинними угрупованнями, вимагає спеціальної фахової освіти і високого інтелектуального рівня працівників правоохоронних органів, їм потрібно мати добрі знання не тільки в галузі права, айв галузі інформатики. У зв'язку з цим виникла потреба у формуванні таких двох нових наукових дисциплін, як інформаційне право та правова інформатика. На межі цих наукових дисциплін виникла нова -захист інформації в автоматизованих (комп'ютерних) системах. На жаль, система підготовки кадрів для правоохоронних органів, зокрема у вищих навчальних закладах МВС України, ще не готова в необхідному обсязі задовольнити потреби практики щодо боротьби з комп'ютерною організованою злочинністю. Причинами цього можна назвати відсутність відповідних спеціальних цільових навчальних програм, навчально-методичних матеріалів, посібників, підручників, а головне - недостатність технічного оснащення комп'ютерною технікою і новітніми інформаційними технологіями відомчих навчальних закладів правоохоронних органів. В аспекті останнього як рудимент - у нас ще діють нормативи, за якими навчання передбачає одночасну роботу двох і більше слухачів (курсантів, студентів) на одному персональному комп'ютері (автоматизованому навчальному місці). З огляду на такі обставини навчання і здобуття фахівцями навичок щодо боротьби з комп'ютерною злочинністю здійснюються фактично після закінчення навчального закладу шляхом одержання досвіду методом проб і помилок. Це, звичайно, дорого коштує суспільству і державі. Можливо, саме ці фактори є однією з причин низького рівня виявлення і розкриття комп'ютерних злочинів в Україні, особливо таких, що вчиняються організованими злочинними угрупованнями.
Дослідження свідчать, що комп'ютерна організована злочинність визначається високою вірогідністю соціальної небезпеки, складністю виявлення, встановлення вини і збирання доказів. Особливістю комп'ютерних злочинів є й те, що вони можуть вчинятися з використанням засобів комунікацій віддаленого доступу, що не потребує присутності правопорушника на безпосередньому місці вчинення злочину (в традиційному розумінні). Останнім часом спостерігається тенденція до зрощення комп'ютерної злочинності з традиційною організованою злочинністю, інтернаціоналізації цього виду злочинів. Це знаходить свій прояв у несанкціонованому проникненні в банківські кредитно-розрахункові комп'ютерні системи, електронну торгівлю, зокрема через Інтернет, в тому числі шахрайстві з магнітними картками тощо. В той же час широкий загал працівників практичних правоохоронних органів, особливо низової ланки управління (міськрайорганів), недостатньо обізнаний з методиками виявлення і документування таких злочинів.
Особливістю комп'ютерних злочинів, що вчиняються групою осіб, є обов'язкова присутність такого специфічного учасника злочинної групи як хакер (фрікер, крекер тощо). Цим жаргонним терміном називають особу, яка володіє знаннями і навичками несанкціонованого проникнення до комп'ютерної системи. Вона є основним виконавцем цього злочинного діяння. Останнім часом у засобах масової інформації почали з'являтися повідомлення про зв'язок окремих хакерів з традиційною організованою злочинністю1 . В таких випадках злочини: співтовариства переважно виступають у ролі замовників і забезпечують виконавців необхідною новітньою технікою, організують прикриття, через підставних осіб конвертують одержані злочинним шляхом "електронні" гроші з банківських рахунків у готівку чи товар, виконують іншу роботу.
Як свідчать дослідження, за змістом організації злочинні угруповання у сфері комп'ютерної злочинності можна поділити на два види.
Перший - напіворганізовані групи. Вони діють у сфері застосування електронних платежів (шахрайство за користування телефонними послугами, несанкціоноване проникнення в автоматизовані бази даних). До їх складу, як правило, входять особи, що одержали незаконним способом доступ до комп'ютерної мережі (технічний, програмно-математичний, кредитні картки тощо). Вони намагаються залучити в злочинну діяльність працівників легітимних організацій, які мають доступ до відповідних комп'ютерних систем (торгових підприємств, частіше касирів, працівників банків тощо). Учасники цих груп звичайно добре обізнані з основами системи розрахунків. Кількісний склад може бути різним - від двох і більше. Часом такі групи складаються тільки з працівників організацій або осіб, що працювали в них. Як показує практика, ними вчиняється найбільша кількість із загального числа комп'ютерних злочинів.
