В.Е. Козлов,
кандидат юридических наук,
доцент Академии МВД Республики Беларусь
оценка современного состояния теории и практики
предупреждения, раскрытия и расследования
компьютерных преступлений
Практика борьбы с компьютерной преступностью в Республике Беларусь ставит перед правоохранительными органами страны ряд проблемных теоретико-прикладных вопросов, нуждающихся в комплексном разрешении с участием практических работников и представителей юридических, технических и иных отраслей науки.
1. Вопрос толкования термина «компьютерное преступление». Мы солидаризируемся с мнением ученых, отмечающих, что все преступления, связанные с использованием новых информационных технологий, можно разделить на три группы [1, С. 473; 2, С. 56]
К первой группе следует отнести преступления против информационной безопасности - ст. ст. 349 – 355 Главы 28 Уголовного Кодекса Республики Беларусь (за 2001 год правоохранительными органами возбуждено одно уголовное дело по ст. 349 «Несанкционированный доступ к компьютерной информации», одно – по ст. 351 «Компьютерный саботаж»).
Ко второй группе - преступления, в которых электронная информация является орудием или средством совершения другого преступления - ст. ст. 212 «Хищение путем использования компьютерной техники», 216 «Причинение имущественного ущерба без цели хищения Уголовного Кодекса Республики Беларусь (за 2001 год – возбуждено 510 (!) уголовных дел по ст. 212 и 101 по ст. 216;
К третьей группе - преступления, связанные с использованием компьютерной и иной электронной техники - ст. ст. 179 «Незаконное собирание либо распространение информации о частной жизни», 188 «Клевета», 203 «Нарушение тайны переписки, телефонных переговоров, телеграфных или иных сообщений», 219 «Уничтожение либо повреждение имущества по неосторожности», 254 «Коммерческий шпионаж», 289 «Терроризм», 356 «Измена государству», 208 «Вымогательство», иные.
Таким образом, с точки зрения разработки практически значимой частной криминалистической методики к числу компьютерных преступлений целесообразно отнести как преступления в сфере компьютерной информации, так и преступления, совершаемые с использованием компьютерных технологий.
Опыт применения статей главы 28 Уголовного Кодекса Российской Федерации и нового УК нашей страны позволяет сделать обобщенное предположение, что «чисто компьютерных преступлений» не существует. В подавляющем большинстве случаев речь идет об использовании средств компьютерной техники (СКТ) при совершении других преступлений, в основном хищений, т.е. о применении указанных технических средств в качестве орудий совершения преступления.
2. Вопросы разработки и совершенствования тактики использования научно-технических средств (НТС) – специализированных программных и аппаратных средств, для обнаружения, фиксации и изъятия следов компьютерных преступлений при проведении следственных действий. Обозначенные НТС должны, по нашему мнению, отвечать следующим требованиям: безопасности, универсальности, защищенности, эффективности, целесообразности, мобильности. Применение данных НТС должно обеспечивать [2, С. 173]:
- внутренний осмотр помещений, в которых расположены СКТ и линий связи с целью выявления каналов утечки информации и сторонних подключений;
- определение свойств, качеств и технических характеристик СКТ, сетей с протоколированием сведений о состоянии аппаратных и программных ресурсов сетевого окружения, серверов и рабочих станций;
- выявление «слабых мест» сетевой среды, что необходимо для последующего правильного построения версий о совершенном деянии в отношении компьютерной информации;
- полноценную работу с имеющейся информацией.
Для классификации следов компьютерных преступлений, которые могут быть обнаружены, зафиксированы и изъяты при проведении следственных действий, мы считаем возможным применить традиционное в криминалистике подразделение следов на следы-отображения, следы-предметы и следы-вещества [3, С. 97-99].
Классификация следов-отображений возможна по ряду признаков.
1. По характеру изменений:
- структурные файловые следы;
- внешние файловые следы.
2. По степени завершенности процесса обработки команд:
- стабильные во времени файловые следы;
- временные файловые следы.
3. По размещению:
- локальные файловые следы;
- сетевые файловые следы.
4. Следы отображения внешнего физического воздействия на СКТ.
Следы-вещества могут быть в виде расходных материалов (тонеров, красок), различных смазок, используемых в СКТ и т.д.
Следы-предметы классифицируются, по нашему мнению, следующим образом:
- сменные диски и ленты;
- аппаратно реализованные закладные устройства;
- устройства дистанционного съема информации;
- кабели и разъемы;
- устройства и приспособления физического уничтожения СКТ;
- вновь возникшие файлы;
- документы на бумажных и электронных носителях.
Последние из указанных следов-предметов обладают наибольшей значимостью. Они могут быть в виде распечаток работы прикладного программного обеспечения, листингов исходных текстов программ, технологических описаний операционных систем и прикладного программного обеспечения, иная текстовая информация. Кроме того, в большинстве современных операционных систем имеются регистрационные файлы, в которые записывается некоторое множество операций, происходящих в системе. Регистрационные файлы могут формироваться на уровнях операционных систем, СУБД и иных приложений.
