Криминалистическая характеристика преступлений в сфере компьютерной информации

По уровню образования 40% компьютерных преступников на момент совершения преступного деяния имели среднее специальное образование, 40 - высшее и 20% - среднее.

По уровню интеллектуального развития компьютерных преступников можно охарактеризовать следующим образом: 77% имеют средний уровень интеллектуального развития, 21 - выше среднего и только 2% -ниже среднего.

Чаще всего преступления в сфере компьютерной информации совершаются устойчивыми преступными группами, для которых характерны мобильность, высокая техническая оснащенность, четкое распределение ролей, ярко выраженная корыстная мотивация, хорошо продуманная система сокрытия следов преступных деяний. Наибольшую опасность и сложность для выявления и раскрытия представляют преступные группы, имеющие в своем составе высококвалифицированных специалистов, обладающих специальными знаниями в области негласного получения и защиты компьютерной информации. Большая часть преступлений, совершенных указанными субъектами, остается латентной.

Мотивы и цели преступлений в сфере компьютерной информации различны. В рейтинговом порядке их можно расположить следующим образом: корысть, месть, личные неприязненные отношения с сослуживцами и руководством по месту работы, стремление скрыть другое преступление, хулиганские побуждения и озорство, исследовательские цели, демонстрация личных интеллектуальных способностей или превосходства.

Время совершения преступлений рассматриваемой категории лишь в относительно редких случаях устанавливается с точностью до дня и очень редко до часов и минут. Такая точность обычно требуется при выявлении отдельных эпизодов преступной деятельности. Как правило, время совершения данных преступных деяний исчисляют различными по продолжительности периодами, связанными с деятельностью потерпевших и (или) графиком работы ЭВМ, системы ЭВМ, их сети, а также конкретной программы для ЭВМ - средств преступления. При этом согласно ч. 2 ст. 9 УК РФ временем совершения каждого преступления признается время окончания общественно опасного деяния независимо от момента наступления последствий.

При совершении преступления в сфере компьютерной информации с использованием новых телекоммуникационных технологий и средств электросвязи место совершения общественно опасного деяния, как правило, не совпадает с местом реального наступления общественно опасных последствий. Таких мест может быть несколько. Они могут быть удалены друг от друга на значительные расстояния, находиться в транспортных средствах, различных учреждениях, на участках местности, в том числе в различных странах и на континентах. Последнее возможно по причине неограниченного радиуса действия, мобильности и доступности современных средств электросвязи, неотъемлемой частью которых является компьютерная информация. Поэтому местом совершения преступления рассматриваемой категории целесообразнее всего считать то транспортное средство, тот участок местности или территорию того учреждения, организации, государства, где были совершены общественно опасные деяния независимо от места наступления преступных последствий.

Все вышерассмотренные элементы криминалистической характеристики преступлений в сфере компьютерной информации не в полной мере раскрывают ее содержание, а приводимый перечень элементов не является исчерпывающим. Вместе с тем, учитывая специфику рассматриваемого вида преступных посягательств, считаем возможным акцентировать внимание на отмеченных криминалистически значимых сведениях. Более того, поскольку такой элемент криминалистической характеристики, как способ совершения преступления, является ее стержневой основой, уделим ему более пристальное внимание и выделим в самостоятельный параграф настоящей главы.

1.2 Способы совершения преступлений в сфере компьютерной информации и типичные следы

Важнейшим и определяющим элементом криминалистической характеристики преступлений любого вида является совокупность данных, характеризующих типичные способы их совершения.

Все способы подготовки, совершения и сокрытия преступлений в сфере компьютерной информации имеют свои индивидуальные, присущие только им признаки, по которым их можно распознать и классифицировать в отдельные общие группы. При этом в качестве основного классифицирующего признака выступает метод, с помощью которого преступником осуществляется целенаправленное воздействие на средства электронно-вычислительной техники и компьютерную информацию. Условно выделяются следующие общие группы.

Непосредственный доступ к машинным носителям и охраняемой законом компьютерной информации.

