конфиденциальная информация, меры по защите которой на основании ФЗ «Об информации» и других законов РФ предпринимают собственники информационных ресурсов или уполномоченные лица.
Что касается конфиденциальной информации, то под ней понимают обязательное выполнение лицом, получившим доступ к определенной информации, требования не передавать такую информацию третьим лицам без согласия её обладателя. Перечень ее определен в Указе Президента РФ.
Стоит уточнить, что в соответствии с ФЗ «Об информации» обладателем последней признается лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект РФ, муниципальное образование. Обладатель информации, в частности, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа, защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами, а также обязан принимать меры по ее защите.
По общему правилу степень защиты конфиденциальной информации должна соответствовать уровню ее ценности для обладателя. Перечень обязательных мер по охране конфиденциальности информации включает ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за его соблюдением. При этом меры по охране конфиденциальности информации признаются разумно достаточными, если исключается доступ к этой информации любых лиц без согласия ее обладателя. Подчеркнем, что обладатель компьютерной информации должен принимать не только организационные и юридические меры к охране конфиденциальности информации, но и специальные технические, затрудняющие доступ третьих лиц к ней в компьютерной системе.
Кроме собственно информации, т.е. сведений, предназначенных для информирования, предметом преступного воздействия может выступать информация в виде программных средств, которые призваны обеспечивать бесперебойную работу компьютерной техники. Под программой для ЭВМ понимается объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения. Выделяют классы операционных систем, сервисных программ, языков программирования и т.д.
Компьютерная информация, выступающая предметом по ст. 272 УК РФ, должна быть зафиксирована на материальном носителе, в памяти ЭВМ, системы ЭВМ или их сети, для того чтобы она была доступна для восприятия. В литературе идет бурная дискуссия по поводу того, что понимать под ЭВМ. Исходя из следственной и судебной практики, под ЭВМ понимается электронно-вычислительная машина, преобразующая информацию в ходе своего функционирования в числовую форму, т.е. устройство, предназначенное для ввода, обработки и вывода информации. Термин компьютер употребляется в том же смысле, что и термин ЭВМ. Малогабаритная ЭВМ, установленная на рабочем месте пользователя, именуется персональным компьютером (ПК или ПЭВМ). В последние годы следственная и судебная практика идет по такому пути, что такие электронные устройства, как, например, пейджер, сотовый телефон, электронный кассовый аппарат и другие подпадают под понятие ЭВМ.
Объективная сторона неправомерного доступа к компьютерной информации выражается в неправомерном доступе к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Данное преступление выражается в форме активных действий, заключающихся в неправомерном доступе виновного к компьютерной информации или информационным ресурсам. Под доступом к информации понимается возможность получения информации и её использования. Соответственно, одним из оснований для привлечения лица к уголовной ответственности по ст. 272 УК РФ будет являться установление того факта, что лицо действовало именно неправомерно. А это значит, что лицо не имело право вызывать, знакомиться и распоряжаться информацией, в отношении которой принимаются специальные меры по её защите, ограничивающие круг лиц, без разрешения на то собственником или обладателем данной информации.
НДКИ вменяется соответствующему лицу по совокупности с теми преступлениями, ради совершения которых такой доступ осуществлялся. Вместе с тем квалификация содеянного по совокупности не должна производиться исключительно в случаях, когда сама по себе компьютерная информация является предметом посягательства.
Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из последствий:
уничтожение информации, т.е. удаление информации на материальном носителе и невозможность ее восстановления на нем. В то же время имеющаяся у пользователя возможность восстановить уничтоженную или поврежденную компьютерную информацию с помощью средств программного обеспечения или получить идентичную утраченной информацию из другого источника, в том числе от другого пользователя, не освобождает виновного от ответственности за содеянное;
блокирование информации, т.е. совершение действий, приводящих к ограничению или закрытию доступа к компьютерной системе и предоставляемым ею информационным ресурсам, т.е. искусственное затруднение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением, в том числе путем введения паролей, неизвестных пользователям;
модификация информации, т.е. внесение изменений в программы, базы данных, текстовую и любую другую информацию, находящуюся на материальном носителе, а для программ ЭВМ - адаптацию, под которой понимают внесение изменений, осуществляемых исключительно в целях обеспечения функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя, или под управлением конкретных программ пользователя;
копирование информации, т.е. перенос информации на другой материальный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме: от руки, путем фотографирования текста с экрана дисплея, а также считывания информации путем перехвата излучений ЭВМ (монитора), расшифровки шумов принтера и другими способами;
нарушение работы ЭВМ, системы ЭВМ или их сети, т.е. нарушение работы как отдельных программ, баз данных, выдача искаженной информации, так и нештатное функционирование аппаратных средств и периферийных устройств, либо нарушение нормального функционирования сети, в том числе прекращение функционирования автоматизированной информационной системы в установленном режиме, либо сбой в обработке компьютерной информации.
Однако, такой перечень обязательных последствий, предусмотренных ст. 272 УК РФ, не обеспечивает должным образом защиту, например, конфиденциальной информации, поскольку сам факт вызова или просмотра компьютерной информации на съемном носителе, не образует данного состава преступления. Необходимо по крайней мере установить факт переноса указанной информации на другой машинный носитель. Если полученные следствием материалы не подтверждают факта уничтожения, блокирования, модификации или копирования компьютерной информации, то несанкционированное обладателем ознакомление с ней не может служить достаточным основанием к применению ст. 272 УК РФ. Однако совершенно понятно, что на практике в большинстве случаев существенный ущерб обладателю конфиденциальной информации наносит уже само ознакомление с ней постороннего лица. Данную проблему предлагаем устранить путем уточнения диспозиции ст. 272 УК РФ, включив в состав данного преступления необходимые альтернативные последствия НДКИ.
Наконец, следующим необходимым признаком объективной стороны НДКИ является причинная связь между противозаконными действиями и наступившими вредными последствиями. При функционировании сложных компьютерных систем возможны уничтожение, блокирование и иные нарушения работы ЭВМ в результате технических неисправностей или ошибок в программных средствах. В этих случаях лицо, совершившее НДКИ, не подлежит ответственности по данной статье ввиду отсутствия причинной связи между его действиями и наступившими последствиями.
Субъективная сторона данного преступления характеризуется виной в форме прямого умысла в отношении деяния. Вместе с тем косвенный умысел может проявляться только в отношении неблагоприятных последствий доступа, предусмотренных диспозицией данной нормы уголовного закона. С учетом того, что информационные системы обладают высокой сложностью, и их функционирование зависит от огромного числа параметров, значение многих из которых пользователь не контролирует, следует признать, что неосторожность здесь неприменима. Сложность, слабая предсказуемость современных компьютерных систем приводит к тому, что доступ к чужой информации и воздействие на неё происходит в силу ошибок в программах и случайных факторов. Каждый специалист знает об этом и вынужден допускать возможность возникновения таких ошибок, застраховаться от которых невозможно. Поэтому включение в состав преступления варианта его совершения по неосторожности криминализировало бы всю повседневную работу любых специалистов по информационным технологиям.
Вместе с тем ч. 2 ст. 272 УК РФ предусматривает наличие специального субъекта, совершившего данное преступление с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети. Под доступом в данном случае следует понимать фактическую возможность использования ЭВМ при отсутствии права на работу с защищенной информацией.
Под использованием служебного положения, предусмотренного в ч. 2 ст. 272 УК РФ, понимается использование возможности доступа к ЭВМ, возникшей в результате выполняемой работы (по трудовому, гражданско-правовому договору) или влияния по службе на лиц, имеющих такой доступ (в данном случае субъектом преступления не обязательно является должностное лицо), т.е. тех, кто на законных основаниях использует ЭВМ, работает на ней или непосредственно обслуживает ее работу (программисты, сотрудники, вводящие информацию в память ЭВМ, другие пользователи, а также администраторы баз данных, инженеры-электрики, ремонтники, специалисты по эксплуатации электронно-вычислительной техники и т.п.).
На наш взгляд, ст. 272 УК РФ сформулирована в общем виде. Это, с одной стороны, позволяет на практике правоохранительным органам «подгонять» многие совершаемые компьютерные преступления под НДКИ, с другой стороны, создает трудности для юридической квалификации преступлений.
Отсутствие четкого уголовно-правового определения компьютерной информации, единого понимания ее сущности как предмета преступного посягательства значительно затрудняет выработку общей концепции борьбы с компьютерной преступностью и может служить причиной отказа в возбуждении уголовных дел или их прекращения по реабилитирующим основаниям.
Введение в УК РФ гл. 28 «Преступления в сфере компьютерной информации» проблемы не снимает, а появляется лишь видимость ее решения. Кроме того, речь в ней идет о преступлениях, совершаемых в отношении средств компьютерной техники и информации, но не преступлений, совершаемых с их использованием. Все это и многое другое свидетельствует о необходимом пересмотре ст. 272 УК РФ.
С учетом позиций, излагаемых в литературе, для решения указанных проблем, помимо внесения изменений в ст. 272 УК РФ законодательным путем, необходимо, чтобы Пленум Верховного Суда РФ издал постановление о практике по делам о преступлениях в сфере компьютерной информации, выработав в нем, исходя из судебной практики, понятия неправомерного доступа, ЭВМ, системы ЭВМ, сети ЭВМ, использованные законодателем в диспозиции ст. 272 УК РФ, а также последствия неправомерного доступа. В этой связи определение неправомерного доступа могло бы звучать, как несанкционированное собственником или владельцем информации, ознакомление лица с данными, содержащимися на машинных носителях или в памяти ЭВМ и имеющих уровень защиты в соответствии с законодательством РФ.
Кроме того, принятие постановления Пленума ВС РФ по данной категории дел позволило бы на практике выработать общую концепцию борьбы с компьютерной преступностью, что существенно бы облегчило работу и правоохранительных органов, и судов.
§2. Криминалистическая характеристика неправомерного доступа к компьютерной информации
Под криминалистической характеристикой любого преступления подразумевается система обобщенных данных о типичных следах, способе совершения и механизме преступления, личности преступника и других существенных чертах, свойствах и особенностях преступления и сопутствующих ему обстоятельствах, способствующая оптимизации расследования и практическому применению средств, приемов и методов криминалистики в раскрытии и расследовании преступлений.
Прежде чем рассматривать элементы криминалистической характеристики НДКИ, необходимо отличать компьютерные преступления от преступлений в сфере компьютерной информации. Термин «компьютерные преступления» шире второго, он также охватывает те преступления, где компьютерная техника, программы, компьютерная информация и цифровые каналы связи являются орудиями совершения преступления или предметом посягательства.
Использованная законодателем формулировка диспозиции ст. 272 УК РФ имеет широкую сферу применения, что подтверждается на практике. Поэтому для того, чтобы иметь представление о том, кто совершает неправомерный доступ, с какой целью, каким образом, необходимо дать криминалистическую характеристику не только НДКИ, но и тем компьютерным преступлениям, ради совершения которых такой доступ осуществляется.
Начнем рассмотрение криминалистической характеристики НДКИ с особенностей предмета ст. 272 УК РФ.
Выделение компьютерной информации в качестве самостоятельного предмета уголовно-правовой охраны обусловлено её специфическими характеристиками. Для данного вида информации характерно наличие материального носителя, вне которого она не может существовать. Это позволяет устанавливать в автоматизированных процессах статус носителей информации, поскольку одна и та же компьютерная информация может храниться, передаваться на различных носителях. Кроме того, она имеет способность к сохранению и сжатию при помощи таких архивов, как Win Rar, Zip и др. Компьютерная информация при её потреблении не исчезает и не подвергается физическому износу. Она может быть растиражирована в неограниченном количестве, а также создана и изменена только при помощи ЭВМ. Помимо этого машинная информация легко удаляется при помощи компьютерной техники и передается по сетям. Данный вид информации может находиться как на машинном носителе, так и на самой ЭВМ (ОЗУ и иной памяти ЭВМ) временно, например, информация, находящаяся в буфере обмена, и относительно постоянно, при условии, что она сохранена.
