1. Характеристику объекта, где совершено преступление:

- технические и конструктивные особенности помещений, связанные с установкой и эксплуатацией вычислительной техники (специальное оборудование полов, потолков и окон, каналы кабельных и вентиляционных шахт, установка и фактическое состояние устройств кондиционирования воздуха, система электропитания и иные особенности);

- особенности установки средств комплекса вычислительной техники (сосредоточены в одном месте или расположены в различных помещениях);

- связь компьютеров между собой посредством локально-вычислительной сети (ЛВС), устройств телекоммуникации и состояние линий связи;

- структура, конфигурация сети ЭВМ и внешних информационных связей;

- режим работы.

2. Состав вычислительного комплекса:

- тип, модель, тип и размер энергонезависимых носителей информации и другие характеристики компьютеров;

- наличие и типы периферийных устройств;

- состав и аппаратура организации локальной вычислительной сети;

- наличие, модель и характеристики устройств телекоммуникации;

- используемое программное обеспечение;

- использование программно-аппаратных средств защиты;

3. Организацию работы со средствами вычислительной техники.

4. Способы преодоления программной и аппаратной защиты:

- подбор ключей и паролей;

- предварительное хищение ключей и паролей;

- отключение средств защиты;

- использование несовершенства средств защиты;

- разрушение средств защиты;

- использование специальных программных средств.

5. Содержание и назначение информации, подвергшейся воздействию.

6. Количественные и качественные характеристики информации (объем, включая примерный объем архивной информации, возможность использовать без инсталляции (установки), ключевых дискет и аппаратных ключей-паролей, способ шифрования).

Кроме того, подлежат выяснению обстоятельства, характерные для того или иного вида преступлений данной категории. К таким обстоятельствам относятся:

- режим и фактическое состояние охраны;

- наличие и техническая характеристика охранной сигнализации, вид охранной техники;

- технические средства, использованные при совершении преступления;

- режим доступа к средствам вычислительной техники;

- разграничение доступа к средствам вычислительной техники и машинным носителям;

- организация доступа к ресурсам ЭВМ, сети ЭВМ ( в т.ч. по устройствам телекоммуникации), к кодам, паролям и другой идентифицирующей информации;

- организация противовирусной защиты; - наличие разработанных правил эксплуатации ЭВМ и документации об ознакомлении с ними.

3.1 Уголовный Кодекс Республики Казахстан и компьютерные преступления

При осмотре места происшествия следователь обязательно должен использовать помощь незаинтересованных специалистов в области установки и функционирования средств электронно-вычислительной техники, программирования, а также специалиста-криминалиста.

Прежде чем приступить к осмотру места происшествия, «следователь и участники следственно-оперативной группы должны знать и соблюдать общие правила обращения с вычислительной техникой и носителями информации.» Несоблюдение этих правил может привести к потере важной для расследования информации и нанесению материального ущерба, вызванного этими действиями.

3.1.1 Общие правила обращения с вычислительной техникой и носителями информации

3.1.1.1. Все включения (выключения) компьютеров и других технических средств производятся только специалистом или под его руководством;

3.1.1.2. Применение средств криминалистической техники - магнитных искателей, ультрафиолетового осветителя, инфракрасного преобразователя, во избежание разрушения носителей информации и микросхем памяти ЭВМ, должно быть согласовано со специалистом;

3.1.1.3. Исключение попадания мелких частиц и порошков на рабочие части компьютеров (разъемы, дисковод, вентилятор и др.);

3.1.1.4. При работе с магнитными носителями информации запрещается прикасаться руками к рабочей поверхности дисков, подвергать их электромагнитному воздействию, сгибать диски, хранить без специальных конвертов (пакетов, коробок);

3.1.1.5. Диапазон допустимых температур при хранении и транспортировке должен варьироваться в температурных пределах от 0 до +50 градусов Цельсия;

3.1.1.6. Со всеми непонятными вопросами, затрагивающими терминологию, устройство и функционирование вычислительной техники необходимо обращаться только к специалисту.

3.2 Защита компьютерной информации в Казахстане

Осмотр места происшествия следует начать с запрещения доступа к средствам вычислительной техники всем лицам, работающим на объекте.

Принять меры к выявлению и изъятию следов рук, оставшихся на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных устройств. В этих местах обычно остаются следы рук преступников. Кроме того, «нельзя исключать возможности доступа в помещение, где находится компьютерная техника и информация посторонними лицами путем взлома, подбора ключей, в т.ч. паролей к электронным замкам, на которых также могут остаться следы». При осмотре кабельных соединений ЛВС требуется убедиться в их целостности, отсутствии следов подключения нештатной аппаратуры.

В связи с возможностью совершения преступлений по сетям телекоммуникации и локальным вычислительным сетям (ЛВС) необходимо установить и зафиксировать в протоколе осмотра расположение всех компьютеров в сети, конкретное назначение каждого компьютера, наличие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи. Требуется также выяснить наличие специальных средств защиты от несанкционированного доступа к информации, принять меры к установлению ключей (паролей).

При непосредственном осмотре средств вычислительной техники необходимо отразить их размещение в помещении, предназначение, название (обычно указывается на лицевой стороне), серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие и тип подключенных периферийных устройств (принтеров, сканеров, модемов и т.д.), наличие соединения с ЛВС и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскрытия).