Дистанционный доступ к машинным носителям и охраняемой законом компьютерной информации.

Фальсификация входных (выходных) данных и управляющих команд.

4. Несанкционированное внесение изменений в существующие
программы для ЭВМ и создание вредоносных программных средств.

Незаконное распространение машинных носителей, содержащих компьютерную информацию.

Комплексные способы.

К первой группе относятся традиционные методы получения доступа к машинным носителям и компьютерной информации как предметам - чужому имуществу. Они используются субъектами при совершении преступлений против собственности. Наиболее распространены такие способы НСД, как постоянное или временное изъятие МНИ с охраняемой законом компьютерной информацией путем кражи, мошенничества (обмана, введения в заблуждение или легендирования), грабежа и разбоя; обращение вверенного субъекту МНИ в свою пользу или в пользу других лиц; уничтожение или повреждение МНИ различными способами, в том числе с использованием специальных технических средств, предназначенных (разработанных или приспособленных) для негласного уничтожения компьютерной информации, например, постоянного магнита или переносного генератора электромагнитного поля.

Специфичными следами применения этих способов будут следы орудий взлома и инструментов; одорологические следы; следы повреждения, уничтожения и (или) модификации охранных (сигнальных) устройств, а также замков и запирающих механизмов; показания автоматизированных систем охраны и контроля доступа в помещение, где хранятся МНИ, например, фото или видеодокументы из систем охранного видеонаблюдения; следы пальцев рук на СВТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, на розетках и штепсельных вилках, тумблерах, кнопках и рубильниках, включающих СВТ и электрооборудование; остатки соединительных проводов и изоляционных материалов, капли припоя, канифоли или флюса; следы проплавления, прокола, надреза изоляции проводов СВТ, наличие участков механического сдавливания и приклеивания сторонних предметов; следы фальсификации первичных документов, отражающих движение МНИ и документированной компьютерной информации, а также операции, произведенные с их помощью.

Ко второй группе способов относятся те, которые основаны на применении средств дистанционного доступа к МНИ и охраняемой законом компьютерной информации. Типичными орудиями совершения преступления будут:

специальные технические средства, предназначенные (разработанные, приспособленные, запрограммированные) для негласного дистанционного копирования, модификации, блокирования и уничтожения компьютерной информации с технических устройств ее обработки и передачи;

вредоносные программы для ЭВМ («троянский конь», «троянская матрешка», «временная» или «логическая бомба», «компьютерный вирус»); Подробнее см.: Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия / Под ред. Б.П. Смагоринского. - М., 1996. - С. 74-92.

специальные программно-технические средства подбора пароля (кода) доступа к ЭВМ, системе ЭВМ, их сети и охраняемой компьютерной информации («код-граберы» и программы для ЭВМ - «генераторы паролей»);

средства электросвязи;

5) ПЭВМ со стандартным программным обеспечением и промежуточные (транзитные) МНИ.

В юридической литературе рассматриваемая группа способов совершения преступлений в сфере компьютерной информации часто называется «телекоммуникационным доступом», поскольку их реализация не-, возможна без установки временного или использования постоянно существующего канала электросвязи. При этом неправомерные действия всегда осуществляются через промежуточные (транзитные) машинные носители информации и средства электросвязи.

Методы применения указанных орудий заимствуются преступниками у сотрудников силовых структур, спецслужб и правоохранительных органов, уполномоченных на проведение специальных технических мероприятий: прослушивание телефонных переговоров; снятие информации с технических каналов связи; контроль электронных сообщений («электронной почты»); перехват информации техническими средствами разведки; осуществление преднамеренных программно-технических воздействий на информацию с целью ее разрушения (уничтожения) или искажения в процессе обработки, передачи и хранения.