Следует помнить, что иногда компьютерная информация может выступать не только в качестве предмета преступления, но и в качестве средства преступного посягательства, причем в рамках одного и того же преступления. Исходя из этого, следует признать, что программы для ЭВМ также имеют двойственную природу: с одной стороны, служат инструментом воздействия на информацию, с другой - они могут подвергнуться любому воздействию в результате деяний, предусмотренных гл. 28 УК РФ.
При изъятии компьютерной информации, в отличие от изъятия материального предмета (вещи), она сохраняется в первоисточнике, т.к. доступ к ней могут одновременно иметь несколько лиц, например, при работе с информацией, содержащейся в одном файле, доступ к которому одновременно имеют несколько пользователей сети ЭВМ.
Обстановка совершения НДКИ имеет существенное значение для анализа преступного деяния и обычно ее определяют обстоятельства, характеризующие пространственные, временные, вещественные, технические, психологические особенности события рассматриваемого преступления. Обстановка обусловлена тем, что преступление, предусмотренное ст. 272 УК РФ, может совершаться как непосредственно, так и с удаленного стационарного, а в последнее время и перемещающегося терминала. Данному преступлению, как правило, способствуют использование самодельных и нелицензионных программ, неэффективность методов защиты, неприменение всех установленных методов и средств защиты, нарушения правил хранения и уничтожения копий файлов, компьютерных распечаток и иных носителей информации и т.д.
Признаками НДКИ можно считать участившиеся случаи немотивированной перезагрузки компьютера, отказы систем, частые сбои в процессе работы, исчезновение информации, блокировка действий пользователя и администратора, немотивированное изменение паролей и сетевых адресов и т.д.
В качестве последствий НДКИ могут выступать хищение информации, компьютерных программ, баз данных или денежных средств, уничтожение или модификация информации, блокировка работы компьютера, системы, сети, механический выход компьютера из строя, финансовые потери, переводы денежных средств и т.д.
Дополнительными факторами, характеризующими обстановку совершения НДКИ, могут являться наличие и состояние средств защиты компьютерной техники (организационных, технических, программных), требовательность со стороны руководителей по соблюдению норм и правил информационной безопасности и эксплуатации компьютерных систем. Зачастую именно наличие и состояние средств защиты существенно влияет на обстановку совершения НДКИ.
Выявление особенностей сложившейся обстановки позволяет быстрее определить, на что следует обратить особое внимание при осмотре места происшествия, изучении компьютерного оборудования и документов, допросе свидетелей и решении вопросов о необходимости изъятия определенных документов и вызове на допрос свидетелей.
Особенностью НДКИ является то, что место непосредственного совершения противоправного деяния и место наступления вредных последствий могут не совпадать. На практике этот случай имеет место тогда, когда используются средства удаленного доступа. При непосредственном доступе место совершения противоправного деяния и место наступления вредных последствий совпадают. Если попытки неправомерного доступа предпринимаются одновременно с нескольких компьютеров, то мест совершения преступления может быть несколько.
НДКИ, как правило, может осуществляться во всех местах, где действует человек и функционирует техника, но чаще всего в помещении самого предприятия (организации), где установлен компьютер или группа компьютеров; либо во внеслужебных помещениях, которыми могут быть жилые помещения, помещения других предприятий или организаций, заранее арендованные помещения, специально оборудованные автомобили, кафе, бары.
НДКИ может совершаться в любое время суток, т.к. компьютерные системы функционируют круглосуточно. Причем необходимо отметить, что гораздо больше времени уходит на подготовку к совершению преступления и сокрытие следов, чем на сам факт неправомерного доступа.
Что касается способов НДКИ, то их можно подразделить на способы непосредственного доступа и удаленного доступа, т.е. при помощи ресурсов Internet и локальной сети. Среди способов удаленного доступа можно выделить способы, связанные с преодолением парольной, программной, технической защиты с последующим подключением к чужой системе (в свою очередь включают высокотехнологичные способы и относительно простые в техническом плане) и способы перехвата информации. Третью группу способов составляют смешанные, которые могут осуществляться как путем непосредственного, так и удаленного доступа.
Следует отметить, что если неправомерный доступ был совершен при помощи удаленного доступа, то способ во многих случаях будет являться определяющим «вектором» в направлении расследования преступления, предусмотренного ст. 272 УК РФ, поскольку именно от него будут зависеть, какие специалисты будут участвовать при осмотре места происшествия, какие виды судебных экспертиз будут проводиться и т.д. Кроме того, установив способ неправомерного доступа, мы можем предварительно оценить уровень владения преступником компьютерной техникой, а также выявить места, где могут находиться следы преступления.
При непосредственном способе остаются как традиционные следы, так и нетрадиционные следы: виртуальные. В качестве первых могут выступать материальные и идеальные следы. К материальным относятся рукописные записки, распечатки, свидетельствующие о приготовлении к преступлению. На вычислительной технике, на компьютерных носителях, периферийных устройствах могут остаться следы пальцев рук, микрочастицы. Идеальные следы преступления - это отражения события преступления и элементов механизма его совершения в сознании и памяти людей, имеющие психофизиологическую природу формирования и проявляющиеся в виде мысленных образов преступления в целом, отдельных его моментов и участников данного деяния. Информация в виде образов, запечатленная в памяти людей, может быть использована впоследствии при составлении словесных и субъективных портретов, а также при проведении процессуальных действий, предусмотренных УПК РФ, и в рамках оперативно-розыскных мероприятий, как ориентирующая информация.
Понятие виртуальных следов в науку криминалистики было введено неслучайно, поскольку сложившееся в теории традиционное понимание следов не в полной мере относится к преступлениям, связанным с НДКИ. Виртуальные следы (вернее их называть цифровые) не обладают физическими и химическими характеристиками, кроме того, к ним неприменимо деление в зависимости от механизма следообразования на поверхностные и объемные, локальные и периферические. Цифровые следы по своей природе являются материальными. Они представляют собой результаты преобразования компьютерной информации, причинно связанные с событием преступления. Данный вид следов остается на машинных носителях и отражает процесс модификации файлов, реестра операционной системы и т.д.
В отличие от традиционных следов, цифровые - достаточно легко уничтожаются, как умышленно, так и случайно. Их часто подделывают, эта фальсификация выявляется либо по смысловому содержанию информации либо по оставленным в иных местах компьютерным следам. Цифровые доказательства воспринимаются через систему аппаратно-программных средств, а значит, их сложно продемонстрировать прокурору, судье, следователю. Кроме того, не всегда удается обеспечить их неизменность, поскольку есть методы хранения информации, предусматривающие постоянную смену носителей, к тому же никто не застрахован от программных и технических ошибок и сбоев.
Для неправомерного удаленного доступа характерно нахождение следов в разных местах одновременно и на большом расстоянии друг от друга. Так, они могут быть оставлены не только на рабочем месте, но и в месте хранения или резервирования информации. Следы также могут быть обнаружены в местах подготовки к доступу (например, там, где разрабатывались, тестировались и компилировались программы), использования инструментов, устройств и средств, предназначенных для операций неправомерного доступа, а также в месте использования информации. Указанные обстоятельства требуют проверки всех предполагаемых мест, где могут находиться цифровые следы. Важно отметить, что только полученные и оформленные с соблюдением уголовно-процессуального законодательства следы могут быть приобщены к уголовному делу и станут рассматриваться в качестве доказательств.
Рассмотрим общую следовую картину, которая остается при использовании преступником способов удаленного доступа.
Весь процесс неправомерного доступа начинается от ЭВМ преступника и заканчивается в виде последствий, предусмотренных ст. 272 УК РФ, на ЭВМ потерпевшей стороны. При этом промежуточными звеньями в указанной цепи, на которых остаются цифровые следы и которые будут иметь значение для следствия, являются провайдер (сервер провайдера); компьютеры - посредники при передаче данных; шлюзы, через которые проходит информация (пакеты данных).
При осмотре программных средств ЭВМ преступника могут быть обнаружены данные о подключении к провайдеру, время и продолжительность подключения, история посещений и кэш-программ, используемых для просмотра ресурсов сети Интернет, специализированное программное обеспечение, лог-файлы операционной системы и иных программ об операциях, данные, оставшиеся в кэш-памяти аппаратных средств. Необходимо также исследовать с участием специалиста обозреватель Интернет Explorer, который поможет органам следствия установить, какие сайты преступник посещал, а именно: папку «cookies», журнал Интернет Explorer, закладки Интернет Explorer, поисковую строку, в которой отражается история запросов. С компьютера, выходящего в сеть Интернет, в автоматическом режиме ведется протокол выхода в Интернет, количество дней хранения которого определяется пользователем.
У провайдера, предоставившего выход в Интернет преступнику, должна храниться информация о совершенных сетевых подключениях в виде логов, в том числе осуществленных с компьютера преступника. На сервере провайдера обычно хранятся регистрационные данные для сетевого подключения (логин и пароль), электронный адрес компьютера (логический адрес), так называемый IP-адрес, и физический адрес сетевой карты (MAC-адрес, телефонный номер, с которого осуществлялось модемное соединение), данные об отправленных или полученных пакетах информации, времени их отправки и приема, размера и типа, IP-адреса получателя и отправителя.
Следы, находящиеся в лог-файлах, не всегда могут рассматриваться в качестве неопровержимых доказательств, поскольку такие данные могут быть изменены не только самими преступниками, но и сотрудниками фирмы провайдера или третьими лицами, в том числе случайно. Однако в них может быть обнаружена идентификационно - справочная информация, которая позволит следователю строить версии о том, где и какие следы искать дальше.
На ЭВМ, которые выступают в качестве посредников передачи данных, могут и не сохраняться следы. В редких случаях лишь короткое время могут сохраняться сведения, например, о направлении движения пакета данных.
В качестве объекта посягательства может выступать персональный компьютер пользователя, подключенный к Интернету, либо компьютер, находящийся в локальной сети и имеющий при этом выход в Интернет. Следами, указывающими на посторонний доступ, могут быть переименование папок и файлов, изменение их содержания и размеров, атрибутов, появление новых файлов, изменение в реестре операционной системы, изменение конфигурации компьютера и т.п.
Для предотвращения неправомерного доступа, осуществляемого при помощи ресурсов сети Интернет, на персональных компьютерах или компьютерах, объединенных в сеть, устанавливаются программы - антивирусы и брандмауэр Windows, который позволяет фильтровать входящие и исходящие пакеты данных в зависимости от параметров и настроек этого технического устройства, в том числе по IP-адресу отправителя и получателя. Таким способом, если речь идет о локальной сети, можно сузить число ЭВМ в сети, которые будут доступны извне. Как правило, это почтовые серверы, прокси-сервер, позволяющие выходить с компьютеров, не имеющих прямого выхода. Практика показывает, что при такой организации сети можно зафиксировать подробно действия преступника специально установленными программными средствами.
Орудиями НДКИ являются ЭВМ, средства компьютерной техники (основные и периферийные), в том числе и специальное программное обеспечение. Следует выделить средства непосредственного и опосредованного (удаленного) доступа. К орудиям непосредственного доступа относятся машинные носители информации, а также все средства преодоления защиты информации. К орудиям удаленного доступа - сетевое оборудование, телефонная связь, модем, в том числе и мобильные, сотовые телефоны, сетевые карты и т.д. Сюда же относятся глобальная мировая сеть Интернет, локальные сети.
Всех лиц, которые совершают НДКИ можно подразделить на две категории: лица, состоящие в трудовых отношениях с предприятием, организацией, учреждением, фирмой или компанией, на котором совершено преступление, а именно: непосредственно занимающиеся обслуживанием ЭВМ, пользователи ЭВМ, имеющие определенную подготовку и свободный доступ к компьютерной системе, и административно-управленческий персонал; вторая группа - граждане, не состоящие в правоотношениях с предприятием, организацией, учреждением, фирмой или компанией, на котором совершено преступление, а именно: лица, занимающиеся проверкой финансово-хозяйственной деятельности предприятия и т.п.; пользователи и обслуживающий персонал ЭВМ других предприятий, связанных компьютерными сетями с предприятием, на котором совершено преступление; лица, имеющие в своем распоряжении компьютерную технику.
Еще одна классификация лиц, совершающих НДКИ, наиболее полно отражает современное состояние типов преступников. Здесь за основу взяты те цели, мотивы, потребности, которыми руководствуются преступники при осуществлении своих деяний. Рассмотрим их кратко, подробное описание этих типов преступников отражено в Приложении № 1.