Описывая внешнее состояние вычислительной техники, нужно обращать внимание на места подключения (например, соединительный кабель между коммуникационными портами принтера и системным блоком компьютера) периферийных устройств, винты крепления крышек корпуса, поверхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, а значит могут остаться следы, характер или отсутствие которых должно быть отражено в протоколе. Также, должны быть отмечены наличие и состояние всех пометок, пломб, специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и др.), нанесенных на корпуса и устройства компьютеров, наличие загрязнений, механических повреждений и их локализация.

При осмотре средств электронно-вычислительной техники рекомендуется независимо от того, включен компьютер или нет, описать в протоколе положение всех переключателей на всех блоках и устройствах. При наличии включенной техники зафиксировать в протоколе осмотра состояние индикаторных ламп (включены или нет, каким цветом горят, мигают и с какой частотой), а также информацию, высвечиваемую на всевозможных индикаторах и табло. Описать информацию, высвечиваемую на мониторе, при этом необходимо учитывать, что для предотвращения выгорания экрана в большинстве компьютеров используют специальные заставки - хранители экрана, которые могут быть защищены паролем. В протоколе также должен быть зафиксирован вид этого хранителя. В дополнение к протоколу, кроме составления схемы расположения компьютеров и периферийных устройств в помещении и соединения компьютеров в сети, с помощью видео- или фотосъемки рекомендуется зафиксировать информацию на экране монитора, индикаторных панелях, положение переключателей и состояние индикаторных ламп всех устройств компьютерной системы, о чем сделать соответствующие записи в протоколе.

Перед выключением питания требуется корректно завершить все исполняемые в данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, если возможно - на отдельных дискетах, в противном случае на жестком диске компьютера. В протоколе указать имена этих файлов, вид информации, сохраняемой в каждом, расположение файлов (наименование дискет и их маркировку или логический диск и каталог на винчестере компьютера); выключить компьютер, который подвергся воздействию, а при наличии сети требуется выключить все компьютеры в сети. Если из-за особенностей функционирования системы это невозможно, то следует принять все меры для исключения доступа к информации данного компьютера, по возможности снять с нее копию и принять меры для фиксации всех изменений информации, которые будут происходить впоследствии.

В ходе осмотра внутреннего устройства компьютера необходимо с помощью специалиста установить наличие внутри компьютера нештатной аппаратуры, следов противодействия аппаратной системы защиты - разрушение или временное изъятие микросхем, отключение внутреннего источника питания (аккумулятора).

При осмотре места происшествия, также следует обращать особое внимание на записи, относящиеся к работе компьютерной техники. В них могут оказаться сведения о процедурах входа-выхода с компьютерной системой, пароли доступа и т.п.

3.3 Подготовка к осмотру места происшествия

При производстве следственных или иных действий, в процессе которых изымаются объекты для производства экспертных исследований, необходимо принять все возможные меры для исключения возможной порчи или уничтожения хранящейся в компьютерах информации. Включать и выключать компьютеры, производить с ними какие-либо манипуляции может только специалист в области вычислительной техники, участвующий в производстве данного следственного действия.

Поскольку результаты проводимых экспертных исследований, особенно экспертизы программного обеспечения, напрямую зависят от сохранности информации на внутренних и внешних магнитных носителях, необходимо изъять все образующие ее устройства, независимо от их принадлежности (личная собственность, собственность данного учреждения, и др.). При изъятии, для исключения возможности доступа к компьютерной информации, разукомплектования и физического повреждения основных рабочих элементов, рекомендуется поместить средства вычислительной техники в специальную упаковку (картонные или деревянные коробки, полиэтиленовые пакеты и др.), которые заклеиваются и опечатываются.

Если изъятие всего устройства невозможно или нецелесообразно, следует изъять установленный в нем носитель (носители) информации.

При невозможности изъятия носителей информации, требуется принять меры к исключению доступа к ним заинтересованных лиц. «Идеальным средством обеспечения сохранности вычислительной техники является исключение доступа в помещение, в котором она установлена, с одновременным отключением источников электропитания». Если последнее не представляется возможным (компьютер является сервером или рабочей станцией в сети), с помощью специалиста создаются условия только для приема информации. В этом случае опечатываются все необходимые узлы, детали, части и механизмы компьютерной системы. Компьютеры и их комплектующие опечатываются путем наклеивания на разъемы листа бумаги и закрепления его краев на боковых стенках компьютера клеем или клейкой лентой, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. Магнитные носители упаковываются, хранятся и перевозятся в специальных экранированных контейнерах или стандартных дискетных или иных алюминиевых футлярах, исключающих разрушающее воздействие ударов, различных электромагнитных и магнитных полей и наводок, направленных излучений. Пояснительные надписи могут наноситься только на специальные самоклеящиеся этикетки для дискет, причем сначала делается соответствующая надпись, а потом этикетка наклеивается на предназначенный для этого участок на дискете. Если на дискете уже имеется этикетка с какой-либо надписью, проставляется только порядковый номер, а пояснительные надписи под этим номером делаются на отдельном листе, который вкладывается в коробку.