3. Комплекс вопросов, связанных с целесообразностью перехода субъектов хозяйствования и владельцев компьютерных систем на так называемые «защищенные СКТ».
С точки зрения эффективного разрешения проблемных вопросов раскрытия и расследования данный переход представляется весьма важным, т.к. преодолевая средства защиты правонарушитель вынужден оставлять значительно большее количество следов. Указанный переход целесообразно осуществлять с использованием сертифицированных отечественных систем (производства Республики Беларусь, Российской Федерации, Республики Украина, других стран СНГ). Например, – ПЭВМ в защищенном исполнении ВМ 2406, ВМ 2409 с соответствующим программным обеспечением (НИИЭВМ, Республика Беларусь, г. Минск), СЗИ НСД «Аккорд» (ОКБ САПР, Российская Федерация, г. Москва) и другие.
4. Вопросы разработки и совершенствования основных положений тактики проведения следственных действий и оперативно-розыскных мероприятий по делам рассматриваемой категории и в целом – методики раскрытия и расследования таких преступлений.
Здесь необходимо в кратчайшие сроки разработать научно-обоснованные рекомендации по тактике проведения следственного осмотра, задержания, допроса и очной ставки, обыска и выемки, следственного эксперимента, проверки показаний на месте. Нами разработаны основные положения тактики проведения осмотра места происшествия по делам о компьютерных преступлениях.
Рабочий этап осмотра места происшествия, по нашему мнению, состоит из трех взаимосвязанных и единых по цели и замыслу мероприятий (рис. 1):
Поиск и обнаружение следов-предметов, свидетельствующих о попытках зондирования СКТ или ведения радиоэлектронной разведки |
|
|
|
Поиск и обнаружение следов-предметов и следов-отображений, свидетельствующих о действии вредоносных программ |
|
Поиск и обнаружение следов-отображений и следов-предметов при проведении аудита компьютерных систем |
Рис. 1.
Осмотр места происшествия по делам о компьютерных преступлениях производится только с участием специалистов. Следователь, приступая к детальному осмотру СКТ с учетом сложившийся следственной ситуации, должен оценить возможность изъятия СКТ для проведения в дальнейшем экспертного исследования в лабораторных условиях. Возможно также проведение части экспертных исследований непосредственно на месте происшествия, когда невозможно изъять указанные технические средства.
Тактику проведения криминалистических исследований по обнаружению следов компьютерного преступления можно представить в виде рис. 2 [2, 184].
Возможно ли изъятие СКТ для проведения экспертизы в лабораторных условиях? |
|||||
|
ДА |
|
|
НЕТ |
|
Вариант А
Осмотр места происшествия с изъятием СКТ для дальнейшего экспертного исследования |
|
Вариант Б
Осмотр места происшествия с широким использованием возможностей детальной видеосъемки. При этом осуществляется подробная видеосъемка всех указаний следователя, действий специалистов, реакции понятых (если они участвуют в осмотре места происшествия), фиксация возможных изменений. Все указания и действия «проговариваются» в процессе видеозаписи. |
|||
|
|
|
|
|
|
Завершение осмотра места происшествия |
НЕТ |
Есть необходимость в проведении экспертного исследования непосредственно на месте происшествия? |
|||
|
|||||
|
|
ДА |
|||
|
Проведение экспертного исследования непосредственно на месте происшествия |
||||
|
|||||
Рис. 2.
В случае если СКТ не являются критичными с точки зрения обработки информации и их изъятие не нанесет существенного ущерба выполнению поставленных производственных или иных задач, следует изъять эти устройства для последующего назначения и производства экспертизы в лабораторных условиях (вариант А).
В противном случае, а также, если у следователя имеются основания считать, что отключение каких-либо СКТ, либо их части может привести к утере доказательственной информации, необходимо проводить детальный осмотр СКТ непосредственно на месте происшествия (вариант Б).
В случае если в результате детального осмотра возникнет необходимость в назначении и производстве экспертизы, следователь выносит соответствующее постановление.
5. Вопросы тактики применения специальных знаний в области вычислительной техники при проведении следственных действий и оперативно-розыскных мероприятий. Например, специалисты, привлекаемые для проведения осмотра места происшествия, по нашему мнению, должны обладать знаниями, применение которых могло бы обеспечить выполнение действий, указанных на рис. 1.
По делам о компьютерных преступлениях специалисты могут привлекаться из числа:
- сотрудников экспертных подразделений всех уровней и различной ведомственной принадлежности;
- компетентных работников контролирующих органов;
- представителей научных и педагогических коллективов, обладающих глубокими познаниями в области информационных технологий;
- частных лиц, не состоящих в штате каких-либо официальных структур.