Чаще других преступниками используются такие способы дистанционного доступа к МНИ и охраняемой законом компьютерной информации, как:

1. Пассивный (бесконтактный) перехват - дистанционный перехват электромагнитных излучений, испускаемых при работе СВТ:

Перехват оптических сигналов (изображений) в видимом, инфракрасном (ИК) и ультрафиолетовом (УФ) диапазонах волн (осуществляется преступником с помощью оптических, оптикоэлектронных, телевизионных, тепловизионных, лазерных, фото-видео и других визуальных средств съема информации).

Перехват акустических сигналов, распространяющихся в воздушной, водной и твердой средах (осуществляется с использованием акустических, гидроакустических, виброакустических и лазерных средств).

Перехват электромагнитных сигналов, распространяющихся по техническим каналам основных и вспомогательных средств и систем в виде паразитных информативных физических полей: побочных электромагнитных излучений и наводок (ПЭМИН), паразитных модуляций ВЧ сигналов, паразитных информативных токов и напряжений, образуемых за счет эффекта электроакустического преобразования сигналов в сетях электросвязи, электрофикации, электрочасофикации, охранно-пожарной сигнализации, в сетях СВТ, в блоках СВТ и т. п.

2. Активный (контактный) перехват осуществляется путем непосредственного подключения к ЭВМ, системе ЭВМ, их сети или системе передачи данных различных радиоэлектронных и специальных технических средств (соответственно «РЭС» или «СТС») - штатных оперативно-технических, добытых различными способами, или специально изготовленных, разработанных, приспособленных и запрограммированных. В данном случае преступник может целенаправленно воздействовать на СВТ в целом, машинный носитель информации, систему санкционирования доступа к ним, каналы передачи данных и саму компьютерную информацию.

3. Использование вредоносных программ для ЭВМ заключается в негласном внедрении различными способами в ЭВМ, систему ЭВМ или сеть ЭВМ специальных программ: разведывательных - «троянский конь», «троянская матрешка» и других; разрушающих компьютерную информацию и повреждающих средства ее хранения (МНИ), обработки и передачи - «временная» или «логическая бомба», «компьютерный вирус». При этом использование программы для ЭВМ - это выпуск в свет, воспроизведение, распространение и иные действия по введению ее в хозяйственный оборот в изначальной или модифицированной форме, а также самостоятельное применение этой программы по назначению. Статья 1 Закона РФ от 23.09.92 г. № 3523-1 «О правовой охране программ для электоронных вычислительных машин и баз данных».

Типичными следами являются показания регистрирующей (мониторинговой) аппаратуры (радиосканирующих и пеленгующих устройств, компьютеризированных анализаторов проводных сетей электросвязи; программно-технических средств защиты портов ЭВМ - рабочих станций компьютерной сети; аппаратуры контроля и регистрации соединений абонентов в сети электросвязи; специальных программ для ЭВМ - «семантических ловушек» и «антивирусов»); вышеуказанные орудия преступления или их части; методическая литература, видеодокументы, а также отдельные их фрагменты, описывающие технологию создания и (или) применения рассматриваемых средств преступления; машинные носители с компьютерной информацией, к которой был осуществлен незаконный доступ, либо ее производные, содержащиеся на иных материальных носителях.

К третьей группе относятся способы совершения преступлений в сфере компьютерной информации, основанные на фальсификации (модификации) входных (выходных) данных и управляющих команд. В криминальной практике они используются для совершения экономических преступлений, например, осуществление подмены входных и (или) выходных данных бухгалтерского учета в процессе автоматизированной обработки документов. Способы рассматриваемой группы применяются преступниками, как правило, в тех случаях, когда принимаемые меры защиты информации от несанкционированного доступа и использования не соответствуют статусу ее правовой защиты, а также установленным Специальным требованиям. Так, отсутствие должного контроля со стороны администрации и службы безопасности организации за деятельностью своих работников позволяет им в корыстных целях фальсифицировать данные, отраженные в документах на машинных носителях и машинограммах - бумажных копиях электронных документов, полученных по каналам электросвязи. С помощью этих способов совершаются хищения денежных средств и иные преступные посягательства, ведется так называемая двойная, или черная бухгалтерия.