Недопустимо приклеивать что-либо непосредственно к магнитным носителям, пропускать через них бечеву, пробивать отверстия, наносить подписи, пометки, печати, прикасаться пальцами или любым предметом к рабочей поверхности носителей, разбирать корпуса лент, винчестеров, дискет, сгибать носители, изменять состояние переключателей, подносить близко к источникам электромагнитного излучения, сильным осветительным и нагревательным приборам, подвергать воздействию воды и влаги.

Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, то до его включения следует проверить находятся ли все компьютеры и периферийные устройства в отключенном состоянии. Участие специалиста при производстве следственных действий в данном случае необходимо и потому, что для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при определенных условиях автоматически производят полное или частичное стирание информации.

Транспортировка и хранение компьютерной техники и информации должны осуществляться в условиях, исключающих ее повреждение, в том числе в результате воздействия металлодетекторов, используемых для проверки багажа в аэропортах. Хранят компьютеры и их комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов, которые часто являются причиной неисправности аппаратуры.

Учитывая нестандартность обстановки, в которой может производиться осмотр места происшествия, вопрос о возможности изъятия компьютерной техники и информации, способе упаковки, транспортировки и хранении изъятых объектов решается следователем в каждом конкретно случае совместно со специалистом. Процессуальный порядок изъятия объектов определяется общими требованиями Уголовно-процессуального кодекса Казахстана. В качестве понятых при производстве следственных действий рекомендуется привлекать лиц, обладающих специальными познаниями в области компьютерной техники и информатики.

3.4 Производство осмотра места происшествия

«При выдвижении версий совершения преступлений в сфере компьютерной информации необходимо учитывать, что они совершаются обычно группой из 2 и более человек, хотя не исключена возможность работы преступника - одиночки. В таком случае он сам или, если действует группа, один из ее членов, является либо сотрудником данного учреждения, либо имеет свободный доступ к компьютерам (представитель службы технической или программной поддержки, программист работающий по контракту и т.д.), умеет работать с вычислительной техникой, хорошо представляет, какая информация и где расположена в компьютере». Интерес обычно представляет информация, содержащая государственную или коммерческую тайну (например информация базы данных передвижении оружия, наркотиков и т.д.).

В основном, как правило, информация преступниками копируется на магнитный носитель, хотя не исключена возможность передачи ее по сетям телекоммуникации, распечатки на бумаге, кино-, фото-, видеосъемки изображения экрана и действий оператора или перехват с помощью специальных технических средств. Копирование может осуществляться как на портативный компьютер (Notebook) с подключением его к локальной вычислительной сети, так и непосредственно к последовательному или параллельному порту конкретной ЭВМ с помощью специального кабеля.

Преступление обычно происходит в рабочее время и внешне не отличается от обычной работы в учреждении. Похищенная информация используется в дальнейшем самими преступниками для подготовки хищений или может быть продана заинтересованным лицам.

Учитывая конкретные обстоятельства, следователем могут быть выдвинуты и проверены следующие общие версии:

1. Преступление совершено сотрудником данного учреждения, либо лицом, имеющим свободный доступ к компьютерной технике.

2. Преступление совершено сторонним лицом, входящим в круг родственников, друзей, знакомых сотрудников учреждений.

3. Преступление совершено группой лиц по предварительному сговору или организованной группой с участием сотрудника данного учреждения, либо лица имеющего свободный доступ к компьютерной технике и в совершенстве владеющего навыками работы с ней.

4. Преступление совершено лицом или группой лиц, не связанных с деятельностью учреждения и не представляющих ценность компьютерной информации.

Приведенный перечень следственных версий является общим, и в зависимости от конкретной ситуации может быть расширен.

3.5 Особенности производства некоторых следственных действий

«В зависимости от стоящих перед следствием задач и спецификой объектов исследования для установления конструктивных особенностей и состояния компьютеров, периферийных устройств, магнитных носителей и пр., компьютерных сетей, причин возникновения сбоев в работе указанного оборудования, а также изучения информации, хранящейся в компьютере и на магнитных носителях назначается компьютерно-техническая экспертиза.»

1. Компьютеры в сборке, их системные блоки;

2. Периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатура, сканеры, манипуляторы типа "мышь", джойстики и пр.), коммуникационные устройства компьютеров и вычислительных сетей;

3. Магнитные носители информации (жесткие и флоппи-диски, оптические диски, ленты);

4. Словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например, технические задания и отчеты;

5. Электронные записные книжки, пейджеры, телефонные аппараты с памятью номеров, иные электронные носители текстовой или цифровой информации, техническая документация к ним.

В системе Министерства внутренних дел в настоящее время нет специальных экспертных подразделений, которые производят компьютерно-технические экспертизы носителей машинной информации, программного обеспечения, баз данных и аппаратного обеспечения ЭВМ. В связи с этим они могут быть назначены специалистам соответствующей квалификации из внеэкспертных учреждений. В частности, такие специалисты могут быть в информационных центрах, учебных и научно-исследовательских заведениях МВД Казахстана. Кроме того, для производства этого вида экспертиз можно привлекать специалистов учебных и научно-исследовательских заведений, не относящихся к системе МВД Казахстане, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения для компьютеров, их эксплуатацией и ремонтом. Данный вид экспертиз может быть поручен специалистам в области эксплуатации ЭВМ (системным программистам, инженерам по обслуживанию, непосредственно работающим с данного вида носителями и др.) и программистам, которые обладают соответствующей квалификацией.