. Хакер. Им движет исследовательский интерес, любопытство, честолюбие. Средства защиты компьютерных технологий он воспринимает как вызов, брошенный ему. Характерные черты - эскапизм, сниженная социализированность, аддикция. Отличаются высоким уровнем абстрактного мышления, индивидуализмом, интровертностью, некоторой степенью нонкомформизма. Хакеры делятся на лиц многознающих, которые помимо взлома, могут создавать свои программные продукты и придумывать что-то свое, и «script kiddies», которые бездумно используют уже готовые инструменты для взлома. Известны также хакеры, которых нанимают ОПГ для совершения преступлений с последующим вознаграждением.
2. С 90-х годов ХХ века появляется тип «е-бизнесмен» (наименование условное). Этот тип не является специалистом по информационным технологиям. Ему присуще незаконопослушность, асоциальность. Имеет свой отлаженный бизнес в сети Интернет. К совершению преступления подходят рационально и взвешено. Как правило, обладают хорошими организаторскими способностями по созданию организованной группы с четким распределением ролей. К этому типу относят фишеров и кардеров.
Как правило, фишеры образуют преступную группу, состоящую как минимум из двух лиц. Роли между соучастниками четко распределены. Применимые способы «выуживания» денег - это в основном сочетание метода социального инжиринга с разработкой фальшивых веб-сайтов. Могут взаимодействовать с кардерами.
Кардеры занимаются сбором персональных данных банковских карт. Работают по принципу «получение - распределение - реализация». Криминальная группа кардеров включает как минимум трех сообщников с четким распределением ролей. Используют всевозможные способы по «выуживанию» персональных данных банковских карт для последующего их применения при оплате товаров и услуг, изготовлением копий таких карт и их использованием в магазинах.
. Инсайдер (наименование условное) - лицо, владеющее доступом в информационную систему в силу занимаемого им положения. Главные мотивы - корыстный (если информационная система имеет отношение к денежным средствам) или месть своему работодателю, с которым у него возник конфликт на почве личной неприязни, трудовых споров и т.п. Такие люди чувствуют себя ущемленными, обиженными по сравнению с другими сотрудниками организации. Может совершить неправомерный доступ лично либо вступить с кем-либо в сговор. Обвинить коллег по работе в случившемся инциденте - характерное поведение для инсайдера.
. Антисоциальный тип (наименование условное). Этот тип преступников действует импульсивно и не склонен к планированию преступления, особенно долгосрочному. Занимаются в основном мошенничеством в Интернете. В целях получения информации, необходимой для совершения НДКИ, могут пойти на совершение насильственных преступлений.
. Кракер - это человек, который обходит или разрушает средства безопасности сети или отдельной компьютерной системы, чтобы получить несанкционированный доступ. Классическая цель кракера - нелегально получить информацию от компьютерной системы, чтобы затем нелегально использовать компьютерные ресурсы. Как бы то ни было, главной целью большинства кракеров является просто разрушение системы.
. «Белый воротничок» - казнокрад, сменивший инструменты своей деятельности на компьютер. Этот тип преступников имеет минимальную квалификацию в сфере информационных технологий. Кроме хищений, они могут совершать взяточничество, коммерческий подкуп и т.д. По мотивам совершения преступления их подразделяют на злоупотребляющих должностным положением из чувства обиды на компанию или начальство; беспринципных расхитителей, не имеющих моральных барьеров; расхитителей, попавших в тяжелое материальное положение или в материальную и иную зависимость от лица, требующего совершить преступление.
Данная классификация типов преступников свидетельствует об увеличении в будущем как количества, так и качества совершаемых преступлений, посягающих на охраняемую законом компьютерную информацию.
Рассмотрев криминалистическую характеристику НДКИ, следует отметить, что современная криминалистическая теория в вопросах, связанных с преступлениями в сфере компьютерной информации, находится в стадии становления. Это связано с такими естественными причинами, как новизна данной категории преступлений и недостаточный объем судебно-следственной практики по НДКИ, проявляющийся, во-первых, в неразработанности и противоречивости понятий, употребляемых в ст. 272 УК РФ; во-вторых, в заметных пробелах при разработке научно обоснованных и эффективных методов и методик для правоохранительных органов.
ГЛАВА 2. ОРГАНИЗАЦИЯ РАССЛЕДОВАНИЯ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ НА ПЕРВОНАЧАЛЬНОМ ЭТАПЕ
§1. Особенности возбуждения уголовного дела
Раскрывать преступления, совершенные с использованием ЭВМ, сложно, поскольку преступники прибегают к действиям, направленным на сокрытие события преступления, направление подозрений в совершении преступления на невиновное лицо, на разработку ложного алиби, на сокрытие и уничтожение важных для доказывания вины следов.
В соответствии со ст. 140 УПК РФ поводами к возбуждению уголовных дел, в том числе о преступлениях в сфере компьютерной информации, являются: заявления и письма, оформленные и зарегистрированные в установленном порядке, граждан, являющихся владельцами и законными пользователями компьютерной информации, подвергшейся преступному воздействию; непосредственное обнаружение органами дознания признаков преступления, предусмотренного ст. 272 УК РФ; сообщения предприятий, учреждений, организаций всех форм собственности и должностных лиц; статьи, заметки и письма, опубликованные в печати; явка с повинной.
Для выявления преступлений в сфере так называемых «высоких технологий», а также для установления лиц и преступных группировок, занимающихся преступной деятельностью в этой области, создано Управление «Р» МВД России. Применительно к субъектам РФ действуют отделы «К» подразделений специальных технических мероприятий при УВД субъектов РФ. Это оперативные подразделения, занимающиеся выявлением, пресечением компьютерных преступлений и составлением материалов доследственных проверок.
Решение вопроса о возбуждении уголовного дела, как правило, требует тщательной проверки и оценки имеющихся данных. Исключение составляют редкие случаи задержания правонарушителей с поличным, например, при работе на компьютере в момент несанкционированного копирования конфиденциальной информации. В этих случаях для проведения неотложных следственных действий (личного обыска задержанного, обыска по месту его работы и жительства, где находится его персональный компьютер), а также других проводимых оперативно-следственных мероприятий «по горячим следам», во избежание утраты и уничтожения доказательств совершенного преступления, уголовное дело необходимо возбудить немедленно.
Во всех других случаях при получении следователем или иным уполномоченным на то лицом сообщения о совершении преступления в сфере компьютерной информации должна быть проведена, как правило, органами дознания, доследственная проверка в порядке и в сроки, предусмотренные УПК РФ.
При этом типичными являются следующие проверочные ситуации.
1. Собственник информационной системы собственными силами выявил нарушение целостности и конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
2. Собственник информационной системы собственными силами выявил нарушение целостности и конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
. Данные о нарушении целостности и конфиденциальности информации в информационной системе и о виновном лице стали общеизвестными или непосредственно обнаружены органом дознания, следствия (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
. Данные о нарушении целостности и конфиденциальности информации в информационной системе выявлены правоохранительными органами, виновное лицо неизвестно, но заявитель не обратился в правоохранительные органы.
Доследственная проверка проводится в целях объективного подтверждения фактов, изложенных в заявлениях, материалах ведомственной и иной проверки, а именно: о нарушении целостности информации в компьютерной системе, сети; о наличии причинной связи между неправомерными действиями и наступившими последствиями, предусмотренными диспозицией ст. 272 УК РФ; а также о предварительном размере ущерба, причиненного в результате преступных действий.
В процессе доследственной проверки необходимо принять меры к установлению таких необходимых для возбуждения уголовного дела данных, как: следы преступления; место неправомерного проникновения в компьютерные сети (внутри потерпевшей организации или извне); способы совершения неправомерного доступа и его последствия; средства, использованные при совершении преступления; способы преодоления информационной защиты.
В ходе проведения доследственной проверки по рассматриваемой категории дел проводится осмотр места происшествия, опрос персонала потерпевшей организации, показания которых составят в дальнейшем свидетельскую базу по уголовному делу. В процессе получения объяснений выясняются обстоятельства, предшествовавшие совершению преступления с целью установления круга подозреваемых лиц, обстоятельства обнаружения факта преступления, наличия и функционирования информационной защиты, ее недостатках, сведения об иных причинах и условиях, которые могли быть использованы для совершения противоправных действий.
В тех случаях, когда персоналом потерпевшей организации, как правило, ее службой безопасности, самостоятельно проведена проверка по установлению лиц, причастных к совершению преступления, и выявлен подозреваемый или круг подозреваемых лиц, в ходе предварительной проверки проводится комплекс оперативно-розыскных и иных мероприятий по проверке заподозренного лица (лиц) и, по возможности, задержание его (их) с поличным. Иногда при задержании изымается компьютерная техника, при этом специалистами проводится анализ изъятого в условиях экспертного исследования.
Помимо указанных могут проводиться иные действия, направленные на установление события преступления и изобличение виновного лица, к числу которых относятся требования, поручения, запросы.
В целях проверки поступивших сообщений о преступлении и решении вопроса о наличии или отсутствии оснований для возбуждения уголовного дела орган дознания, прокурор могут использовать имеющиеся в их распоряжении средства административной, оперативной, прокурорской проверки, применение которых не обусловлено наличием производства по уголовному делу.
Решение о возбуждении уголовного дела принимается не только на основании материалов предварительных проверок заявлений потерпевших, организаций и должностных лиц, но и по материалам органов дознания при реализации оперативных разработок, результатов оперативно-розыскных действий по выявлению преступлений в сфере компьютерной информации и лиц, их совершивших.
Имеющиеся в оперативных службах материалы, полученные в результате оперативно-розыскных мероприятий, могут представляться в легализованной в соответствии с требованиями закона форме прокурору, начальнику Следственного комитета по линии МВД, следователю для предварительного ознакомления и определения достаточности данных для возбуждения уголовного дела, а при положительном решении этого вопроса - возможности задержания правонарушителя, оформления и закрепления полученных оперативных данных процессуальным путем в качестве доказательств.
Ст. 6 ФЗ «Об оперативно-розыскной деятельности» содержит закрытый перечень ОРМ. Рассмотрим методы проведения такого ОРМ, как снятие информации с технических каналов связи:
) перехват и исследование трафика. В российской судебной практике результаты трафика почти не используются в качестве доказательства. Для ведения ОРД трафик также используется крайне редко. Однако на основе анализа содержимого и статистики сетевого трафика можно определить и доказать совершение пользователем многих действий в сети, а также получить информацию об устройстве программ, информационных систем и сетей. Кроме этого, сбор и анализ сетевого трафика может в некоторых случаях заменить изъятие и экспертизу компьютера пользователя и сервера (КТЭ*), поскольку может дать содержимое электронной почты, информацию о посещении тех или иных сайтов преступником, о несанкционированном доступе к удаленным узлам (ресурсам). Данные результатов перехваченного трафика могут усилить доказательственную базу;
) исследование статистики трафика. Статистика прошедшего трафика собирается на многих компьютерных устройствах, в том числе на всех маршрутизаторах, коммуникационных устройствах и т.д. Часто эта статистика ведется по формату «netflow», предусматривающему запись сведений о каждом потоке, т.е. серии пакетов, объединенных совокупностью IP-адресов, портов и номером протокола. В результате исследования статистики можно зафиксировать факт обращения преступника к информационным ресурсам, время обращения с точностью интервала от 5 минут до 1 часа, количество переданного и полученного трафика, сам протокол, номера портов с обеих сторон для TCP и для UDP.
Кроме того, исследование статистики трафика позволяет обнаружить источник DoS-атаки или иных атак с переписанными IP-адресами путем установления контакта с несколькими провайдерами;
) перехват сведений о сетевых соединениях или перехват трафика на основе сигнатур. Иногда содержимое трафика может оказаться чересчур объемным, а статистика по объему мала, тогда прибегают к использованию промежуточных вариантов ОРМ. Сведения о сетевых соединениях или о заголовках пакетов представляют собой, с одной стороны, урезанный перехват трафика (без сохранения сведений о содержимом пакетов, сохраняются лишь их заголовки), с другой стороны, развернутый вариант статистики (когда записывается не агрегированная по времени информация о переданных пакетах). При помощи данного мероприятия, зная IP-адрес интересующего нас компьютера, можно установить наличие на данном компьютере той или иной программы, как часто она используется и некоторые другие ее данные.