Другий вид - професійні злочинні угруповання. Організатори цих угруповань володіють глибокими знаннями у сфері інформатики, обчислювальної (комп'ютерної) техніки, а також характеризуються високим професіоналізмом у вчиненні таких злочинів. При цьому спостерігається чітко спланований розподіл ролей, обов'язків між членами групи. Наприклад, у сфері застосування кредитних карток одні спеціалізуються на викраданні карток, інші - на підробці підписів, треті - на реалізації - одержанні готівки чи здійсненні платежів і т. ін. Кожний учасник групи одержує попередньо встановлений відсоток винагороди за "вдале" досягнення злочинної мети.
Злочини, що вчиняються цими групами, можна умовно розділити на два підвиди:
1) такі, що вчиняються вітчизняними організованими групами;
2) такі, що вчиняються міжнародними (трансграничними, транснаціональними) організованими групами. Останні, крім ролів і обов'язків, розподіляють також місця вчинення кримінальних дій у масштабах різних країн (сфери діяльності). Наприклад, крадіжка кредитних карток вчиняється в США, а пред'явлення до оплати - в Україні, чи навпаки, або ж в третій країні.
Переважно безпосередніх виконавців, причетних до вчинення комп'ютерного злочину, встановлюють у момент одержання ними готівки чи товарів. При їх допиті насамперед слід з'ясувати: хто разом з ними використовував комп'ютерну техніку в корисливих цілях; скільки разів і з рахунків яких організацій знімалися гроші, в який спосіб; кому передавалися і як розподілялися гроші між співучасниками злочину.
Зрозуміло, не завжди затримані "з доказами" охоче називають своїх спільників. Так, по одній з кримінальних справ затриманий у момент одержання (в шістнадцятий раз!) незаконно нарахованих грошей у готівці з одного із своїх рахунків протягом усього слідства і судового розгляду так і не сказав, хто безпосередньо використовував банківську комп'ютерну систему для розкрадання грошей. При затриманні в нього було вилучено шість паспортів на різних осіб, але з його фотографією, які він пред'являв в банку, коли одержував гроші. Свої дії пояснював тим, що нібито невідомий примушував робити це і йому він віддавав усі гроші. Які-небудь стосунки з працівниками банку він у своїх поясненнях заперечував категорично. Про прикмети інших осіб, що нібито його переслідували, давати відомості відмовився. Затриманий пояснював свою поведінку якимось телепатичним впливом на нього з боку позначеної ним умовно особи. Цієї версії він додержувався до кінця судового процесу. І в результаті засуджений був тільки він один.
Судово-психіатрична експертиза встановила, що дані обвинуваченим пояснення носять симулятивний характер. Висновки про його осудність і наявність корисливих мотивів базувалися на вилучених при обшуку за місцем проживання чорнових записів. Це не залишало сумнівів у тому, що саме він тривалий час тренувався в підробленні підписів певних осіб (це підтверджували виявлені в нього паспорти), а також вилучених бланків різних організацій, що використовувалися як фіктивні документи, необхідні для одержання грошей у банку.
Організатора цього злочину допомогли встановити лише комплексна судово-бухгалтерська експертиза та експертиза комп'ютерного програмного забезпечення. Саме вони привели до висновку - найбільшою інформацією, а отже, і можливостями щодо внесення змін у дані, збережені в пам'яті ЕОМ, володіє начальник відділу автоматизації операцій. До речі, він сховався від слідства і суду відразу ж після затримання з доказами згаданої особи. Його було оголошено в розшук [2].
У разі, коли підозрювані або обвинувачувані не бажають називати співучасників, рекомендується використовувати поліграф за допомогою спеціаліста. Це дає можливість одержати орієнтовну інформацію для планування наступних слідчих дій з метою одержання на цій основі офіційних процесуальних доказів. Висновок про наявність наміру на заволодіння чужим майном, заздалегідь обдуманого наміру вчинити розкрадання коштів через використання комп'ютерної системи може бути зроблений на основі аналізу всієї множини доказів.