При вынесении постановления о назначении компьютерно-технической экспертизы следователем, в постановлении о её назначении, обязательно указываются серийный номер компьютера и его индивидуальные признаки (конфигурация, цвет, надписи на корпусе и т.д.).

Учитывая, что компьютерно-техническая экспертиза - новый формирующийся род судебных экспертиз, необходимость в которых обусловливается широким внедрением компьютерных технологий практически во все сферы человеческой деятельности полезным будет дать краткую характеристику ее возможностей.

В настоящее время в рамках этого рода экспертиз выделяются два вида:

-техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования;

-экспертиза данных и программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на магнитных носителях.

Вопросы, выносимые на разрешение компьютерно-технической экспертизы, в зависимости от вида экспертизы также подразделяются на две группы.

1. Компьютер какой модели представлен на исследование? Каковы технические характеристики его системного блока и периферийных устройств? Каковы технические характеристики данной вычислительной сети?

2. Где и когда изготовлен и собран данный компьютер и его комплектующие? Осуществлялась ли сборка компьютера в заводских условиях или кустарно?

3. Соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации? Не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации)?

4. Исправен ли компьютер и его комплектующие? Каков их износ? Каковы причины неисправности компьютера и периферийных устройств? Не содержат ли физических дефектов магнитные носители информации?

5. Не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)?

6. Каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер)? Исправны ли эти средства? Каковы причины неисправностей?

1. Какая операционная система использована в компьютере?

2. Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся? Каково назначение программных продуктов? Каков алгоритм их функционирования, способа ввода и вывода информации? Какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных?

3. Являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками?

4. Не вносились ли в программы данного системного продукта какие-либо коррективы (какие), изменяющие выполнение некоторых операций (каких)?

5. Соответствует ли данный оригинальный компьютерный продукт техническому заданию? Обеспечивается ли при его работе выполнение всех предусмотренных функций?

6. Использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.? Каково содержание скрытой информации? Не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа?

7. Возможно ли восстановление стертых файлов? Возможно ли восстановление дефектных магнитных носителей информации? Каково содержание восстановленных файлов?

8. Каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?

9. Имеются ли сбои в функционировании компьютера, работе отдельных программ? Каковы причины этих сбоев? Не вызваны ли сбои в работе компьютера влиянием вируса (какого)? Распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы? Возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденного вирусом?

10. Каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.? Имеется ли в книжке скрытая информация и каково ее содержание?

11. Когда производилась последняя корректировка данного файла или инсталляция данного программного продукта?

12. Каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия с компьютером и программным обеспечением?

1. Имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения?

2. Не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютерно-технической и автороведческой экспертиз)?

Кроме приведенного выше перечня вопросов, разрешаемых компьютерно-технической экспертизой, для использования на практике, в зависимости от объекта исследования и конкретной обстановки, можно привести дополнительные примеры, расширяющие перечень вопросов, подлежащих выяснению при исследовании таких объектов, как носители информации, программное обеспечение, базы данных и аппаратное обеспечение ЭВМ.

Под базами данных понимается форма представления и организации совокупности данных (статей, расчетов и т.д.), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ. С точки зрения организации базы данных могут представлять собой информацию в текстовых файлах и информацию в файлах со специальной структурой, которые обрабатываются специальными программами (системами управления базами данных, сокращенно СУБД), именно их в компьютерной терминологии называют базами данных.

Базы данных обычно хранятся на магнитных, оптических или электронных, непосредственно установлены в микросхемах памяти компьютера, носителях машинной информации. Кроме того, коды баз данных, входные, выходные и промежуточные данные могут находиться на бумажном носителе (распечатки исходных текстов программ баз данных, перфолента, перфокарта). Вся информация, относящаяся к базам данных, независимо от формы носителя, является объектом экспертизы и должна быть представлена эксперту.

Под аппаратным обеспечением ЭВМ понимается «комплекс технических средств, предназначенных для автоматизированной обработки информации, обеспечения хранения и передачи ее по каналам связи, ведения диалога с пользователем и выполнения других функций в составе компьютерной системы». Аппаратное обеспечение в свою очередь подразделяется на:

1. Центральные устройства ЭВМ (центральный процессор; оперативное и постоянное запоминающие устройства; системную шину; другие устройства для обеспечения работы вычислительной системы - контроллеры, таймер, тактовый генератор, различные буферы и пр.).

2. Периферийные устройства (видеоподсистема; накопители различных типов; устройства вывода информации; устройства ввода информации; устройства организации ЛВС и телекоммуникации; другие устройства, сопряженные с компьютером и которые функционируют под его управлением).

3. Вспомогательные устройства (устройства электропитания; различные фильтры - сетевые, экранные и пр.; аппаратура защиты, работающая автономно от центрального процессора - генераторы помех и пр.).

3.1. Каковы тип устройства и его технические характеристики?

3.2. Исправно ли данное устройство или нет, тип неисправности (отказ или сбой), как она влияет на работу системы в целом?

3.3. Полностью ли совместимы между собой компоненты данного устройства, если нет, то как это сказывается на его работе?

3.4. Полностью ли совместимо данное устройство с каким либо конкретным устройством, если нет то как сказывается это на их работе?