Перехват по сигнатурам используется для защиты информации при обнаружении атак. Она ищет в передаваемых пакетах заранее определенные последовательности байтов, соответствующие попыткам несанкционированного доступа, активности вредоносных программ, иным подозрительным действиям.
Следующее ОРМ, которое имеет важное значение ходе расследования НДКИ, - это наведение справок. При его проведении можно определить преступника, совершившего НДКИ, а также установить иные обстоятельства, имеющие значение для следствия. Данное ОРМ осуществляется по следующим направлениям.
. Установление принадлежности и расположения IP-адреса.
В уголовном деле по НДКИ перед лицами, ведущими следствие, ставится задача определения компьютера и его местоположения по известному и оставленному IP-адресу. IP-адрес фиксируется каждый раз при выходе в Интернет при помощи различных технических средств. По зафиксированному IP-адресу (данные о нем находятся в лог-файлах на сервере у провайдера) устанавливается компьютер, с которого был осуществлен несанкционированный доступ. Установив компьютер, следователю необходимо будет доказать, что именно подозреваемый в момент осуществления преступной деятельности находился за компьютером. При этом надо помнить, что содержимое лог-файлов сервера, в которых отражаются настройки, использованные преступником при осуществлении несанкционированного доступа, их корректность и неизменность, должно быть подтверждено КТЭ.
Установить принадлежность IP-адреса можно через whois-клиент. Данный клиент доступен в Интернете любому пользователю. При запросе пользователя whois-клиент обращается к базе данных регистраторов IP-адресов.
Тот же результат можно получить, если сделать запрос через веб-форму на веб-сайте Европейского регистратора IP-адресов. Однако таким данным всецело доверять не следует. Сведения о местном регистраторе будут верными, поскольку он является членом регионального регистратора, имеет с ним договор, постоянно взаимодействует. Сведения о клиенте местного регистратора, непосредственного пользователя IP, подлежат в дальнейшем проверке.
Для уголовного дела будет недостаточно распечатки ответа whois-сервера, она должна быть заверена местным оператором связи, являющимся одновременно местным регистратором. Кроме того, получение сведений о принадлежности IP-адреса может быть оформлено рапортом оперуполномоченного, который прямо в него переписывает сведения из базы данных регистратора. Есть и другие варианты документирования: нотариальное заверение, справка от региональной организации IP-адресов. Впоследствии эти данные должны быть подтверждены КТЭ этого компьютера и показаниями сотрудников оператора связи.
Сделав запрос к клиенту whois-сервера, можно узнать, за кем закреплена соответствующая подсеть и диапазон IP-адресов. Обычно таковым является оператор связи. Получить и уточнить данные о непосредственном пользователе, а также установить его местоположение можно у оператора связи, на которого зарегистрирован соответствующий диапазон IP-адресов. Если между пользователем и оператором находится оператор - посредник или оператор последней мили, то необходимо проверить всех операторов. Сложность в проведении данной операции заключается в том, что на сегодняшний день отсутствует единый и систематический учет всех операторов.
. Установление принадлежности адреса ЭП*. Сообщения ЭП фигурируют во многих уголовных делах. При помощи ЭП происходит, например, сговор о совершении преступления. В большинстве случаев адрес ЭП связан с почтовым ящиком. Однако из каждого правила есть исключения:
групповые и коллективные адреса, которые представляют собой адрес списка рассылки: все поступающие на этот адрес письма рассылаются определенной группе адресатов, таковыми выступают часто ролевые адреса;
технические адреса: все поступающие письма на эти ящики обрабатываются программой, которая отсылает их потом по назначению;
адреса для пересылки сообщения: все сообщения перенаправляются на другой, заранее заданный адрес.
Зная адрес ЭП, можно установить почтовый ящик, с которым связан этот адрес, затем выяснить, кто пользуется этим почтовым ящиком. Таким способом будет установлен владелец адреса.
Для установки места расположения ящика специалист (эксперт) устанавливает первичный MX домена. Во многих случаях ящик, принадлежность которого устанавливается, находится на этом же сервере, отвечающий его настройкам. В других случаях почтовый сервер пересылает почту на иной сервер, указанный в его настройках. В обоих случаях требуется узнать эти настройки. Для этого потребуется содействие провайдера, обслуживающего сервер. Расположение почтового ящика документируется протоколом осмотра сервера или заключением эксперта в ходе проведения КТЭ.
Доказательствами факта использования почтового ящика определенным лицом могут быть:
·наличие на компьютере у лица настроек для доступа к ящику ЭП, в том числе и пароль к этому ящику;
·наличие на компьютере у лица полученных сообщений ЭП со служебными заголовками, свидетельствующими о прохождении сообщений через этот ящик;
·наличие на сервере, где расположен ящик, логов об успешном соединении и аутентификации пользователя данного почтового ящика;
·наличие у других абонентов сообщений от этого лица, написанных в ответ на сообщения, отправленные на этот почтовый ящик.
Помимо рассмотренных проводятся и другие ОРМ, указанные в ст. 6 ФЗ «Об ОРД».
Как отмечалось выше, осмотр места происшествия может проводиться до возбуждения уголовного дела. Особо следует отметить осмотр, проводимый в отношении сервера провайдера в целях исследования находящихся на нем лог-файлов, а также логов мейл-сервера и заголовков ЭП.
Логирование событий определяет политику безопасности компьютера, а именно одну из ее составляющих - аудит. Ведение процесса логирования повышает вероятность выявления преступника, а также его изобличение. В любой операционной системе ведется журнал регистрации событий, который фиксируется в рамках какой-либо программы. Каждому событию соответствует своя запись. Записи откладываются в отдельный файл, назначаемый самой программой. В логах могут храниться любые сведения. Форма записи остается на усмотрение автора программы. Есть логи целевые, которые ориентированы на цели безопасности и расследования инцидентов. Следует иметь в виду, что логи могут вестись разными программами. В этом случае все эти и другие места должен указать специалист, участвующий в осмотре места происшествия, в том числе не исключено, что придется приглашать не одного, а двух и более специалистов.
Чаще всего в логах откладываются данные об IP-адресе клиента; времени запроса, включая часовой пояс; поля HTTP-запроса клиента; код ответа веб-сервера; ошибки, происшедшие при загрузке веб-странице и др.
При исследовании логов надо помнить, что поля HTTP-запроса могут быть фальсифицированы преступником, т.к. формируются они на его стороне. Зафиксированному в логе IP-адресу можно доверять, но надо помнить, что этот адрес может оказаться IP прокси-сервера или иного посредника. Внутренние поля веб-сервера не могут быть фальсифицированы.
Для проверки достоверности данных логов веб-сервера применяется сопоставление записей между собой, а также с иными логами.
Сообщение ЭП создается на компьютере отправителя в программе, называемой клиентом ЭП. Затем оно отправляется на сервер ЭП отправителя. Оттуда - на сервер ЭП получателя сразу либо же через промежуточный сервер ЭП (релей). На сервере получателя сообщение помещается в почтовый ящик соответствующего пользователя. Из этого ящика при посредстве сервера доставки пользователь забирает сообщение. Сообщение сохраняется в клиенте отправителя и получателя. При прохождении через сервер отправителя копия сообщения не сохраняется, но делается запись в логе о его получении и отправке. При этом в сообщение вставляется служебный заголовок «Received» - маршрутный заголовок.
При прохождении сообщения остаются следующие следы:
·копия сообщения на компьютере отправителя;
·запись в логе каждого сервера ЭП отправителя;
·копия сообщения на компьютере получателя с добавленными по пути заголовками;
·следы на компьютере отправителя в результате работ антивирусных программ, сетевых соединений, относящихся к сообщению ЭП;
·следы в логах провайдера, через которые осуществлялось соединение компьютера преступника и сервером отправителя;
·записи в логах антиспамовых программ на всех серверах ЭП отправителя, через которые прошло сообщение;
·следы серверов ЭП отправителя в результате их обращения к DNS-серверам во время приема и передачи сообщения;
·следы в логах провайдера серверов ЭП получателя;
·иные следы на компьютере получателя.
В случае использования вместо программы веб-клиента веб-интерфейс сервера ЭП добавляются следы, характерные для просмотра веб-страниц.
Для признания результатов ОРМ, проведенных в ходе осмотра места происшествия, доказательствами, помимо протокола осмотра, прикладывается впоследствии заключение эксперта, проводящего КТЭ сервера, подтверждающего результаты осмотра.
В настоящее время поисковые системы в Интернете стали широко применяться не только обычными пользователями, специалистами по информационным технологиям и преступниками, но и оперативными работниками. Для криминалистики поисковые системы представляют большой интерес, потому что в них можно обнаружить следы. Очень многие виды сетевой активности оставляют след в поисковых системах, и он может храниться в базе данных поисковика. Помимо этого со стороны поисковой системы можно вести ОРД или получать данные в ходе следственных действий. Поисковая система может протоколировать события и действия пользователя в сети. Все эти сведения могут послужить косвенными доказательствами по уголовному делу.
Итогом разрешения проверочной ситуации должно стать принятие процессуального решения. Если в ходе доследственной проверки были выявлены достаточные данные, указывающие на признаки преступления, то уполномоченное лицо выносит постановление о возбуждении уголовного дела.
Исходя из вышесказанного, следует, что проведение полноценных ОРМ и выявление признаков преступления, предусмотренного ст. 272 УК РФ, возможно только при взаимодействии правоохранительных органов с операторами связи и специалистами в сфере информационных технологий.
§2. Типичные следственные ситуации первоначального этапа расследования неправомерного доступа к компьютерной информации
Под организацией расследования понимается деятельность следователя, направленная на создание наиболее оптимальных условий для всего хода расследования и действий в каждой следственной ситуации в целях успешной реализации плана расследования.
На первоначальном этапе расследования НДКИ успех в собирании доказательств зависит от взаимодействия правоохранительных органов со специалистами и операторами связи. Это объясняется тем, что специальные знания в области информационных технологий потребуются как в ходе проведения ОРМ и при первичной проверке материала, так и на стадиях предварительного расследования и судебного разбирательства. Содействие провайдера (оператора связи) также является обязательным элементом расследования на первоначальном этапе, поскольку он выступает «полновластным хозяином» своего участка в сети Интернет. Без содействия со стороны провайдера пока невозможно проводить ОРМ или следственные действия.
Во многих случаях для расследования преступления по ст. 272 УК РФ бывает полезно привлечь потерпевшего. Современная виктимология рассматривает потерпевшего как опору следствия и источник информации о преступлении. Жертва преступления имеет хороший потенциал и мотивацию для активных действий. Потерпевшие или работники предприятия - потерпевшего имеют достаточно высокую квалификацию в области информационных технологий. Часто эта квалификация выше, чем у сотрудников правоохранительных органов, занимающихся расследованием.
В ходе расследования НДКИ необходимо создать следственно-оперативную группу для проведения процессуальных действий, которая должна состоять, как считают российские авторы по информационным технологиям, из следователя СК при МВД, сотрудника отдела «К», оперуполномоченного, специалиста. Определяющая роль в создании следственно-оперативной группы принадлежит следователю. Указанные лица помогут следователю зафиксировать цифровые доказательства. Если в деле будут выявлены обстоятельства, носящие угрозу национальной безопасности государства, то, помимо названных лиц, к делу подключаются сотрудники УОТМ ФСБ и уведомляется прокурор субъекта РФ.
Практика показывает, «отрыв» следователя от проведения ОРМ, которые проводятся сотрудниками отдела «К», приводит к тому, что процесс расследования уголовного дела замедляется. Помимо того, что следователь еще не в полной мере осознает информацию, находящуюся у него к моменту возбуждения уголовного дела, он, кроме того, не прислушивается к мнению оперативных сотрудников о последовательности и целесообразности проведения следственных действий. Помимо этого, «камнем преткновения» здесь стоят ст. 12 и 14 ФЗ «Об ОРД», в соответствии с которыми оперативный сотрудник обязан действовать в условиях строгой конспирации: он не всегда сможет выдать следователю всю информацию, полученную в ходе проведения ОРМ. Поэтому следователю необходимо принимать участие в проведении ОРМ при расследовании НДКИ для получения информации, достаточной для возбуждения уголовного дела и планирования расследования преступления в будущем.