Факт неправомірного доступу до інформації в автоматизованій (комп'ютерній) системі чи мережі, як правило, виявляється: користувачами автоматизованої інформаційної системи, що стали жертвою цього правопорушення; в результаті оперативно-розшукової діяльності правоохоронних органів; при проведенні ревізій, інвентаризацій та перевірок; при проведенні судових експертиз та слідчих дій з кримінальних справ по інших злочинах; за інших обставин.
Для встановлення фактів неправомірного доступу в комп'ютерну систему до складу робочої групи доцільно залучати фахівців, які мають відповідні знання та навички в галузі комп'ютерних технологій: ревізорів, спеціально підготовлених працівників оперативно-розшукових апаратів, інженерів-програмістів (системних програмістів), інженерів-електронників.
Ознаками несанкціонованого доступу або підготовки до нього можуть бути такі обставини: поява у комп'ютері неправдивих даних; неоновлення тривалий час в автоматизованій інформаційній системі кодів, паролів та інших захисних засобів; часті збої в процесі роботи комп'ютерів; часті скарги користувачів комп'ютерної системи чи мережі на збої в її роботі; робота декого з персоналу понад норми робочого часу без поважних на те причин; немотивовані відмови від відпусток окремих співробітників, які обслуговують комп'ютерні системи чи мережі; раптове придбання співробітником у власність дорогого комп'ютера чи іншого дорогого майна ("не по заробітку"); часті випадки перезапису окремих даних без поважних на те підстав; надмірна зацікавленість окремих співробітників змістом документів (листингів), що виходять з принтерів, роздруковуються на папері після комп'ютерної (машинної) обробки тощо.
Окремо слід виділити ознаки неправомірного доступу, які стосуються ухилення від встановлених порядку і правил роботи з документами: порушення встановлених правил оформлення документів, у тому числі виготовлення машинограм, роздрукування на папері інформації з комп'ютерної системи; повторне введення однієї й тієї ж самої інформації до бази даних автоматизованих (комп'ютерних)систем; наявність зайвих документів серед тих, що підготовлені для обробки на комп'ютері; відсутність первинних документів, що стали підставою для запису повторної документації (вторинних документів); умисна втрата чи до строкове знищення первинних документів та машинних носіїв інформації; внесення недостовірної інформації (дезінформації) у реєстраційні документи.
Для фактів несанкціонованого доступу до інформації, що стосуються внесення неправдивих відомостей у документи, в автоматизованих (комп’ютерних) системах характерні такі ознаки: суперечності (логічного чи арифметичного змісту) між реквізитами того чи іншого бухгалтерського документа; невідповідність даних, що містяться у первинних документах, даним машинограм та автоматизованій базі даних; суперечності між різними примірниками бухгалтерських документів або документами, що відображують взаємопов'язані господарські операції; невідповідність взаємопов'язаних облікових даних у різних машинограмах чи в базах даних; невідповідність між даними бухгалтерського та іншого виду обліку.
При цьому слід мати на увазі, що зазначені ознаки можуть бути наслідком не тільки зловживання, а й інших причин, зокрема випадкових помилок чи збоїв комп'ютерної техніки.
Вирішення завдання встановлення місця несанкціонованого доступу до комп'ютерної системи чи мережі викликає певні труднощі, бо таких місць може бути декілька. При встановленні факту неправомірного доступу до інформації у комп'ютерній системі чи мережі слід виявити місця, де розміщені комп'ютери, що мають єдиний комунікаційний зв'язок.
Простіше це завдання вирішується у разі несанкціонованого доступу до окремих комп'ютерів, що знаходяться в одному приміщенні. Однак при цьому необхідно враховувати, що інформація на машинних носіях може знаходитися в іншому приміщенні (за наявності локальної комп'ютерної мережі), що теж слід встановлювати.
Складніше встановити місце безпосереднього застосування технічних засобів несанкціонованого доступу, який був здійснений за межами організації, через систему електронної комунікації тощо. Для цього необхідно залучати фахівців, що мають спеціальні прилади та комп'ютерні програмні засоби виявлення несанкціонованого доступу. Встановленню підлягає також місце зберігання інформації на машинних носіях або у вигляді роздруквок, одержаних у результаті неправомірного доступу до комп'ютерної системи чи мережі.