3.5. Имеются ли на устройстве следы ремонта, повреждений, демонтажа микросхем, замены блоков?

3.6. Соответствует ли комплектация устройства технической документации, если нет, то какие компоненты были изменены, демонтированы?

3.7. Нет ли в данном устройстве дополнительных блоков (жучков) с враждебными функциями, если есть, то их предназначение?

3.8. Возможно ли на данном оборудовании решать какие либо конкретные задачи?

3.9. Какой уровень излучений у данного устройства, возможен ли его прием специальными техническими средствами для последующей расшифровки информации, если возможен, то на каком расстоянии?

3.10. Возможно ли отключение аппаратных средств защиты и как это влияет на работу системы?

3.11. Соблюдались ли правила эксплуатации?

3.12. Могла ли данная проблема возникнуть в результате несоблюдения правил технической эксплуатации?

В качестве примера успешного расследования уголовного дела о "компьютерном" преступлении, когда была назначена и проведена компьютерно-техническая экспертиза можно привести случай, имевший место в г. Алматы. Так, житель г. Алматы К. открыл в одном из столичных банков счета на вымышленных лиц, подделав их паспорта, и внес на эти счета суммы от 50 до 100 долларов США. Затем он вступил в преступный сговор с начальником отдела автоматизации этого банка Р., который внес изменения в программное обеспечение, использовавшееся при осуществлении банковских операций, в результате чего на открытые расчетные счета было переведено в совокупности более 250 тыс. долларов США. По поддельным паспортам К. получил со счетов эту сумму и присвоил ее. Компьютерно-техническая экспертиза программного обеспечения позволила установить, как модифицирована исходная программа и на каком уровне доступа к ней (т.е. кем) могла быть произведена эта модификация. В итоге преступники были установлены и привлечены к уголовной ответственности.

Глава 4. Защита компьютерной информации и борьба с компьютерными преступлениями в содружеских странах и США

4.1 Борьба в сфере компьютерных преступлений в России

В разделе 4.1.3 приведены статистические данные по Новгородской области. Данные подчеркнуты из официальных источников, в первую очередь отчётов МВД.

Однако большинство преступлений в России в указанной сфере остаётся незафиксированными. Из этой группы я бы выделил две подгруппы.

Первая - создание и распространение вредоносных программ для ЭВМ (вирусов). Большинство таких программ создаётся за пределами Российской Федерации, поэтому борьба с мини невозможна. Хотя они наносят значительный ущерб, в том числе «железу». При этом даже если вирус создан в России, доказать его авторство не возможно.

Кроме того, потенциально возможная причина появления таких вирусов, как печально знаменитый «Чернобыль», заключается в том, что сами производители ЭВМ заинтересованы в обновлении парка офисного оборудования, которое замедлилось в связи со всё более большими проблемами технологического плана. Указанный вирус сделал непригодными в основном старые компьютеры. Не вдаваясь в технические моменты следует отметить, что его мог «сотворить» только человек очень, очень, очень, очень хорошо знающий оборудование на низком уровне.

Вторая - кражи электронной корреспонденции, доступа к информационным ресурсам.

Такие преступления очень трудно технически зафиксировать. Кроме того, сами организации, занимающиеся оказанием подобных услуг не заинтересованы в разглашении подобных фактов. Один такой случай имел место в Новгородской области в 1999-2000 годах.

С принятием нового Уголовного кодекса в Российской Федерации стали преследоваться неправомерный доступ к компьютерной информации (ст. 272 УК РФ), «создание программ для ЭВМ, могущих повлечь уничтожение, блокирование или копирование информации (так называемых компьютерных вирусов и программ-"взломов"), а также использование и распространение таких программ и машинных носителей с ними (ст. 273 УК РФ), нарушение правил эксплуатации ЭВМ или компьютерных сетей с причинением существенного вреда (ст. 274 УК РФ)».

Форма вины для основного состава компьютерных преступлений - прямой либо косвенный умысел. Нужно отметить, что форма вины, предусмотренная для квалифицированного состава данной категории преступлений (т.е. для состава преступления, совершенного при обстоятельствах, отягчающих ответственность, и влекущего применение более суровых мер воздействия по сравнению с основным составом), является крайне любопытной. Дело заключается в том, что квалифицированные составы практически всех преступных деяний характерны усилением степени вины правонарушителя по сравнению с формой вины, необходимой для квалификации действий правонарушителя по основному составу (например, основной состав преступления - убийство, квалифицированный - убийство из корыстных побуждений). В данном случае при форме вины, установленной для основного состава преступления в виде умысла, для его квалифицированного состава Кодексом предусмотрена форма вины исключительно в виде неосторожности: неосторожное причинение тяжких последствий при создании или использовании вирусных программ и неосторожное причинение тяжких последствий в результате нарушения правил эксплуатации влекут за собой лишение свободы соответственно на срок до 7 и до 4 лет. Умышленное причинение тяжких последствий при этом наказывается в рамках основного состава, за который санкции предусмотрены гораздо более легкие по сравнению с квалифицированным.

«Объектами данных преступлений (тем, на что направлено преступное посягательство и что признано нуждающимся в защите) является не любая компьютерная информация, а только охраняемая законом (статьи 272, 274 УК РФ) и не любые уничтожение, блокирование, модификация, копирование информации при использовании вирусных программ, а только несанкционированные (ст. 273 УК РФ).»