Обеспечивающую функцию в работе по раскрытию и расследованию преступлений на первоначальном этапе выполняют криминалистические информационные системы. Это не только средства связи, навигации и системы криминалистической регистрации, но также ГИТКС НЦБ Интерпола и ЕИТКС ОВД.
В настоящее время преступлений, возбужденных по признакам ст. 272 УК РФ, зарегистрировано много. В такой ситуации органам следствия необходимо сосредоточиться на фактах приоритетности расследования. Эти факты зависят от вида и размера ущерба, наступившего в результате НДКИ, количества и квалификации персонала и юрисдикции государства.
В ходе расследования НДКИ подлежат установлению следующие обстоятельства:
факт НДКИ;
место и время несанкционированного проникновения в систему или сеть;
надежность средств защиты компьютерной информации;
способ совершения несанкционированного доступа;
лица, совершившие НДКИ, их виновность и мотивы НДКИ;
вредоносные последствия неправомерного доступа к компьютерным системам и сетям;
обстоятельства, способствовавшие НДКИ.
Типичные следственные ситуации по рассматриваемой категории преступлений можно классифицировать по различным основаниям.
По источнику информации выделяют ситуации, когда:
·неправомерный доступ обнаружен самим пользователем;
·неправомерный доступ обнаружен в ходе оперативно-розыскной деятельности;
·неправомерный доступ обнаружен в ходе прокурорских проверок;
·неправомерный доступ выявлен при проведении ревизии;
·неправомерный доступ обнаружен в ходе производства следственных действий по другому уголовному делу.
С учетом объема исходной информации, полученной при проведении проверочных действий на первоначальном этапе расследования, возможны следующие типичные следственные ситуации.
. Известны способ, мотивы и последствия неправомерного доступа, но неизвестна личность преступника.
. Имеется информация и о способе, и о мотивах, и о личности преступника.
В первых двух ситуациях целесообразно строить расследование по следующей схеме: опрос заявителя и свидетелей, осмотр места происшествия с участием специалистов, проведение ОРМ для установления причин преступления, выявления преступников, допрос свидетелей и потерпевших, выемка и изучение компьютерной техники и документации, задержание преступника, допрос подозреваемого, обыски по месту жительства и работы, назначение и производство судебных экспертиз.
В третьей (максимально информативной) ситуации расследование строится по следующей схеме: изучение материалов предварительной проверки и возбуждение уголовного дела, осмотр места происшествия, задержание преступника, допрос подозреваемого, обыски по месту жительства и работы подозреваемого, допросы потерпевших и свидетелей, выемка компьютерной техники и документации, назначение судебных экспертиз.
Общие версии, которые выдвигаются на первоначальном этапе расследования следующие: преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов; ложное заявление о преступлении либо имела место инсценировка преступления.
Частные версии выдвигаются в отношении личности преступника, мотивов совершения преступления, способов НДКИ, размера причиненного ущерба и т.д.
При расследовании неправомерного доступа к закрытой системе (организации, фирмы) первая версия, которая выдвигается следователем, эта версия о личности преступника: неправомерный доступ совершен сотрудником потерпевшей организации или лицом, не имеющим отношений с потерпевшей организацией. В первом случае выдвигается версия об инсайдере (внутренний неправомерный доступ), вторая - неправомерный доступ совершен хакером (неправомерный доступ снаружи). Однако надо иметь в виду, что если признаки преступления указывают на то, что НДКИ был совершен хакером (снаружи), то скорее всего он стал возможным в результате сговора с сотрудником потерпевшей организации, поскольку для хакера обнаружить уязвимости в информационной системе - это сложная задача с учетом новейших программных средств, а вот сотрудник потерпевшей организации знаком со всеми ее проблемами.
Следственная практика показывает, что, чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выявить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.
Таким образом, для того, чтобы возбудить уголовное дело по НДКИ и организовать расследование на первоначальном этапе, необходимо грамотное и четкое взаимодействие следственно-оперативных органов с операторами связи и специалистами в сфере информационных технологий. Это взаимодействие должно быть отражено в ходе планирования расследования уголовного дела.
ГЛАВА 3. ОСОБЕННОСТИ ПРОИЗВОДСТВА ПЕРВОНАЧАЛЬНЫХ СЛЕДСТВЕННЫХ ДЕЙСТВИЙ ПРИ РАССЛЕДОВАНИИ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
§1. Особенности проведения осмотра места происшествия, обыска (выемки), допроса подозреваемого (обвиняемого)
На первоначальном этапе расследования НДКИ проводятся следующие следственные действия: осмотр места происшествия, обыск (выемка), допрос, КТЭ. Сложность проведения следственных действий заключается в том, что в УПК РФ не закреплены правила сбора и фиксации цифровых доказательств, поскольку в силу быстрой изменчивости компьютерных систем это сделать невозможно, а разработка методик затруднена отсутствием грамотных специалистов в ведомствах. Столкнувшись с такой проблемой, специалисты предлагают использовать рекомендации научных профессиональных организаций.
Одним из важных следственных действий, проводимых на первоначальном этапе расследования НДКИ, является осмотр места происшествия. Данное процессуальное действие может быть произведено до возбуждения уголовного дела и после него (ст. 176 УПК РФ).
Осмотр по делам, касающимся НДКИ, - это осмотр в первую очередь компьютерной информации. Однако осмотр компьютерной информации - это не вполне осмотр, а скорее инструментальная проверка, требующая определенных знаний об используемых технических средствах, принцип действия которых не всегда очевиден. Дело в том, что органы чувств человека не в состоянии воспринимать компьютерную информацию без взаимодействия «технических посредников». Компьютерная информация, которая предстает перед нами в своей исходной форме на мониторе ЭВМ, претерпевает количественные преобразования, которые порой переходят в качественные. И ни в одном техническом устройстве или программном обеспечении нельзя быть уверенным. Соответственно, вместо настоящего файла (его содержимого), участники осмотра места происшествия могут видеть сильно искаженную картину. Недаром существует точка зрения, что осмотр компьютерной информации вообще недопустим, а следует проводить экспертизу. Но практика никак не позволяет принять это утверждение.
Подготовка к осмотру места происшествия по делам данной категории включает необходимость решения ряда организационных вопросов как общих для любого следственного осмотра, так и специфических, приемлемых только для преступлений в сфере компьютерной информации. К общим относится приглашение понятых, сведущих в компьютерной технике, инструктаж участников осмотра, к специфическим - обязательное участие в осмотре специалистов в области компьютерной техники. Иногда требуется пригласить не одного специалиста, а даже нескольких. Выбор специалиста будет зависеть от способа НДКИ и от объема первоначальной информации о совершенном преступлении.
Перед началом осмотра места происшествия необходимо принять меры по подготовке с помощью специалиста соответствующей компьютерной техники, которая будет использоваться для считывания и хранения изъятой информации. Также потребуется программное обеспечение, позволяющее осуществлять копирование и анализ информации на месте.
Сразу по прибытии на место происшествия необходимо принять меры к обеспечению сохранности информации в подлежащих осмотру компьютерах и на съемных носителях, для чего необходимо:
·не разрешать лицам, работающим в это время или находящимся в помещении по другим причинам, прикасаться к компьютерному оборудованию, а также пользоваться телефоном;
·не разрешать никому выключать электроснабжение объекта;
·не разрешать никому производить манипуляции с компьютерной техникой, если их результат заранее не известен, в том числе и следователю;
·определить, соединены ли находящиеся в осматриваемом помещении компьютеры в локальную вычислительную сеть*. При наличии ЛВС наибольший интерес должен представлять сервер, на котором хранится большая часть информации и к которому имеют доступ все подключенные к сети ЭВМ. Этот компьютер рекомендуется обследовать особенно. Вместе с тем, надо иметь в виду, что сервером может являться не один, а несколько компьютеров, расположенных в разных помещениях;
·установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения;
·выяснить, подключен ли компьютер к телефонной линии. В случае подключения на него могут поступать вызовы к продолжению приема или передачи информации. Если информация, поступающая на компьютер по электронной почте и иной связи, может иметь интерес для следствия, то отключать его не следует;
·определить, какая операционная система загружена, какие прикладные программы запущены и какие данные введены в компьютер. Одновременно следует обратить внимание на дату и текущее время на дисплее компьютера. Все отображенное на экране необходимо описать в протоколе и по возможности зафиксировать с помощью фото- или видеозаписи.
При проведении осмотра необходимо учитывать вероятность принятия лицами, заинтересованными в сокрытии преступления, мер по уничтожению информации и других ценных данных; вероятность установки в осматриваемые ЭВМ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специального сигнала или кода, автоматически уничтожают всю хранящуюся в ЭВМ информацию, либо интересующую следствие наиболее важную ее часть; вероятность установки в осматриваемые ЭВМ иных средств защиты информации от несанкционированного доступа.
В этой связи чрезвычайно важно участие специалистов уже на первом этапе производства осмотра места происшествия: они помогут разобраться в особенностях компьютерного оборудования, укажут, что подлежит изъятию и предотвратят умышленное или случайное уничтожение информации.
Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы: служебные помещения; средства вычислительной техники; носители машинной информации; документы.
Осмотр служебного помещения необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где находится ЭВМ.
В ходе осмотра целесообразно начертить схему осматриваемых территорий, зданий и помещений с обозначением на ней мест расположения оборудования. Кроме того, осматриваемые объекты должны быть сфотографированы по правилам судебной фотографии, т.е. сначала общий вид здания, помещения, затем по правилам узловой фотосъемки отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока, что должен определить специалист.
При осмотре помещения необходимо обращать внимание на небольшие листки, клочки, обрывки бумаги с полезной для следствия информацией, которые нередко прикрепляются к компьютеру или находятся в непосредственной близости от него; на возможные остатки следов на столе, где была установлена ЭВМ, загрязнения, следы вдавливания и другие признаки, свидетельствующие о перемещении, переподключении ЭВМ и периферийных устройств.
При осмотре средств вычислительной техники непосредственными объектами могут быть отдельные компьютеры, не являющиеся составной частью локальных или глобальной сетей; рабочие станции, входящие в сеть; серверы; сетевые линии связи; соединительные кабели; периферийные устройства. При этом должны быть установлены конфигурация компьютера с описанием всех устройств, номера моделей и серийные номера каждого из устройств, инвентарные номера, присваиваемые бухгалтерией при постановке на баланс предприятия, прочая информация на фабричных ярлыках.
При осмотре работающего компьютера с участием специалиста следует установить, какая программа выполняется, тип программного обеспечения, загруженного в момент осмотра в компьютер, что может свидетельствовать о задачах, для которых использовался данный компьютер; по мере необходимости и возможности остановить исполнение программы и установить, какая информация получена после окончания ее работы; определить и восстановить наименование и назначение вызывавшейся перед осмотром программы; установить наличие в компьютере накопителей информации, их тип и количество; при наличии технической возможности скопировать информацию, которая может иметь значение для дела.
Если компьютер подключен к локальной сети, необходимо установить количество подключенных к серверу рабочих станций, вид связи сети, количество серверов в сети; по возможности организовать одновременный осмотр включенных в локальную сеть рабочих станций и компьютеров. Если такая возможность отсутствует, следует обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.
При осмотре неработающего компьютера с участием специалиста следует определить место нахождения компьютера и его периферийных устройств с обязательным указанием в протоколе наименования, номера, модели, формы, цвета и индивидуальных особенностей каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, а при наличии проводов и кабелей - их вид, цвет и количество, выяснить, подключен ли данный компьютер в сеть, каковы способ и средство его подключения. Необходимо также визуально и на ощупь проверять признаки недавней работы ЭВМ (нагрев блока питания, принтера).
Осмотр носителей компьютерной информации (лазерные диски, съемные Usb-устройства и т.д.) производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе следов пальцев рук, которые могут быть выявлены на упаковках и местах хранения машинной информации.