За допомогою комп'ютерних програм загальносистемного призначення у працюючому комп'ютері звичайно встановлюється поточний час роботи комп'ютерної системи. Це дозволяє за відповідною командою вивести на екран дисплею інформацію про день і час виконання тієї чи іншої операції. Якщо ці дані введені, то при вході до системи чи мережі (у тому числі й несанкціонованому), час роботи на комп'ютері будь-якого користувача і час виконання конкретної операції автоматично фіксуються в оперативній пам'яті та відображуються (фіксуються), як правило, у вихідних даних на дисплеї, листінгу, дискеті чи вінчестері.
З огляду на це час несанкціонованого доступу можна встановити шляхом огляду комп'ютера, роздруківок чи змісту інформації на дискетах. Огляд доцільно виконувати за участю фахівця у галузі комп'ютерної техніки та технологій (програміст-математик, інженер-електронник). Необережне поводження або дії недосвідченої особи можуть випадково знищити інформацію, яка знаходиться в оперативній пам'яті комп'ютера або на дискеті. Слід також враховувати, що в деяких комп'ютерних системах (за відсутності досвідченого фахівця - системного адміністратора комп'ютерної системи) не стежать за корегуванням часу у вмонтованому в комп'ютер електронному годиннику. Це є характерним тоді, коли користувачі комп'ютерної системи не обізнані з тим, як це робиться і коли час роботи комп'ютера не грає ролі в роботі організації.
В такому разі час неправомірного доступу до комп'ютерної системи можна встановити шляхом опитування свідків з числа співробітників організації, де було встановлено цей факт. При цьому потрібно з'ясувати, в який час кожний з них працював на комп'ютері, якщо це не було зафіксовано автоматично чи в журналі обліку роботи на комп'ютері (якщо він є).
Для вчинення несанкціонованого доступу в комп'ютерну систему застосовуються різноманітні способи: використання чужого імені; підбирання паролю; знаходження і використання прогалин у комп'ютерній програмі; інші способи подолання захисту комп'ютерної системи. Нерідко злочинні формування для одержання інформації про доступ до комп'ютерної системи використовують підкуп, шантаж працівників організації-жертви або здійснюють комплекс розвідувальних заходів. Такі факти можуть слугувати сигналом про підготовку до вчинення злочину.
Конкретний спосіб несанкціонованого доступу можна встановити таким чином: шляхом опитування свідків (очевидців) з числа осіб, що обслуговують систему; при можливості - опитати розробників комп'ютерного програмного забезпечення, технології комп'ютерної системи. У зазначених осіб з'ясовується: яким чином правопорушник міг подолати засоби захисту цієї системи; яким чином він міг дізнатися про ідентифікаційний номер законного користувача, код, пароль доступу; з яких можливих джерел він міг одержати відомості про засоби захисту (із наукових публікацій, Інтернету тощо).
Спосіб несанкціонованого доступу може бути встановлений також у ході проведення досліджень спеціалістами, інформаційною техніко-технологічною експертизою.
Для з'ясування цих питань експерту надаються такі матеріали: проектна документація на систему, що досліджується (якщо така є); наявні дані про її сертифікацію; інші матеріали на його запит. При проведенні таких видів експертиз рекомендується використовувати комп'ютерне обладнання тієї ж системи, до якої проник правопорушник, а також такі ж спеціальні комп'ютерні програми.
При вирішенні завдання щодо встановлення способу несанкціонованого доступу до комп'ютерної системи може бути проведено відтворення обстановки та обставин події відповідно до Кримінально-процесуального кодексу України з метою перевірки можливості подолання засобів захисту комп'ютерної системи одним із передбачуваних способів. Його метою може стати й перевірка можливості появи на екрані дисплею інформації з обмеженим доступом або її роздруківка внаслідок помилкових (неумисних) дій оператора чи в результаті випадкового технічного збою роботи комп'ютерного устаткування.
Осіб, які стали співучасниками злочину, в першу чергу рекомендується шукати серед працівників організації, що зазнала несанкціонованого проникнення до її комп'ютерної системи, мережі, а саме: технічного персоналу організації, в тому числі фахівців по ремонту техніки; розробників відповідних систем; керівного складу організації;
операторів, адміністраторів автоматизованої системи, програмістів, інженерів зв'язку; фахівців по захисту інформації; охоронців; інших осіб, що могли мати або мають доступ до комп'ютерної системи.