В размахе компьютерного пиратства может убедиться каждый, остановившись у киосков рядом с едва ли не любой станцией московского метро. Во многих из них торгуют "самопальными" компакт-дисками с нелицензионными копиями программ для ЭВМ, изготовленными без ведома владельцев авторских прав на эти программы. С аналогичным явлением можно столкнуться и при покупке компьютера. Ведь фирмы, занимающиеся сборкой и реализацией компьютеров, как правило, продают их с незаконно записанными в память ЭВМ чужими программами. Вот почему подавляющее большинство пользователей персональных компьютеров в нашей стране имеет дело с нелегальными программными продуктами.

По данным Ассоциации производителей компьютерного обеспечения, уровень компьютерного пиратства в России составляет 94%. Уровень пиратства в странах Запада существенно ниже: в Германии - 50%, в США - 35%. Однако и там убытки производителей весьма высоки - только в Европе они оцениваются в 6 млрд.долларов ежегодно.

Особенно страдают американские фирмы - разработчики программного обеспечения.

Необходимость установления уголовной ответственности за причинение вреда в связи с использованием именно компьютерной информации (т.е. информации на машинном носителе, в электронно-вычислительной машине, системе ЭВМ или их сети) вызвана возрастающим значением и широким применением ЭВМ во многих сферах деятельности и наряду с этим повышенной уязвимостью компьютерной информации по сравнению, скажем, с информацией, зафиксированной на бумаге и хранящейся в сейфе.

Преступное деяние, выразившееся в неправомерном доступе к компьютерной информации, посягает на общественную безопасность и общественный порядок, которые являются видовым объектом всех преступлений в сфере компьютерной информации, предусмотренных гл.28 УК.

Предметом преступления, указанного в ст.272 УК, является не любая информация, находящаяся в компьютерной форме, а только охраняемая законом. В соответствии со ст.2 Федерального закона от 20 февраля 1995 г. "Об информации, информатизации и защите информации" (далее - Закон об информации) информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Охраняемой законом, по смыслу УК, будет являться такая компьютерная информация, доступ к которой ограничен в соответствии с законом. Доступ - возможность совершения одного или ряда следующих действий: знакомиться с содержанием информации, копировать, уничтожать или изменять информацию.

Сегодня применение нормы, содержащейся в ст.272 УК "Неправомерный доступ к компьютерной информации", ограничено правовой и практической неразработанностью вопросов, связанных с использованием и охраной компьютерной информации, но правовая основа уже заложена.

Одной из причин отсутствия реальной борьбы с подобными деяниями в России является распространенное мнение о том, что от них терпят убытки исключительно западные фирмы. По данным МВД РФ, потери российского бюджета от неуплаты налогов продавцами компьютерных программ составляют 85 млн.долларов. Деньги, полученные от продажи, часто уходят в распоряжение криминальных структур. Кроме того, 105 млн.долларов теряют российские предприятия. В области разработки компьютерных программ и баз данных в стране работает около шести тысяч фирм, обеспечивающих занятость более 200 тыс.человек. "Финансовые известия", 23 мая 1996 г. Если положение не изменится, этой сфере производства грозит стагнация, поскольку программисты попросту потеряют стимулы к созданию новых передовых программных продуктов.

Официальная статистика даёт весьма скудную информационную картину компьютерных преступлений в Новгородской области.

В 1998 году таких преступлений зарегистрировано не было.

В 1999 году впервые выявлено 4 преступления, совершенные в сфере компьютерной информации. В общей массе совершаемых преступлений эти ничтожно малая цифра.

Они совершены тремя лицами. Из них привлечено к уголовной ответственности - 1 человек (25-29 лет), в отношение второго дело было прекращено. Оба - жители Великого Новгорода.

Одно преступление осталось нераскрытым в связи с не установлением лица, совершившего преступление.

В силу в первую очередь технических факторов этот вид преступности характерен для крупных городов.

Отвечает ли официальная статистика реальности?

Нет.

Во-первых, нарушение авторских прав на программное обеспечение необходимо также признавать преступлениями в сфере компьютерной информации. Из материалов органов внутренних дел данные о количестве таких преступлений выявить невозможно.

Во-вторых. Приведённые данные взяты из официальной статистики УВД Новгородской области. Однако указанные преступления относятся в первую очередь к компетенции ФСБ, а эти данные закрыты.

Следует отметить немаловажную деталь, связанную с преступлениями в указанной сфере. Органы внутренних дел обязательно доводят до сведения общественности данные о раскрытии таких преступлений. Это новый вид деяний, запрещаемых уголовным законодательством, поэтому органам необходимо показать общественности и центральному руководству, что на местах не сидят, сложа руки.

4.2 Некоторые проблемы действующего законодательства по вопросам уголовной ответственности за преступления в сфере компьютерной информации в Украине

Общественно опасные деяния в области информационных правоотношений получили в Украине название “преступления в сфере компьютерной информации”.