В ходе осмотра места происшествия могут быть обнаружены и изъяты документы, которые впоследствии могут быть признаны вещественными доказательствами по делу:
·носящие следы совершенного преступления (шифрованные, рукописные записи, пароли и коды доступа в сети, дневники связи);
·содержащие следы действия компьютерной техники. В этой связи следует искать в устройствах вывода бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;
·описывающие аппаратуру и программное обеспечение;
·устанавливающие правила работы с компьютером, нормативные правовые акты, регламентирующие правила работы с данным компьютером, системой, сетью;
·журналы учета работы на компьютере, листинги, техническая, технологическая, кредитно-финансовая, бухгалтерская и т.п. документация.
При осмотре документов особое внимание следует обращать на подчистки и исправления в тексте, дополнительные записи; отсутствие либо нарушение нумерации страниц, а также вклеенные страницы, листки, бланки; распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; несоответствия ведущихся в системе форм регистрации правилам, установленным технической и технологической документацией.
В процессе осмотра необходимо помнить о соблюдении элементарных правил обращения с вычислительной техникой, а при изъятии отдельных устройств вычислительной техники и носителей компьютерной информации соблюдать правила их упаковки и транспортировки.
Особо следует остановиться на осмотре лог-файлов. Логи не являются непосредственным источником доказательств. В качестве посредника выступает мнение специалиста, облекаемое в законную процессуальную форму, или заключение эксперта.
Доказательственная сила логов базируется на корректности и неизменности. Эти два свойства должны соблюдаться при следующих событиях: корректности фиксации событий и генерации записей в генерирующую программу, неизменность при передаче записей от генерирующей к логирующей программе, корректность обработки записей в логирующей программе, неизменность при хранении логов до момента изъятия, корректность процедуры исследования, неизменность при хранении после изъятия до осмотра или передачи на экспертизу, корректность интерпретации логов. При несоблюдении одного действия, лог перестает быть доказательством.
Процедура приобщения логов к доказательствам следующая: следователь со специалистом в присутствии представителя, обслуживающего провайдер, и двух понятых проводит осмотр содержимого сервера. При этом используются штатные программные и аппаратные средства. Составляется протокол, в котором отражается характеристика сервера, версия ОС, состояние генерирующей и логирующей программы, наличие файлов с логами, их временные метки, права доступа к лог-файлам, учетные записи пользователей, имеющих права на запись в лог-файлы. Нужные записи из логов выбираются, распечатываются на принтере, на диск копируются все осмотренные логи, который опечатывается и отправляется на экспертизу, и все это прилагается к протоколу осмотра. Все листы протокола подписываются участниками осмотра.
Стоит заметить, что операторы связи небрежно относятся к хранению логов, хотя это их обязанность. При возникновении инцидента многие из них ссылаются на незнание правил сбережения логов. В связи с этим необходимо ввести административную ответственность операторов связи за ненадлежащее исполнение своих обязанностей вплоть до отзыва лицензии.
Обыск и выемка в отличие от осмотра места происшествия производятся только по возбужденному уголовному делу. Кроме того, если при осмотре фиксируется состояние места происшествия с изъятием обнаруженных следов и предметов, то при обыске и выемке идет поиск и изымаются конкретные предметы и документы, имеющие доказательственное значение по делу, а также ценности, добытые преступным путем (ст. ст. 182, 183 УПК РФ).
Применительно к ст. 272 УК РФ обыск и выемка производятся, когда имеются сведения о лицах, причастных к совершению преступления, способах, средствах или месте преступного посягательства с использованием компьютерных технологий и вероятном местонахождении доказательств. Тактика проведения обыска и выемки при расследовании преступления по ст. 272 УК РФ имеет свои особенности. Это обусловлено не только умышленным уничтожением информации, имеющей доказательственное значение, еще не выявленными соучастниками преступления либо иными заинтересованными лицами среди персонала по месту работы подозреваемого или его близких по месту жительства, но и вероятностью неосторожного поведения следователя и других членов следственно-оперативной группы, которые в результате неквалифицированного обращения с программно-аппаратными средствами могут повредить информацию или уничтожить следы.
При проведении обыска необходимо руководствоваться следующими принципами:
во время изъятия компьютерной техники, съемных носителей и при последующем их хранении не должна изменяться информация;
доступ к информации и ее исследование на месте допустимы тогда, когда невозможно изъять носитель и отправить его на экспертизу;
все действия с компьютерной техникой протоколируются.
На подготовительном этапе обыска при подборе специалистов необходимо учитывать особенности компьютерной техники и способа неправомерного доступа, использованного при совершении преступления; оценить с участием специалистов данные, полученные в ходе расследования уголовного дела; обеспечить участие понятых, обладающих хотя бы минимальными знаниями о компьютерных технологиях; принять меры к обеспечению безопасности места проведения обыска с точки зрения сохранности доказательств; определить время проведения и меры по обеспечению внезапности предстоящего обыска (выемки) как для подозреваемых, так и иных лиц, которые могут находиться на месте проведения следственного действия; решить вопрос обеспечения транспортом, упаковочным материалом для вывоза изъятого оборудования и носителей информации.
Если обыск планируется провести у физического лица на квартире, и у следователя есть основания полагать, что собственник квартиры предпримет меры, направленные на воспрепятствование проведению этого следственного действия, то в этом случае рекомендуется привлекать соседей для проникновения в квартиру обыскиваемого лица. В любом случае следователь должен обеспечить внезапность обыска в целях недопущения уничтожения информации, а также физического уничтожения носителей машинной информации подозреваемым. Обыск в организации лучше всего проводить в середине рабочего дня, если имеются основания для его отложения.
Что касается тактики и общих правил изъятия компьютерной техники при обыске, то их можно свести к следующим положениям:
·обыскиваемое помещение, в том числе электрощит, берется под контроль следователем и иными сотрудниками. Если местный персонал от техники отстранить не удается, то необходимо фиксировать все их действия в протоколе. В редких случаях, когда о проведении обыска стало известно сообщникам, находящимся вне контроля от следователя, например, в той же организации, но этажом выше, то необходимо, как можно быстрее, отключить сетевые соединения и модемы;
·все включенные устройства, в том числе периферийные, в момент проведения обыска не выключаются;
·далее фотографируется или снимается на видео компьютерная техника. Особое внимание уделяется кабелям, какой куда подключен. Для удобства фиксирования и протоколирования, необходимо снабдить их ярлычками;
·на компьютерах, которые находятся в рабочем состоянии, фиксируется изображение на мониторе, отмечаются, какие программы загружены в этот момент;
·обследование рабочих мест в поисках записок с паролями и иных данных, необходимых для поиска;
·если принтер что-то печатает, то необходимо дождаться окончания печати. Все, что находится на выходном лотке принтера, описывается и изымается;
·после проведенных выше действий компьютеры выключаются специалистом. Если специалиста нет по причине неотложности проведения обыска, то настольный компьютер выключается вытаскиванием шнура из блока питания системного блока. У ноутбука, помимо отключения от сети, извлекается аккумулятор без закрывания крышки. Изымается вся компьютерная техника и носители, находившиеся на момент проведения обыска независимо от их юридической принадлежности;
·всю изъятую технику необходимо упаковать: каждое техническое устройство в отдельный пакет с последующей нумерацией;
·поскольку компьютерная информация имеет свойство легко и быстро удаляться, то следователь должен опросить отдельно всех пользователей на предмет паролей и сетевых имен пользователей, не дожидаясь допроса. Пароли допустимо не вносить в протокол допроса или объяснение. Также на этом этапе надо составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других лиц, состоящих в трудовых отношениях с потерпевшей организацией, для последующего их допроса.
При проведении обыска следователь должен иметь представление о личности преступника, а также об уровне его познаний в сфере информационных технологий. Знание о личности преступника позволяет специалисту, например, принять правильное решение о выключение ЭВМ. Как известно, есть два метода выключения компьютера: «холодный» и по штатной команде. При применении первого (он происходит путем извлечения шнура из блока питания или розетки) пропадет информация, находящаяся в ОЗУ и иных местах, т.е. та, которая «живет» до выключения компьютера, и содержимое временных файлов, загруженных текущими процессами на ЭВМ. Если перед следователем подозреваемый - специалист среднего или высокого уровня, то надо учитывать, что на компьютере пользователя может находиться программа, срабатывание которой при выключении ПК штатным методом приведет к уничтожению информации на ЭВМ (обычно хакеры оснащают свои компьютеры «логической бомбой»). В любом случае применить тот или иной вариант специалист должен, исходя из обстоятельств дела: какая информация нужнее для следователя.
В продолжение темы выключения ЭВМ при проведении обыска, хотелось бы отметить следующее. Когда в ходе обыска дело доходит до изъятия компьютера, то иногда подозреваемый пытается всячески навязать следователю тот или иной метод выключения компьютера в надежде на то, что при использовании рекомендованного им метода произойдет автоматическое уничтожение информации (как, например, в ситуации с логической бомбой). Все эти действия необходимо фиксировать в протоколе. Если в дальнейшем, в ходе проведения КТЭ ЭВМ подозреваемого, выяснится, что способ, рекомендованный им, привел бы к уничтожению информации на компьютере, то это косвенно подтверждает вину лица в совершении преступления.
Если проведение обыска не терпит отлагательств, то в этом случае у следователя может не хватить времени для подбора специалиста, который будет участвовать в данном процессуальном действии. Поэтому излагаемая информация в Приложении № 4, касающаяся особенностей носителей компьютерной информации, ориентирована на ситуацию проведения обыска следователем без специалиста.
Иногда при обыске, в процессе копирования и снятия специалистом информации, полезными могут оказаться данные, которые существуют до момента выключения компьютера или завершения сеанса программы, но еще не сохраненные, например, содержимое ОЗУ. Такие данные специалист снимает на месте происшествия. Применительно к неправомерному доступу, предположительно осуществленному с исследуемого компьютера, следует собрать список процессов, информацию о текущих сетевых соединениях, образец трафика.
При подготовке, планировании и в ходе проведения допросов подозреваемых и обвиняемых (ст. 187-191 УПК РФ) по уголовному делу, возбужденному по ст. 272 УК РФ, следует учитывать обстоятельства совершенного преступления, субъект и субъективную сторону. Перед проведением допроса следователю необходимо проконсультироваться со специалистом, а при необходимости пригласить его для участия в допросе, а также составить детальный план допроса.
·имеет ли подозреваемый (обвиняемый) навыки обращения с компьютером, где, когда и при каких обстоятельствах он освоил работу с компьютерной техникой и с конкретным программным обеспечением;
·место его работы и должность, работает ли он на компьютере по месту работы, имеет ли правомерный доступ к компьютерной технике и к каким видам программного обеспечения; какие операции с компьютерной информацией выполняет на рабочем месте;
·имеет ли правомерный доступ к глобальной сети Интернет, работает ли в Интернете; закреплены ли за ним по месту работы идентификационные коды и пароли для работы в компьютерной сети; если не работает, то какие операции выполняет на своем персональном компьютере либо персональных компьютерах других лиц из своего ближайшего окружения, где и у кого приобрел программы для своей ЭВМ;
·каковы обстоятельства, предшествовавшие совершению преступления (когда возникло намерение совершить преступление, что повлияло на принятие такого решения, почему выбран данный объект посягательства, мотивы совершения преступления, его цель и т.д.).
При допросах подозреваемых (обвиняемых) очень важно детально уточнить технологию совершенного преступления или преступлений, получить сведения о том, какие электронные и вещественные доказательства содеянного имеются или могли сохраниться, где можно обнаружить интересующую следствие информацию.
На последующей стадии допроса у подозреваемого (обвиняемого) выясняются конкретные обстоятельства НДКИ:
·место неправомерного проникновения в компьютерную систему, т.е. внутри потерпевшей организации или извне;
·каким образом произошло проникновение в помещение, где установлена компьютерная техника;
·как осуществлен неправомерный доступ в компьютерную сеть, каковы способы преодоления информационной защиты;
·от кого им получены данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;
·какие средства использованы при совершении преступления;
·способы сокрытия неправомерного доступа;
·количество фактов незаконного вторжения;
·использование для неправомерного доступа своего служебного положения.