Практика свідчить, що чим складніший у технічному відношенні спосіб проникнення до комп'ютерної системи (мережі), тим легше виділити підозрювану особу, оскільки коло фахівців, які мають відповідні знання та здібності, як правило, досить обмежене.
Встановленню причетності конкретної особи, яка вчинила несанкціонований доступ до комп'ютерної системи, можуть сприяти різноманітні матеріально фіксовані відображення, які виявляються іноді при огляді комп'ютера та його компонентів. Для цього необхідно здійснити такі заходи: зняти відбитки пальців рук у персоналу організації; вилучити і дослідити окремі записи, в тому числі на зовнішній упаковці дискет; за допомогою фахівця та відповідних комп'ютерних програм перевірити записи на дискетах і дисках (вінчестері), стримері (якщо він застосовувався для створення копій даних з вінчестера) тощо.
Можуть призначатися також такі криміналістичні експертизи: дактилоскопічна, почеркознавча, технічна.
Для встановлення осіб, зобов'язаних забезпечувати додержання режиму доступу до комп'ютерної системи чи мережі, слід насамперед ознайомитися з наявними інструкціями щодо її експлуатації, функціональних прав та обов'язків, котрі передбачають повноваження посадових осіб, відповідальних за захист інформації. Після цього слід провести їх опитування (допити). В ході зазначених дій щодо осіб, які обслуговують комп'ютерну систему, встановлюються: можливі факти та особи, які здійснювали чи могли здійснити запуск позаштатних комп'ютерних програм; чи було це зафіксовано будь-яким засобом (приладами, відповідною комп'ютерною програмою). Слід також з'ясувати: хто має навички створення комп'ютерних програм; хто займається створенням комп'ютерних програм; хто навчається на курсах створення комп'ютерних програм.
У осіб, які підозрюються у неправомірному доступі до комп'ютерної системи, за наявності достатніх підстав робиться обшук, в результаті якого можуть бути виявлені: комп'ютери різних конфігурацій, принтери, засоби телекомунікаційного зв'язку з комп'ютерними мережами (модеми) тощо; записні книжки (в тому числі сучасні електронні - органайзери) із записами, які можуть служити доказами у справі); магнітні диски, що містять записи, які можуть мати значення у справі. До відомостей, що можуть мати значення для слідства, можуть належати записи кодів, паролі, ідентифікаційні номери користувачів конкретної комп'ютерної системи, а також дані про її користувачів.
У ході обшуку слід звертати увагу на літературу, методичні матеріали щодо комп'ютерної техніки та програмування. До проведення обшуку і подальшого огляду речових доказів доцільно залучати фахівця, який володіє знаннями і може прочитати інформацію, що міститься на машинних носіях або у пам'яті вилученого комп'ютера, записи символів, в тому числі на паперових носіях інформації.
В Україні не існує офіційної функціональної структури, яка б проводила інформаційно-технологічну експертизу комп'ютерних систем на зразок, наприклад, судово-медичної чи інших. Це в свою чергу обумовлює відсутність методик проведення експертизи щодо використання комп'ютерних технологій в злочинних цілях, підготовки відповідних фахівців-експертів. А звідси - і низька якість розслідувань комп'ютерних злочинів. Ця проблема потребує вирішення на державному рівні.
Практика показує, що нерідко організована комп'ютерна злочинність має транскордонний характер. Для розкриття таких злочинів потрібна оперативна (швидка) взаємодія на високому технічному і технологічному рівнях правоохоронних органів різних країн. В контексті цього як особливу проблему слід зазначити, що в різних країнах існують розбіжності щодо кваліфікації злочинів і процесуальної процедури провадження. У зв'язку з цим постає проблема міжнародної уніфікації законодавства щодо боротьби з комп'ютерною злочинністю (на зразок Європейського співтовариства) у всьому світі та створення спеціальних підрозділів боротьби з організованою комп'ютерною злочинністю.
1.Какоткин А Компьютерные взломщики //АиФ. -1997. -№8; Кузнецов Л. Компьютерные мошенничества // Цо оперативним сводкам УВД. -1996. -№19.
2.Пособие для следователя. Расследование преступ-лений повьішенной общественной опасности/ Под ред. Н.А. Селиванова й А.Й. Деоркина. - М., 1998. -С.398.