Следственные действия и экспертиза при расследовании преступлений в сфере информационной безопасности

Современная практика раскрытия и расследования преступлений характеризуется ростом преступлений в сфере информационной безопасности (ст. 272, 273, 274 УК), т. е. преступлений, сопряженных с использованием ЭВМ, систем ЭВМ или их сети, а также преступлений, где компьютерные средства используются как элементы способа их совершения и сокрытия.

Основной процессуальной формой использования специальных познаний является экспертиза (от лат. expertus — «опытный, сведущий»). Именно экспертные исследования обеспечивают получение результатов, имеющих наибольшее доказательственное значение при исследовании аппаратных средств, программного обеспечения и компьютерной информации. В этих условиях первоочередными задачами следователя являются поиск, фиксация, изъятие с помощью специалистов и представление эксперту необходимых материальных объектов — носителей компьютерной информации.

Типичные исходные следственные ситуации существенным образом зависят от обстоятельств, подлежащих установлению
и доказыванию.

1. Преступления, предметом которых являются компьютерные средства. Типичными экспертными задачами здесь является как комплексное диагностирование компьютерной системы, так
и раздельное исследование аппаратного, программного и информационного обеспечения.

Примером служит установление ряда фактов и обстоятельств, сопровождающих:

- действия, связанные с неправомерным доступом к данным
и совершаемые в отношении компьютерной информации, находящейся в автономных персональных компьютерах и компьютерных сетях;

- действия, совершаемые в отношении компьютерной информации во встроенных и интегрированных компьютерных средствах (смартфоны, коммуникаторы, кредитные карточки).

2. Компьютерные средства выступают одновременно как предмет и средство совершения преступления. Экспертными задачами являются: выявление и исследование функций программного обеспечения, диагностирование алгоритмов и фактического состояния программ.

Примером является выявление фактов и обстоятельств по действиям, связанным с изготовлением и распространением вредоносных программ.

3. Компьютерные средства выступают как средства совершения и (или) сокрытия преступления. Экспертными задачами
в первую очередь являются диагностирование программного обеспечения, установление свойств и состояния информационного обеспечения (данных).

Характерные примеры экспертных исследований связаны с раскрытием и расследованием преступлений, для совершения и сокрытия которых использовались компьютерные средства, таких как мошенничество, фальшивомонетничество, лжепредпринимательство и др.

4. Компьютерные средства выступают как источник криминалистически значимой информации. Основными экспертными задачами при этом являются диагностирование компьютерной информации, изучение ее первоначального состояния, хронологии воздействий на нее.

Типичные примеры здесь связаны с установлением фактов и обстоятельств по преступлениям, где компьютерные средства напрямую не использовались для их совершения, а выступают лишь как носители данных, несущие криминалистически значимую информацию по делу.

Получение полных фактических данных об обстоятельствах, подлежащих установлению и доказыванию, реализация при этом принципов относимости и допустимости доказательств могут быть достигнуты лишь в результате всестороннего экспертного исследования компьютерных средств — аппаратных, программных и информационных объектов. Таковой судебной экспертизой, организационное и методическое становление которой происходит в настоящее время, нам представляется компьютерно-техническая экспертиза. Компьютерно-техническая экспертиза (программно-техническая экспертиза, компьютерная экспертиза) — экспертиза, объектом которой является компьютерная техника
и (или) компьютерные носители информации, а целью — поиск
и закрепление доказательств. Причисление к возможным объектам данного вида экспертизы удаленных объектов, не находящихся
в полном распоряжении эксперта (прежде всего компьютерных сетей), пока является спорным вопросом и решается по-разному.

Первоначальные следственные действия по делам рассматриваемой категории (осмотр, обыск, выемка) заключаются в выяснении факта наличия компьютерных средств в обследуемом помещении. При обнаружении такового следует определить ряд первостепенных аспектов:

- организовать внезапный доступ сотрудников правоохранительных органов;

- ограничить доступ сотрудников и прочих находящихся в организации лиц к технике;

- определить круг лиц, которым доступна техника;

- количество компьютеров и их типы;

- организацию электропитания и наличие автономных источников питания;

- используемые носители информации;

- наличие локальной сети и выхода в другие сети с помощью модема, радиомодема или выделенных линий;

- используемое системное и прикладное программное обеспечение;

- наличие систем защиты информации, их типы;

- возможности использования средств экстренного уничтожения компьютерной информации.

В случае выявления наличия вычислительной сети необходимо:

- уяснить общее количество компьютеров и их распределение по другим помещениям и лицам;

- уточнить количество и типы используемых серверов, рабочих мест;

- выяснить тип используемой операционной системы;

- выявить функции прикладного программного обеспечения;

- установить наличие резервных копий серверных дисков, баз данных и места их хранения.