Важнейшей задачей в ходе допросов подозреваемых (обвиняемых) об обстоятельствах совершения компьютерных преступлений является установление формы и степени их вины в содеянном, а также их отношения к наступившим вредным последствиям. При этом в ходе допросов подозреваемых (обвиняемых) устанавливаются обстоятельства совершения ими не только преступления, предусмотренного ст. 272 УК РФ, но и других преступлений, ради которых такой доступ осуществлялся.
§2. Особенности назначения компьютерной экспертизы (компьютерно-технологической и компьютерно-технической)
компьютерный информация неправомерный доступ
При расследовании НДКИ должны проводиться как традиционные виды экспертиз, так специальные судебные экспертизы - компьютерно-технологическая и компьютерно-техническая.
Проведение компьютерных судебных экспертиз необходимо как для исследования собственно информационно-технологических процессов сбора (накопления, хранения, поиска, актуализации, распространения) информации и представления ее потребителю в условиях функционирования автоматизированных информационных систем и сетей, так и отдельно взятых технических и иных средств обеспечения этих процессов.
Непосредственными объектами исследования компьютерно-технологической экспертизы могут быть проектная документация на разработку и эксплуатацию компьютерных систем и сетей, отражающая процессы сбора, обработки, накопления, хранения, поиска и распространения информации; документированная информация; материалы сертификации информационных систем, технологий и средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов; приказы и распоряжения администрации, инструкции, протоколы, договоры, положения, уставы и методики по эксплуатации компьютерных систем и сетей; схемы движения информации от источников к потребителю с указанием пунктов ее сбора и т.д.
Компьютерно-технологическая экспертиза назначается в тех случаях, когда для разрешения возникающих в ходе расследования вопросов требуются специальные познания в технологии информационных процессов. С помощью компьютерно-технологической экспертизы можно определить, например, соответствие существующего технологического процесса компьютерной обработки информации с проектной и эксплуатационной документацией на конкретную информационную систему либо сеть; конкретные отклонения от установленной информационной технологии; непосредственных исполнителей, допустивших нарушение установленной информационной технологии; надежность организационно-технологических мер защиты компьютерной информации; вредные последствия, наступившие вследствие неправомерного нарушения установленной технологии компьютерной обработки информации; обстоятельства, способствовавшие преступному нарушению технологии электронной обработки информации и т.д.
При расследовании преступлений по ст. 272 УК РФ надо учитывать то, что практически любое обращение с компьютерной информацией требует специальных познаний. Источником таких знаний выступают специалист и эксперт. Отсюда следует, что особая роль в ходе расследования НДКИ принадлежит компьютерно-технической экспертизе (далее - КТЭ), поскольку установить факты, касающиеся компьютерной информации, можно только на основании экспертизы.
Объекты КТЭ - все орудия, с помощью которых осуществляется доступ к информационным ресурсам. Когда в качестве объекта исследования выступает носитель информации, то лучше проводить исследования с его копией, чтобы избежать повреждения оригинала. В УПК РФ и ФЗ «О ГСЭД» нет нормы, которая запрещает проводить исследования с копией носителя. Эксперт может сделать копию на таком носителе, с которым ему будет удобнее и быстрее работать. Оригинал может потребоваться в дальнейшем: непосредственно в суде как вещественное доказательство или при проведении повторной или дополнительной экспертизы. Однако есть методы КТЭ, хотя они используются редко, которые при исследовании требуют применения оригинала. Соответственно, если специалист в ходе обыска изъял, например, копию диска сервера по причине невозможности изъятия сервера или его диска в натуре, а потом выясняется, что для ответа на поставленный в постановлении о назначении КТЭ вопрос, необходимо исследование оригинала, то следователь попадает «в неловкое положение». Поэтому многие исследователи предлагают такой выход, что специалист должен предположить, какие вопросы поставит следователь перед экспертом, и какие методы впоследствии будут применяться при исследовании.
К основным задачам КТЭ относятся определение технического состояния компьютерного оборудования и пригодности его для решения задач, предусмотренных проектной и эксплуатационной документацией на данную автоматизированную систему; техническое исполнение конкретных технологических информационных процессов и отдельных операций, ставших предметом предварительного следствия; восстановление содержания поврежденных информационных массивов, отдельных файлов на носителях; выявление технических причин сбойных ситуаций в работе компьютера; установление подлинности информации, записанной на машинных носителях и внесенных в них изменений; выявление в программе для ЭВМ разного рода неправомерных изменений, дополнений, вставок преступного характера; установление соответствия средств защиты информации от несанкционированного доступа и т.п.
При выборе организации (среди гражданских), которая будет проводить КТЭ, предпочтение отдается опыту работы представителей организации. Когда у следователя есть выбор между государственным и гражданским экспертным учреждением, то лучше принять решение в пользу второго.
В зависимости от объекта исследования можно выделить четыре вида КТЭ:
·аппаратно-техническая (предполагает проведение диагностического исследования технических (аппаратных) средств компьютерной системы, определение функциональных возможностей, фактического и начального состояния, технологии изготовления, эксплуатационных режимов и т.п.);
·программно-техническая (состоит в изучении функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, пользовательского (потребительского) состояния представленного на исследование системного, прикладного и авторского программного обеспечения компьютерной системы как видовых объектов экспертизы);
·информационно-техническая (предполагает разрешение диагностических и идентификационных вопросов, связанных с компьютерной информацией);
·компьютерно-сетевая (предполагает исследование функционального предназначения компьютерных средств, реализующих какую-либо сетевую информационную технологию).
Сложность КТЭ состоит в ее понимании другими участниками процесса, поскольку лицо, проводившее экспертизу, порой затрудняется объяснить простыми словами механизм произошедшего преступления и сделанные им на основе исследования выводы. Иногда бывает сложно перевести тот или иной технический термин на язык, доступный обывателю, а тем более на юридический. Некоторые понятия вообще не объяснить, не используя технический словарь. В итоге, когда идет стадия судебного разбирательства, только два участника понимают, о чем идет речь на заседании: это специалист или эксперт и, конечно же, подсудимый.
Сложность КТЭ состоит и в неоднозначности ответов, которые получает следователь, судья, прокурор, адвокат на поставленные ими вопросы перед экспертом или специалистом на стадии судебного заседания. Например, на вопрос, идентифицирует ли IP-адрес компьютер в сети Интернет однозначным образом, можно получить два разных ответа. Можно ответить отрицательно, имея в виду абстрактный компьютер и любой IP-адрес, но можно ответить утвердительно применительно к конкретному компьютеру и конкретному адресу, если при этом ознакомиться с материалами дела. Таким образом, эксперты и специалисты теперь не только разъясняют вопросы, но и по сути делают выводы о виновности или невиновности лица.
Следователь должен четко представлять возможности КТЭ для того, чтобы корректно сформулировать вопросы и получить на них ожидаемые ответы. Как бы это ни звучало парадоксально, но чтобы правильно задать вопрос, надо знать на него большую часть ответа, а где-то и полный ответ. Одним словом, следователь должен иметь базовые знания по информационным технологиям. Понятно, что для формулировки вопросов для КТЭ лучше всегда привлекать специалиста или эксперта, который будет проводить исследование.
При формулировании вопросов следователю не стоит конкретизировать вид и содержание информации, которую необходимо найти, исследовать и приложить к делу, поскольку эксперт сам решит, какие сведения относятся к делу. Для этого его надо ознакомить с уголовным делом в той части, которая относится к предмету экспертизы либо фабулу дела можно изложить в постановлении о назначении КТЭ. При дефиците информации эксперт может ходатайствовать о предоставлении дополнительных материалов.
При поиске цифровых следов различного рода действий на компьютере, с которого предположительно был осуществлен неправомерный доступ, лучше формулировать вопросы не про следы, а про действия. При этом надо помнить, что эксперт может определить, когда, каким образом осуществлялся неправомерный доступ, а вот кто его совершил, это возможно установить только в редких случаях, когда на исследуемом компьютере имеются некоторые сведения о пользователе.
При исследовании отдельных файлов, дисков и иных носителей следователю имеет смысл поставить вопрос касательно не только наличия на носителе того или иного содержимого, но и обнаружения и расшифрования скрытой, служебной и иной информации, предусмотренной соответствующим форматом файла (по обстоятельствам дела), а также восстановления стертых файлов, даже если при этом носитель информации был отформатирован несколько раз. При этом необходимо выяснить, каким путем информация оказалась на носителе. Когда файл невозможно восстановить, то можно доказать факт его присутствия в прошлом по информации об этом файле, которая может храниться в различных местах.
При исследовании программы, которая послужила инструментом для осуществления НДКИ, средством преодоления ТСЗАП* и иных технических средств, предназначенных для негласного получения информации, требуется иногда изучить не только ее свойства и функциональность, но и происхождение, процесс создания, сопоставление версий. В этом случае рекомендуется проводить в рамках программно-технической экспертизы две отдельные экспертизы: первая изучает содержимое компьютерных носителей, вторая - особенности обнаруженных программ.
При изучении архивов ЭП и ICQ надо иметь в виду, что в любом случае при получении или отправке сообщения информация о нем записывается на диск хотя бы раз. А это значит, что если не в явном, то в скрытом виде она может «всплыть» при экспертизе. В архиве на ЭВМ у пользователя может храниться большое количество сообщений, в том числе и их копий. Поэтому перед экспертом лучше поставить вопрос об обнаружении всей переписки, как в явном, так и в удаленном виде и, соответственно, не следует давать задание, найти и отпечатать всю переписку, либо сводить работу к обнаружению одного письма. Те сообщения, которые имеют отношение к делу, эксперт распечатает и приложит к заключению, остальные запишет на компакт-диск, потому что может потребоваться дополнительная экспертиза.
Вопрос об отнесении той или иной переписки к материалам уголовного дела лучше поручить эксперту. Для этого его нужно ознакомить с материалами уголовного дела. Кроме обнаружения архива надо поставить вопрос о том, принимались или отправлялись обнаруженные сообщения. Для этого надо знать, куда отправлялось сообщение, т.е. второго корреспондента. Если он не известен следователю, то надо поставить вопрос о том, где еще можно обнаружить копию данного сообщения или следы его пребывания.
При изучении печатных документов надо иметь в виду, что все распечатки рассматриваются наравне с электронными носителями, т.к. информация на них представлена в цифровом виде. На распечатках содержится не только информация, ориентированная на человека, но и машинная. Изготовители принтеров из США, например, закладывают в них печать на каждой странице скрытых данных о дате, времени и заводском номере принтера. Кроме этих данных, у принтера есть свои индивидуальные особенности, присущие каждой модели. Поэтому экспертиза может не только «привязать» печатный документ к конкретному принтеру, но и установить, на принтере какой модели он был напечатан.
Изучение личности пользователя исследуемого компьютера проводится с учетом интенсивности использования компьютера человеком. Документы, фотографии, музыка, переписка, настройки, наличие программ и другое - все это индивидуализирует информационное содержимое компьютера, отражает интеллект, способности, наклонности пользователя. Поэтому для оценки личности пользователя исследуемого компьютера необходимо провести комплексную экспертизу, компьютерно-психологическую. При этом надо помнить, что для оценки квалификации личности, необходимо нахождение на ЭВМ пользователя результатов его интеллектуальной деятельности, т.е. программ, написанных им.
В литературе отмечается такая возможность КТЭ, как подтверждение или опровержение «цифрового алиби» подозреваемого, который утверждает, что в определенное время работал за компьютером. В этом случае, хотя речь не идет о компьютерном преступлении, но для проверки алиби обязательно назначение КТЭ.
В общем виде перед экспертом, проводящим КТЭ, ставятся вопросы, касающиеся наличия на исследуемых объектах информации, относящейся к делу; о пригодности использования исследуемых объектов для определенных целей; о действиях, совершенных с использованием объектов, их времени и последовательности; об идентификации электронных документов, программ для ЭВМ; о свойствах программ для ЭВМ.
Исходя из вышесказанного, следует, что для проведения любого следственного действия, проводимого на первоначальном этапе расследования НДКИ, потребуются специальные знания. Эти знания в первую очередь нужны для того, чтобы знать, где искать следы преступления, а впоследствии для правильного закрепления и оформления доказательств. Особо следует подчеркнуть роль КТЭ. Благодаря ее современным возможностям, она позволяет обнаружить фальсификацию лог-файлов, являющихся опорным пунктом для следствия в выявлении преступника.