К ним относят преступные действия, совершенные с помощью вычислительной техники и средств телекоммуникаций, в которых объектом преступных посягательств выступают общественные информационные отношения. Прогнозируется дальнейший рост зависимости жизнедеятельности национальных инфраструктур от процессов информатизации, вхождение Украины в единый информационный простор, а значит, и распространение криминогенных процессов связанных с противоправным использованием компьютерных технологий. Анализ отечественного законодательства позволяет утверждать, что Украина предпринимает меры для противодействия преступлениям в сфере информации. Достаточно назвать Указ Президента Украины от 31 июля 2000 года ”О мероприятиях по развитию национальной составной глобальной информационной сети Интернет и обеспечение широкого доступа к этой сети в Украине”, Проект Концепции стратегии и тактики борьбы с компьютерной преступностью в Украине, а также раздел XVI “Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей принятого нового Уголовного кодекса Украины.

Рассмотрим действующие уголовно-правовые основы борьбы с преступлениями в сфере компьютерной информации. Начнем с того, что диспозиция статьи 361 "Незаконное вмешательства в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей" нового УК Украины не предусматривает уголовной ответственности за такое последствие незаконного вмешательства, как блокирование информации, т.е. невозможность получения доступа к компьютерной информации ее законному пользователю при сохранности самой информации в памяти ЭВМ. Ее разблокирование осуществляется как в результате чьих-либо действий, так и автоматически по истечении определенного промежутка времени. От блокирования компьютерной информации следует отличать вывод из строя компьютерной программы либо ее искажение. Во втором случае программа для ЭВМ может быть доступна как организованная в виде файла информация, но не как объект взаимодействия с пользователем.

Далее, статьи действующего Уголовного кодекса не в полной мере охватывают спектр общественно опасных действий, которые условно называются "преступления в сфере компьютерной информации". Учитывая возможность новых проявлений преступлений в сфере использования электронно-вычислительных машин, внесены изменения в действующий УК Украины, а именно Главу III "Преступления, его виды и стадии" дополнить статьей "Преступления, совершенные с применением информационных технологий" следующего содержания: "За совершение преступлений, предусмотренных Уголовным кодексом Украины, с применением информационных технологий, компьютерных систем и сетей ответственность назначается по статьям Особенной части, которые предусматривают ответственность за данные преступления".

В качестве вывода отметим, что эффективная борьба с преступлениями в сфере компьютерной информации, предусматривает прежде всего оптимальное сочетание правовых и профилактических мероприятий, совершенствование уголовного законодательства, разработку норм, устанавливающих ответственность за преступления в сфере компьютерной информации, и реально применяющихся в практической деятельности.

4.3 Виртуальные преступления и правовая борьба сними в Республике Беларусь

Новый Уголовный кодекс Республики Беларусь (далее - УК), действующий почти год, содержит ряд статей, предусматривающих уголовную ответственность за преступления против информационной безопасности. Данные новеллы являются своего рода законодательным реагированием на появление и развитие компьютерной преступности. Естественно, что принятию этой главы предшествовали длительное и скрупулезное научно-аналитическое исследование данной проблемы и выработка новых подходов во всех сферах уголовной юстиции по борьбе с ней. Был изучен и международный опыт, в том числе и в рамках международных организаций. Проведенные исследования помогли составить общую картину развития компьютерной преступности. Каковы же "исторические корни" компьютерной преступности? По какому пути шло мировое сообщество, выбирая оптимальные варианты борьбы с ней? В каком состоянии сегодня находится отечественная практика органов уголовной юстиции, столкнувшихся с прогрессирующим виртуальным криминалом, и насколько эффективным оказался в этом плане новый уголовный закон?

Недавно Совет Европы одобрил проект международной конвенции по борьбе с киберпреступностью. Проект будет представлен на одобрение министров иностранных дел стран-членов Совета Европы, которые соберутся в ноябре в Страсбурге. Текст конвенции будет открыт для подписания на встрече Совета Европы в Будапеште в конце ноября и вступит в силу, как только его ратифицируют пять государств, из которых хотя бы три являются членами Совета Европы. Конвенция преследует три главные цели: в ней определяется состав киберпреступлений, содержатся рекомендации по унификации соответствующих норм, действующих в разных странах, а также разрабатываются юридические процедуры и средства совместной борьбы с подобными преступлениями. Среди киберпреступлений, упомянутых в конвенции,- разрушение баз данных, вирусные атаки, виртуальное мошенничество, нарушение авторских прав, распространение детской порнографии и другие. Дополнительный протокол относительно проявлений расизма и ксенофобии в Сети Интернет будет также приложен к конвенции. В разработке проекта принимали участие практически все европейские государства, США, Канада, Япония, ЮАР. Сегодня компьютерные преступления, как правило, совершаются группой лиц и носят организованный характер. Преступные группы начинают применять методы, традиционные для преступлений экономической сферы. При этом они используют средства компьютерной техники, связи, телекоммуникаций и сговор с должностными лицами. Процесс приводит к тому, что многие преступные сообщества начинают переориентировать свою деятельность с получения и использования незаконных средств, добытых противоправными действиями, на совершение противоправных манипуляций с законными средствами в корыстных целях.

Исходя из характера компьютерных преступлений в Республике Беларусь, можно выделить следующие их характерные особенности:

- неоднородность объекта посягательства;

- выступление машинной информации как в качестве объекта, так и в качестве средства преступления;

- многообразие предметов и средств преступного посягательства;

- выступление компьютера либо в качестве предмета, либо в качестве средства совершения преступления.