Типичные следы способов можно обнаружить путем попарного сравнения данных, содержащихся в следующих документах, по схеме: первичные документы, на основе которых формируется документ на машинном носителе ==> документ на машинном носителе ==> машинограмма ==> первичные документы.

Четвертая группа - это несанкционированное внесение изменений в существующие программы для ЭВМ и создание вредоносных программных средств, результатом действия которых является уничтожение, блокирование, модификация либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

Несанкционированное внесение изменений в существующую программу для ЭВМ - это неразрешенное законом, собственником, владельцем или другим компетентным пользователем внесение в нее любых изменений как непосредственно - собственноручно, так и дистанционно - с помощью специальной программы для ЭВМ, разработанной для внесения таких изменений. Внесение изменений в существующую программу означает изменение ее алгоритма путем исключения его фрагментов, замены их другими, дополнения его новыми командами. Как правило, эти действия осуществляются негласно, в нарушение установленных правил, без предварительного предупреждения пользователя или без запроса его разрешения на данные действия.

Создание программы для ЭВМ - это написание ее алгоритма, т.е. последовательности логических команд, с дальнейшим преобразованием его в машинный язык (объектный код).

Вредоносность программы для ЭВМ будет определяться совокупностью следующих признаков:

Способностью уничтожать, блокировать, модифицировать, копировать информацию, нарушать работу ЭВМ, системы ЭВМ или их сети.

Отсутствием предварительного уведомления собственника, владельца или пользователя компьютерной информации о характере действия программы.

Реализацией программой своего алгоритма без получение соответствующего согласия (санкции) собственника, владельца или пользователя компьютерной информации на это.

Следует обратить внимание на то обстоятельство, что так называемые крэк-программы, с помощью которых осуществляется дезактивация программных средств защиты охраняемой законом компьютерной информации, например, программ для ЭВМ - объектов авторского права, являются орудием (средством) совершения преступления, предусмотренного ст. 272, а не ст. 273 УК РФ. Они могут использоваться в качестве вещественных доказательств в соответствии со ст. 81 УПК РФ.

Типичные следы: сбой в работе программы для ЭВМ; нарушение работы ЭВМ, системы ЭВМ, их сети, а также периферийного оборудования, управляемого ЭВМ; уничтожение, блокирование, модификация либо копирование информации определенного вида; несанкционированное изменение структуры расположения файлов (папок - директориев) и (или) программ для ЭВМ на машинном носителе; появление на машинном носителе новой информации (файлов, программ, директориев), происхождение которой неизвестно; показания тестирующих (специальных, антивирусных) и мониторинговых программ для ЭВМ; расхождение контрольных данных, отраженных в журнале оператора (администратора сети) ЭВМ, с фактическими, реально находящимися в ЭВМ, системе ЭВМ, их сети или на отдельном МНИ.

К пятой группе способов относятся действия субъекта, выражающиеся в незаконном распространении машинных носителей, содержащих охраняемую законом компьютерную информацию или сведения, распространение (оборот) которых запрещен под угрозой уголовного наказания, например, порнографических материалов и вредоносных программ для ЭВМ.

Под распространением машинного носителя информации понимается его передача на каких бы то ни было условиях третьим лицам.

Распространение программы для ЭВМ - это предоставление доступа к воспроизведенной в любой материальной форме программе для ЭВМ, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, а также создание условий для самораспространения программы.

Примерами рассматриваемой группы способов совершения преступления в сфере компьютерной информации являются незаконное распространение контрафактных программ для ЭВМ, баз данных и иных объектов авторского права на машинных носителях; сбыт поддельных кредитных либо расчетных карт и иных документов на машинных носителях.

Группа комплексных способов совершения преступления в сфере компьютерной информации основана на применении преступником двух и более способов различных групп, причем один из них всегда используется как основной, а другие выполняют вспомогательные функции, например, сокрытие следов преступления.