ЗАКЛЮЧЕНИЕ
Рассмотрев первоначальный этап расследования НДКИ, приходим к выводу, что успех в расследовании преступлений в сфере компьютерной информации зависит от взаимодействия правоохранительных органов с операторами связи и специалистами. В связи с тем, что технический прогресс не стоит на месте, то в будущем следует ожидать возрастания роли последних двух участников, помогающих следствию в расследовании преступлений данной категории. Так, например, специалистам в сфере информационных технологий предстоит заняться разработкой новых технических устройств, которые помогут в будущем следствию фиксировать цифровые доказательства, достоверность которых можно будет проверить прямо на месте происшествия, что необходимо для расследования преступления «по горячим следам».
В настоящее время расследование неправомерного удаленного доступа к компьютерной информации ведется по следующей схеме: осмотр места происшествия, исследование изъятого в лабораторных условиях, наведение справок, выявление и поиск преступника. Такой подход во многих случаях является последовательным и выдержанным.
Вместе с тем необходимо отметить те факторы, которые оказывают негативное влияние на процесс расследования преступлений в сфере компьютерной информации и требуют своего скорейшего решения:
·несовершенство уголовно-процессуального законодательства;
·несовершенство нормативной базы, призванной регламентировать правовой статус и специфические особенности информационных ресурсов;
·отсутствие методик расследования преступлений указанного вида;
·отсутствие обобщений следственной и судебной практики;
·отсутствие базового экспертно-криминалистического центра по производству необходимых экспертиз средств компьютерной техники;
·отсутствие методик проведения криминалистических (программно-технических) экспертиз СКТ;
·отсутствие учебно-методических центров для подготовки соответствующих специалистов для нужд правоохранительных органов;
·низкая оснащенность подразделений правоохранительных органов средствами компьютерной техники и региональная разобщенность при решении этих вопросов, вызванная нескоординированностью действий.
Данные негативные факторы затрудняют реализацию задачи борьбы с преступлениями в сфере компьютерной информации.
На основании изложенного материала следует выделить следующие основные криминалистические проблемы, возникающие в настоящее время перед правоохранительными органами при расследовании НДКИ:
·сложность в установлении факта неправомерного доступа и решении вопроса о возбуждении уголовного дела;
·сложность в подготовке и проведении первоначальных следственных действий;
·особенности выбора и назначения необходимых судебных экспертиз;
·целесообразность использования средств компьютерной техники в расследовании НДКИ;
·отсутствие комплексных методик расследования компьютерных преступлений.
Относительная новизна возникших проблем, стремительное наращивание процессов компьютеризации российского общества, «застали врасплох» правоохранительные органы, оказавшиеся неготовыми к адекватному противостоянию и активной борьбе с этим новым социальным явлением. Кроме того, данная ситуация усугубляется тем, что в настоящее время вопросами борьбы с компьютерной преступностью на государственном уровне никто не занимается, им не уделяется должного внимания, вследствие чего правоохранительные органы лишены возможности «полнокровной» борьбы с этим социально опасным явлением.
Общее положение дел таково, что расследование компьютерных преступлений, в частности НДКИ, ведется сотрудниками отделов по борьбе с экономической преступностью, не имеющими соответствующей специализации и необходимых познаний в области компьютерной техники.
Как показывает практика, следователи, производящие расследование преступления, предусмотренного ст. 272 УК РФ, сталкиваются со многими, подчас неразрешимыми трудностями, среди которых нам представляется возможным выделить следующие: сложность квалификации преступных деяний; сложность в проведении различных следственных действий из-за несовершенства действующего уголовно-процессуального законодательства; сложность в назначении программно-технической экспертизы средств компьютерной техники и в формулировке вопросов, выносимых на рассмотрение эксперта; отсутствие по некоторым вопросам соответствующих специалистов, необходимых для привлечения в ходе следствия; отсутствие элементарных познаний в области компьютерной техники.
Выход из создавшейся ситуации один - дальнейшее совершенствование законодательства в области преступлений в сфере компьютерной информации, которое поможет правоохранительным органам на практике решать общие задачи по борьбе с преступностью.
БИБЛИОГРАФИЯ
1. Нормативные правовые акты РФ и судебная практика
.1. Конституция Российской Федерации от 12.12.1993 (в ред. от 30.12.2008) // Российская газета. - 2009. - № 7.
1.3. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (в ред. от 29.12.2009) // Собрание законодательства РФ. - 1996. - № 25. - Ст. 2954.
.4. Гражданский кодекс Российской Федерации (часть первая) от 30.10.1994 № 51-ФЗ (в ред. от 27.12.2009) // Российская газета. - 1994. - № 238-239.
.5. Федеральный закон Российской Федерации «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ // Собрание законодательства РФ. - 2006. - № 31 (ч. 1). - Ст. 3448.
.6. Федеральный закон «О государственной судебно-экспертной деятельности» от 31.05.2001 № 73-ФЗ (в ред. от 24.07.2007) // Собрание законодательства РФ. - 2001. - № 23. - Ст. 2291.
1.7. Федеральный закон «Об оперативно-розыскной деятельности» от 12.08.1995 № 144-ФЗ (в ред. от 26.12.2008) // Собрание законодательства РФ. - 1995. - № 33. - Ст. 3349.
1.8. Закон Российской Федерации «О государственной тайне» от 21.07.1993 № 5485-1 (в ред. от 18.07.2009) // Собрание законодательства РФ. - 1997. - № 41. - Стр. 8220-8235.»
.9. Закон РФ «О милиции» от 18.04.1991 № 1026-1 (в ред. от 26.12.2008) // СПС «Консультант Плюс
1.10. Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»» от 17.03.2008 № 351 // Собрание законодательства РФ. - 2008. - № 12. - Ст. 1110.
.11. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» // Собрание законодательства РФ. - 1997. - № 10. - Ст. 1127.
1.12. Постановление Правительства РФ «О подразделениях криминальной милиции» от 07.12.2000 № 925 // Собрание законодательства РФ. - 2000. - № 50. - Ст. 4904.
1.13. Приказ МВД РФ № 786, Минюста РФ № 310, ФСБ РФ № 470, ФСО РФ № 454, ФСКН РФ № 333, ФТС РФ 971 от 06.10.2006
«Об Утверждении инструкции по организации информационного обеспечения сотрудничества по линии ИНТЕРПОЛА» (Зарегистрировано в Минюсте РФ от 03.11.2006. № 8437) // Бюллетень нормативных актов федеральных органов исполнительной власти. - 20.11.2006. - № 47.
.14. Постановление Пленума Верховного Суда РФ от 27.12.2007 № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» // Бюллетень Верховного Суда РФ. - 2008. - № 2.
. Учебная и научная литература
Специальная и общетеоретическая литература
2.1. Богомолов М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации <#"justify">2.8. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Питер, 2006.
2.9. Полещук О.В., Шаповалова Г.М. Криминалистическое исследование следов при расследовании компьютерных преступлений. - Владивосток, 2006. [Электронный вариант].
2.10. Россинская Е.Р. Судебная экспертиза в гражданском, арбитражном, административном и уголовном процессе. - М.: Норма, 2005.
2.11. Скуратов Ю.И., Лебедев В.М. Комментарий к УК РФ. - М., 2001.
2.12. Федотов Н.Н. Приемлемые и неприемлемые средства и методы исследования компьютерной информации <#"justify">2.13. Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007.
2.14. Филиппов А.Г. Тактика допроса и очной ставки: Криминалистика / Под ред. А.Г. Филиппова, А.Ф. Волынского. - М., 1998.
2.15. Фурсов В.А., Агеева Н.П., Некоторые рекомендации по осмотру, фиксации и изъятию средств компьютерной техники. // Великотский Е.В. Сборник научных трудов юридического факультета СевКав ГТУ, 2005.
.16. Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации: Учебное пособие. - М.: Московский университет МВД, 2004.
.17. Яблоков Н.П. Криминалистика. 3-е издание, переработанное и дополненное. - М.: Юристъ, 2005.
Диссертации и авторефераты
2.18. Иванова И.Г. Выявление и расследование неправомерного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Барнаул, 2007.
.19. Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Омск, 2008. [Электронный вариант].
Статьи
2.20. Гавло В.К., Поляков В.В. Некоторые особенности расследования преступлений, связанных с неправомерным доступом к компьютерной информации // Известия АГУ. - 2006. - № 2. - С. 44-48.
.21. Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 4. - С. 11-14.
.22. Егорышев А.С. Криминалистические особенности обстановки неправомерного доступа к компьютерной информации // Актуальные проблемы криминалистики на современном этапе. Часть 2. Сборник научных статей / Под редакцией З.Д. Еникеева. - Уфа: РИО БашГУ, 2003. - С. 37 - 41.
.23. Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность. - 1999. - № 3. - С. 12-13.
.24. Копырюлин А. Квалификация преступлений в сфере компьютерной информации // Законность. - 2007. - № 6. - С. 40-41.
2.25. Лопатина Т.М. Отдельные вопросы характеристики уголовно-правовых признаков субъекта преступлений в сфере компьютерной информации // Российский судья. - 2006. - № 1. - С. 24-25.
2.26. Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Вып. 3. - Тула, 2000. - С. 170-172.
.27. Митрохина Е. Информационные технологии, Интернет, интернет-зависимость // Наука, политика, предпринимательство. - 2004. - № 1. - С. 83.
2.28. Нехорошева О. Изъятие компьютерной техники и информации // Законность. - 2004. - № 8. - С. 15-18.
.29. Никонов В., Панасюк А. Нетрадиционные способы собирания и закрепления доказательств // Законность. - 2001. - №4. - С. 19-24.
.30. Осипенко А. Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации // Уголовное право. - 2007. - № 3. - С. 43.
.31. Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Российский следователь. - 2004. - № 1. - С. 11.
.32. Поляков В.В., Слободян С.М. Анализ высокотехнологичных способов неправомерного удаленного доступа к компьютерной информации // Известия Томского политехнического университета. - 2007. - № 1. - С. 213-214.
2.33. Середа С.А., Федотов Н.Н. Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ» <../Глава 1/Середа С.А., Федотов Н.Н. Расширительное толкование терминов> // Закон. - 2007. - № 7 // URL: <http://bajki.narod.ru/ras_tolkovanie.html> (дата обращения - 10.02.2010).
.34. Хилюта В. Можно ли похитить информацию? // Законность. -2008. - № 5. - С. 48.
Интернет-публикации
.35 Василь Поливанюк. Особенности проведения допросов при расследовании преступлений, совершенных в сфере использования компьютерной информации. // URL: http://www.crime-research.ru..
.36. Иванов Н.А. Применение специальных познаний при проверке «цифрового алиби <http://www.infolaw.ru/lib/2006-4-digital-alibi-expertise>» // Информационное право. - 2006. - № 4 (7) // URL: <http://www.infolaw.ru/lib/2006-4-digital-alibi-expertise>.
.37. Компьютерно-техническая экспертиза / Российский федеральный центр судебной экспертизы при Министерстве юстиции РФ // URL: <http://www.sudexpert.ru/content/possib/comp.php>.
.38. Середа С.А. Доклад на VII Международной конференции «Право и Интернет» // URL: <http://www.ifap.ru/pi/07/>.
.39. Собецкий И.В. О доказательственном значении лог-файлов // «Security Lab», 25 июля, 2003 <http://www.securitylab.ru/analytics/216291.php>. URL: <http://www.securitylab.ru/analytics/216291.php>.
2.40. Турута А. Тактика собирания и исследования доказательственной информации с компьютера, подключенного к сети // crime-research.ru <http://www.crime-research.ru>. // URL: <http://www.crime-research.ru/articles/1764>.
2.41. Daigle L. RFC-3912 «WHOIS Protocol Specification» <http://www.rfc-editor.org/rfc/rfc3912.txt>. - 2004. // URL: <http://www.rfc-editor.org/rfc/rfc3912.txt>.
2.42. Lonvick C. RFC-3164 «The BSD syslog Protocol» - 2001 // URL: <http://www.rfc-editor.org/rfc/rfc3164.txt>.