Не рекомендуется привлекать в качестве специалистов инженерно-технический состав того субъекта хозяйствования, в котором произошло компьютерное преступление, т.к. они сами могут в той или иной мере нести ответственность за случившееся. Кроме того, необходимо отметить, что в общем случае понятия «специалист по компьютерной технике» не существует. Речь может идти о специалисте, компетентном в конкретной компьютерной либо операционной системе.
6. Вопросы совершенствования тактики назначения и производства экспертиз по делам о компьютерных преступлениях.
Компьютерно-техническая экспертиза (КТЭ) как самостоятельный род экспертиз сформировалась недавно и в настоящее время находится в постоянном развитии. Видовую классификацию КТЭ целесообразно рассматривать на основе обеспечивающего предназначения СКТ (аппаратных, программных, информационных) и использовать ее в виде, соответствующем процессам разработки и эксплуатации СКТ:
- аппаратно-компьютерная экспертиза;
- программно-компьютерная экспертиза;
- информационно-компьютерная экспертиза;
- компьютерно-сетевая экспертиза;
- комплексные экспертизы.
7. Вопросы допустимости и относимости вещественных доказательств, полученных при производстве следственных действий. Речь идет о признании судом в качестве вещественных доказательств фактических, данных полученных при проведении следственных действий с использованием специализированных аппаратно-программных средств.
В судебных разбирательствах компьютерных преступлений возможно возникновение проблем допустимости в качестве доказательства преступления файлов и других компьютерных документов. В Республике Беларусь пока не накоплен опыт судебных дел о компьютерных преступлениях, и представляет определенный интерес опыт ведущих стран в сфере информатизации.
В Англии закон Criminal Justice Act 1988 г. разрешает суду признавать допустимым т.н. «деловой документ», если он [4, С. 127]:
- создавался или был получен человеком в ходе ведения бизнеса, торговли или выполнения профессиональных обязанностей;
- информация, содержащаяся в нем, предоставлялась человеком персонально разбирающемся в документе;
- были безуспешно предприняты все иные попытки для нахождения создателя документа.
Таким документом может считаться системный журнал операционной системы или прикладного программного обеспечения. Представленное суду компьютерное доказательство должно быть наилучшим из всех доступных –документов. Под этим термином понимают изъятие файлов вместе с их носителями.
В США закон разрешает использование взамен «наилучшего доказательства» распечатки контрольного журнала, сделанной непосредственно после проявления фактов совершения преступления. Если нет немедленной распечатки, то суд может принять распечатки, сделанные на несколько дней позже, или даже копии этих распечаток.
8. Вопросы целесообразности создания в Республике Беларусь специальных подразделений правоохранительных органов по борьбе с преступлениями (в т.ч. компьютерными) в сфере высоких технологий. Их научно-методического обеспечения и подготовки кадров для них:
- подготовка экспертов-криминалистов;
- подготовка оперативных работников;
- вопросы специализации следователя.
В Академии МВД Республики Беларусь в течение ряда лет успешно функционирует специальный факультет по подготовке и переподготовке судебно-медицинских специалистов, куда принимаются лица с высшим медицинским образованием, которые в дальнейшем получают необходимые знания в области уголовного права, уголовного процесса, криминалистики, рада других дисциплин. По нашему мнению, этот опыт может быть использован и для подготовки кадров, указанных выше. Различие состоит в том, что принимать на учебу необходимо лиц, имеющих высшее техническое образование в области радиоэлектроники и прошедших обучение на военной кафедре ВУЗа.
В настоящее время разработаны тематические планы для проведения занятий с такими специалистами.
9. Вопросы международного сотрудничества правоохранительных органов в области предупреждения, раскрытия и расследования компьютерных преступлений. Целесообразность дальнейшего расширения и углубления такого сотрудничества вытекает из анализа уголовных дел, возбужденных по ст. 212 Уголовного Кодекса Республики Беларусь. Большинство из них совершалось с территории нашей страны в отношении субъектов электронной коммерции Западной Европы и Северной Америки с использованием возможностей Internet.
Мы полагаем, что скорейшее разрешение обозначенных вопросов будет способствовать повышению эффективности предупреждения, раскрытия и расследования компьютерных преступлений.
1. Савенок А.Л. Квалификация информационных преступлений // Управление защитой информации. – 1999. – Т. 3, № 4.
2. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. – М.: Горячая линия-Телеком, 2002. – 336 с.
3. Козлов В.Е., Леонов А.П., Мухин Г.Н. Криминалистическая характеристика компьютерных преступлений. Глава 4 в кн.: Компьютерная преступность и информационная безопасность / Под общ. ред. А.П. Леонова. – Минск: АРИЛ, 2000.
4. Горбатов В.Е., Полянская О.Ю. Доказательства в судебных делах по компьютерным преступлениям // Управление защитой информации. – 1997. – Т. 1, № 2.