Кроме того, особое внимание уделяется выявлению наличия выхода в другие, в том числе и глобальные, сети, устанавливается возможность использования коммуникационных программ для связи с удаленными пользователями, с другими организациями (фирмами), частными лицами, наличие выхода в Интернет, определяются принятые в организации мероприятия по защите информации.

В ходе следственных действий основным требованием при изъятии компьютерных средств является обеспечение сохранности имеющейся информации. Для этого необходимо: предотвратить возможность отключения энергоснабжения учреждения, запретить сотрудникам организации и прочим лицам производить какие-либо манипуляции с компьютерными средствами, предупредить всех участников следственного действия о недопустимости самостоятельных манипуляций с компьютерными средствами.

При установлении наличия в осматриваемом помещении локальной вычислительной сети следует точно установить местоположение серверов.

Особого внимания требуют места хранения носителей информации. Кроме того, в учреждениях с развитой локальной сетью, как правило, производится регулярное архивирование информации на какой-либо носитель. Поэтому следует определить место хранения копий.

Одним из неотложных следственных действий является допрос администратора системы, в ходе которого выясняются следующие вопросы:

- какие операционные системы установлены на каждом из компьютеров;

- какое используется программное обеспечение;

- какие применены системы защиты и шифрования;

- где хранятся общие файлы данных и резервные копии;

- каковы пароли супервизора и администраторов системы;

- какие зарегистрированы имена и пароли пользователей.

Только после выполнения указанных выше мероприятий специалист, участвующий в следственном действии, может произвести изъятие носителей информации либо в отдельных случаях копирование компьютерной информации на заранее приготовленные носители.

Носители, на которые переписывается информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то его необходимо упаковать в антистатический, т. е. исключающий воздействие статического заряда, пакет и предохранить от свободного перемещения в упаковке при транспортировке) и опечатаны.

Вызывают трудности отдельные случаи, когда производится не изъятие носителей информации, а копирование на заранее приготовленные носители. Впоследствии очень трудно доказать, что информация скопирована именно оттуда и что на приготовленном носителе не было записано что-то заранее или после.

В случае изъятия компьютерных средств требуется учесть как все компьютеры, так и носители данных.

При осмотре документов следует обратить особое внимание на рабочие записи сотрудников, где могут содержаться пароли
и коды доступа.

Необходимо также составить список всех нештатных и временно работающих специалистов организации с целью обнаружения программистов и других специалистов по компьютерным технологиям.

В ходе осмотра должны быть установлены:

- конфигурация компьютерного средства (его комплектация);

- номера моделей и серийные номера каждого из устройств;

- инвентарные номера, присваиваемые бухгалтерией при постановке средства на баланс организации;

- прочая информация, имеющаяся на фабричных ярлыках фирмы-изготовителя.

Все предметы и документы, выявленные в ходе следственного действия, которые могут иметь значение для следствия, должны быть изъяты в соответствии с требованиями законодательства. В связи
с этим в протоколе обязательно должны быть точно отражены место, время, состав и внешний вид изымаемых предметов и документов.

Изъятие компьютерных средств должно производиться за один раз. При отсутствии транспорта следует организовать строгую охрану изъятого оборудования в специальном помещении. Недопустимо предоставление части изъятых средств в распоряжение организации по причинам «производственной необходимости», так как в процессе работы могут быть внесены изменения в файлы информации или программы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компьютерной информации.

При изъятии компьютеров и магнитных носителей их следует опечатать.

Все изъятые системные блоки и другие устройства должны быть упакованы и опечатаны таким образом, чтобы исключить возможность их повреждения, включения в сеть и разборки.

Все системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следует пронумеровать все носители информации, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). Все эти действия должны быть строго зафиксированы в протоколе.

Очевидно, что сбор и исследование доказательств не могут быть осуществлены без использования специальных познаний в области современных информационных технологий. Особенности выявления
и исследования криминалистически значимой компьютерной информации связаны прежде всего с тем, что данная область включает в себя ряд достаточно разнородных научных направлений: электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в том числе программирование) и автоматизация.

Следует отметить, что преступления в области компьютерной информации носят зачастую латентный (от лат. latens — «скрывающийся») характер, не оставляют видимых следов и сложны
с точки зрения раскрытия и собирания доказательственной информации в связи с широким применением средств удаленного доступа и пр. Следователь, обладая специальными познаниями и соответствующими научно-техническими средствами, в принципе может успешно организовать расследование, но не сможет обойтись без помощи специалиста, поскольку даже малейшие неквалифицированные действия с компьютерной системой зачастую заканчиваются безвозвратной утратой ценной розыскной и доказательственной информации.