1.3 Обстоятельства, подлежащие установлению и доказыванию

С учетом вышеизложенного и того, что содержание криминалистической характеристики конкретной категории преступлений должно охватывать те особенности элементов предмета доказывания, которые характерны именно для их расследования, выделим следующие основные обстоятельства, подлежащие установлению при расследовании преступлений в сфере компьютерной информации.

Факт совершения преступления: не является ли событие следствием непреодолимых факторов - погодных условий, природных катастроф, самопроизвольных технических аварий, поломок, неполадок и разрушений отдельных элементов СВТ.

Характеристика компьютерной информации, подвергшейся преступному воздействию:

2.1. Содержание и назначение (документированная или недокументированная; общедоступная или охраняемая законом; название информации (тайны) со ссылкой на соответствующий федеральный закон);

2.2. Форма представления (файл, программа для ЭВМ, база данных, иная).

2.3. Количественные и качественные характеристики - реквизиты формы (название файла, программы или базы данных; объем (размер) памяти, занимаемый информацией на МНИ; индивидуальные признаки расположения информации на МНИ - в обычном или архивированном виде, в форме инсталляции, только для чтения, скрыта от визуального просмотра и др.).

2.4. Индивидуальные признаки машинного носителя информации (название, заводской или учетный (регистрационный) номер либо рабочая частота, место хранения (нахождения) или условия существования (характеристики канала электросвязи) и др.).

Характеристика компьютерной информации, которая содержится на МНИ вместе с предметом преступления.

Непосредственная причина нарушения безопасности компьютерной информации и орудий ее обработки.

Время (период) совершения преступления.

Место совершения преступления.

Способ совершения преступления и средства, используемые для его реализации:

доступа к предмету преступления;

преодоления защиты компьютерной информации;

преступного воздействия на компьютерную информацию (уничтожение, блокирование, копирование, модификация).

8. Режим работы с компьютерной информацией, средствами ее об
работки и защиты.

9. С помощью каких конкретно СВТ совершено преступление (тип, вид, модификация, функциональное назначение, техническое состояние и другие признаки).

Конкретный терминал или участок сети (абонентский (регистрационный) номер, код, шифр, рабочая частота), с помощью которого было совершено преступление, режим его работы, ответственное лицо пли собственник (владелец, пользователь).

Имела ли место утечка конфиденциальной информации (какой именно, откуда, при каких обстоятельствах).

Размер материального ущерба:

собственная стоимость охраняемой законом компьютерной информации;

стоимость сил и средств, затраченных на ее защиту;

стоимость ее машинного носителя (с учетом амортизации и износа);

оценочный размер неполученной прибыли, вызванный невозможностью использования по назначению компьютерной информации, подвергшейся преступному воздействию.

С какими служебными действиями, операциями технологического процесса связано преступление, кто из должностных лиц или работников несет ответственность и имеет непосредственное отношение к ним в силу технологии производства, должностных инструкций (обязанностей) или командно-административного управления.

Наличие квалифицирующих признаков:

совершено группой лиц по предварительному сговору или организованной группой;

совершено лицом с использованием своего служебного положения;

совершено лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети;

преступные деяния повлекли по неосторожности тяжкие последствия (утрату особо ценной информации; вывод из строя ЭВМ, системы ЭВМ или их сети, обеспечивающих функционирование основных технологических процессов (систем) режимных объектов информатизации; повлекшие несчастные случаи с людьми, аварии и катастрофы).

15. Сведения о субъекте (субъектах) преступления:

Анкетные: Ф.И.О.; год рождения; место рождения; образование (гражданское и военное); специальность (гражданская, военная - ВУС и специальная - для сотрудников правоохранительных органов); какие учебные заведения окончил или где в настоящее время обучается; род занятий; специальное (воинское) звание или классный чин; название должности по последнему месту работы; место жительства и регистрации; реквизиты паспорта и военного билета; семейное положение; хобби; характеристика с места работы, учебы и жительства; условия жизни и воспитания (для несовершеннолетнего).