В каком направлении развивается практика правоохранительных органов Республики Беларусь, с какими трудностями им пришлось столкнуться, рассказывает заместитель начальника управления оперативно-организационной работы криминальной милиции МВД Республики Беларусь Игорь Товиевич Черненко:

"Первое компьютерное преступление было зарегистрировано в Минске 20 ноября 1998 г., когда злоумышленник с использованием компьютерных технологий получил несанкционированный доступ к сетевым реквизитам пользователей Интернетом из числа клиентов одного из минских сервис-провайдеров. Он путем внедрения в программное обеспечение "компьютера-жертвы" вредоносной программы "троянский конь" типа "BackOrifice" получил несанкционированный доступ к информационным ресурсам ПЭВМ потерпевших. После этого похищал сетевые реквизиты (пароли) для подключения к Интернету и продавал своим знакомым по цене 25-40 долларов США.»

«Министерством внутренних дел Республики Беларусь в связи со вступлением в действие с 1 января 2001 г. нового УК, предусматривающего ответственность за совершение компьютерных преступлений, была проанализирована криминальная ситуация, складывающаяся в сфере компьютерной информации и телекоммуникаций как в нашей стране, так и в других странах. В связи с высокой степенью вероятности дальнейшего распространения компьютерной преступности на территории республики возникла необходимость создания подразделения, специализирующегося на их профилактике и раскрытии. В этих целях, в отличии от нашего государства, в феврале 2001 года в структуре криминальной милиции МВД Республики Беларусь было создано управление оперативно-организационной работы, в составе которого функционирует отделение по раскрытию преступлений в сфере высоких технологий. Аналогичные подразделения были созданы в ГУВД Мингорисполкома и УВД облисполкомов.

В результате проведенной работы в феврале - мае текущего года в Минске выявлен и обезврежен ряд организованных преступных групп, совершавших хищения имущества зарубежных Интернет-компаний с использованием компьютерной техники. Была установлена организованная преступная группа из 26 человек, в том числе 5 организаторов, которая на протяжении 1999 - 2001 годов совершала хищения компьютерной техники и цифровых фотокамер из интернет-магазинов США, ФРГ, Новой Зеландии и Австралии с использованием реквизитов похищенных кредитных карт. Вскрыто 71 преступление, совершенное ими.

В марте этого года выявлен пятнадцатилетний житель столицы, совершавший взломы серверов в США и похищавший реквизиты кредитных карт и материальные ценности из интернет-магазинов. Установлена также его причастность к изготовлению с помощью компьютерной техники фальшивых денег.

19 марта отделением по раскрытию преступлений в сфере высоких технологий была получена информация о фактах хищения оптических прицелов для охотничьего и боевого оружия, биноклей, радиостанций, принадлежащих американской Интернет-компании "Shooters Oasis" на сумму свыше 8 тыс. долларов. Преступления совершались с использованием компьютерной техники и реквизитов ворованных кредитных карт. Проведенной проверкой установлено, что 18 посылок с указанным имуществом с февраля по апрель этого года поступили через Минскую региональную таможню и "Белпочту" жителям Минска, которые установлены.

Сейчас расследуется уголовное дело в отношении участников организованной преступной группы из числа жителей Гродненской области, которые совершали преступления, в том числе с использованием компьютерной техники. Они с помощью специально созданной программы вносили несанкционированные изменения в бортовые компьютеры автомашин, прослушивали средства связи физических лиц и оперативных подразделений ОВД, в том числе телефонную, сотовую и пейджинговую связь. Путем несанкционированного доступа к компьютерной системе незаконно копировали информацию, касающуюся служебной деятельности милиции.

Обобщение сведений, собранных в данном направлении, позволяет сделать вывод о том, что на территории Республики Беларусь действуют хорошо организованные преступные группы. В их состав входят как наши граждане, так и граждане других стран, прежде всего России. Кроме того, в республике наметилась тенденция роста компьютерных преступлений, что может в будущем осложнить криминальную ситуацию в целом. Если с 1998 по 2000 годы было возбуждено всего 3 уголовных дела о компьютерных преступлениях, то в текущем году - свыше 300.»

7 июля 2001 г. судом Октябрьского района столицы был вынесен первый в истории белорусской юстиции приговор по делу о "картинге" - это хищение путем использования компьютерной техники, когда злоумышленник использует ворованные реквизиты кредитных карт, заказывая по ним в зарубежных интернет-магазинах товар. В стране появился первый осужденный по ст. 212 УК "Хищение с использованием компьютерной техники". 21-летний Алексей Макеев обвинялся в том, что совместно с братом, который находится в международном розыске, совершал покупки в интернет-магазинах инофирм путем введения в компьютерную систему ложной информации, выразившейся в предоставлении номеров, не принадлежащих им кредитных карт и недостоверных сведений об их владельцах. Покупки братья совершали в 29 фирмах США, Новой Зеландии, Италии. Вначале покупки выписывались ими на свое имя. Затем они стали пользоваться услугами третьих лиц: желающих братья находи ли через рекламные газеты. Подставные лица за вознаграждение в 10 долларов забирали товар с таможни либо Главпочтамта Минска, предъявляя свои паспорта. Итоговая сумма незаконных покупок составила 27500 долларов и около 450 английских фунтов.