К базовым нормативным правовым актам, регулирующим проведение экспертиз по компьютерным правонарушениям в Российской Федерации, относятся: УПК, Закон о государственной судебно-экспертной деятельности в Российской Федерации, Закон
о техническом регулировании, приказ Минюста России от 14.05.2003 № 114 «Об утверждении Перечня родов (видов) экспертиз, выполняемых в государственных судебно-экспертных учреждениях Министерства юстиции Российской Федерации, и Перечня экспертных специальностей, по которым предоставляется право самостоятельного производства судебных экспертиз в государственных судебно-экспертных учреждениях Министерства юстиции Российской Федерации».

Особенности экспертизы сферы защиты информации заключаются в том, что она позволяет изучать компьютерную и иную информационную технику как орудие совершения преступления
и формировать базу доказывания по виртуальным видам правонарушений с целью изобличения и наказания представителей криминальной среды информационной сферы.

Экспертиза преступлений в области компьютерной информации (компьютерно-техническая экспертиза) — это самостоятельный род экспертиз, относящийся к классу инженерно-технических. Она является основной процессуальной формой использования специальных познаний при расследовании и судебном рассмотрении уголовных и гражданских дел, дел об административных правонарушениях, сопряженных с использованием компьютерных технологий. Структурными компонентами компьютерно-технической экспертизы являются: аппаратно-компьютерная, программно-компьютерная, информационно-ком-
пьютерная, компьютерно-сетевая экспертизы.

В основные задачи компьютерно-технической экспертизы входит:

- установление свойств и вида представления информации в компьютерной системе при ее непосредственном исследовании;

- определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового состояния объектов экспертизы (например, имеются ли вредоносные программы (вредоносная программа — это любое программное обеспечение, предназначенное для получения несанкционированного доступа к информации, хранимой на ЭВМ, с целью причинения вреда (ущерба) владельцу информации и (или) владельцу ЭВМ (сети ЭВМ)), нарушение целостности информации и пр.);

- установление первоначального состояния информации на носителе данных;

- определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла);

- определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой на разные адреса);

- определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки документов и т. п.);

- выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки, установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;

- установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);

- диагностирование возможных последствий по совершенному действию и возможности его совершения.

Исследуемая экспертиза проводится в целях изучения объекта (компьютерного или иного информационного средства) как орудия преступления, выявления его роли в расследуемом правонарушении, а также получения доступа к информации на носителях данных с последующим ее экспертным исследованием.

Предмет данной экспертизы — это факты и обстоятельства, устанавливаемые на основе специальных знаний о технологиях разработки и эксплуатации компьютерной и иной информационной техники для реализации информационных процессов.

Классификация указанной экспертизы организуется на основе обеспечивающих компонентов любого компьютерного средства (аппаратного, технического, программного и информационного обеспечения).

Получение полных фактических данных об обстоятельствах, подлежащих установлению и доказыванию, может быть достигнуто лишь в результате всестороннего экспертного исследования компьютерных средств — аппаратных, программных и информационных объектов как комплексно, в рамках представленной компьютерной системы, так и по отдельности, при проведении компьютерно-технической экспертизы.

Для проведения экспертного исследования программного обеспечения предназначен такой вид компьютерно-технической экспертизы, как программно-компьютерная экспертиза. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу.

Информационно-компьютерная экспертиза (экспертиза данных) является ключевым видом компьютерно-технической экспертизы, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Отдельный вид компьютерно-технической экспертизы — компьютерно-сетевая экспертиза, которая в отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляет видовой предмет компьютерно-сетевой экспертизы. Выделение этого вида экспертизы обусловлено тем, что лишь использование специальных познаний в области сетевых технологий позволяет объединить полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями. Объект применения специальных познаний компьютерно-технической экспертизы может быть довольно разным — от компьютеров пользователей, подключенных к Интернету, до различных ресурсов поставщика сетевых услуг (провайдера) и предоставляемых им информационных услуг.

Рассмотренные выше основные виды компьютерно-техниче-
ской экспертизы при производстве большинства экспертных исследований применяются комплексно и чаще всего последовательно. Кроме того, в ходе ряда пограничных исследований иногда возникает потребность в специальных познаниях и из других научных областей. Так, например, обстоит дело с решением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с поврежденной структурой данных, всестороннего анализа различных криптографических алгоритмов, программ и аппаратных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований — криптографией и защитой информации.

Экспертные задачи компьютерно-технической экспертизы конкретизируются при производстве определенной экспертизы. Они не тождественны вопросам, сформулированным в постановлении (определении). Иногда несколько вопросов, поставленных перед экспертом, направлены, по существу, на решение одной экспертной задачи. И наоборот, один вопрос может требовать решения двух
и более самостоятельных задач.