Учетные в органах внутренних дел: сведения о совершенных правонарушениях (преступлениях).

Физические: рост; телосложение; физическая сила; признаки внешности; отпечатки пальцев рук.

Физиологические: группа крови; состав слюны; наличие заболеваний.

Психолого-психические: уровень сформированности личности, самооценки и интеллектуального развития; тип нервной системы; устойчивые привычки; профессионально выработанные навыки и умения; потребности, интересы и наклонности; уровень компьютерной фобии и зависимости.

Оформление внешности (сталь одежды) и иные детали.

Круг связей лица (соседи, сослуживцы, друзья, родственники, знакомые).

16. Наличие соучастников: анкетные данные; индивидуальные признаки; роль в преступлении (исполнитель, организатор, подстрекатель, пособник); механизм действий каждого соучастника.

17. Признаки организованной преступной группы (ОПГ):

Устойчивость функционирования (время образования, срок функционирования).

Корыстная направленность деятельности.

Внутригрупповое распределение ролей (обязанностей).

Наличие процессов управления внутри группы (сообщества):

предварительное гласное и (или) негласное изучение места, условий хранения и режима защиты компьютерной информации - предмета преступного посягательства либо ее машинного носителя;

принятие решений, в том числе планирование преступлений (определение места, времени, способа, исполнителей, материально-технического обеспечения и т.д.);

организация исполнения принятых решений (подбор исполнителей и помощников, их инструктаж, оплата труда, подготовка средств совершения преступления, разработка способов сокрытия преступления и методов использования предмета преступного посягательства);

контроль за исполнением принятых решений и их корригирование.

Наличие и поддержание внутренней системы поощрения и наказания членов ОПГ.

Использование для общения специального языка (жаргонных слов и выражений).

Наличие и поддержание межрегиональных и международных преступных связей (определенные субъекты, характер, направленность, вид, формы, методы и каналы связи).

Общие денежные, транспортные и иные материальные средства.

Вооруженность и техническая оснащенность (вид, название, количество, каналы приобретения, места хранения и лица, ответственные за использование оружия, специальных технических средств и средств связи).

18. Наличие и поддержание коррумпированных связей с сотрудника
ми властных структур, правоохранительных, проверяющих (инспектирующих) и лицензирующих органов.

19. Цели и мотивы совершения преступления.

20. Кто является потерпевшим (физическое или юридическое лицо).

21. Сведения о потерпевшем:

21.1. Юридическом лице: название; адрес; форма собственности; . вид хозяйственной деятельности; сведения о руководителе (-ях) и главном бухгалтере; данные о лице, ответственном за получение, хранение, обработку, передачу, уничтожение или защиту компьютерной информации, подвергшейся преступному воздействию, либо ее машинных носителей;

21.2. Физическом лице: анкетные; учетные; физические; физиологические; психолого-психические; оформление внешности; круг связей лица.

Вид и размер ущерба (физического, материального, морального), кому причинен и обстоятельства его возмещения.

Виновность лица, совершившего преступление.

Причины и условия, способствовавшие совершению и сокрытию преступления, что усугубило их проявление - не обусловлено ли это нарушениями нормативных актов, положений, инструкций, правил, организации работы другими лицами, кем именно и по каким причинам.

В случаях, когда лицо, совершившее преступление в сфере компьютерной информации, неизвестно, дополнительно необходимо установить:

Сведения о преступлениях данной категории, совершенных ранее аналогичным способом.

Сведения о лицах, «проходивших» по этим преступлениям.

Факты о всех случаях нарушения должностных инструкций, правил поведения, внутреннего распорядка, обработки (использования) и защиты компьютерной информации, подвергшейся преступному воздействию, либо циркулирующей в СВТ на месте происшествия.

Факты, указывающие на недовольство некоторых лиц, работающих на месте происшествия, проводимой кадровой политикой или сложившейся там производственной обстановкой:

непризнание научных, профессиональных или организаторских способностей должностных лиц (руководителей) отдельными работниками;

конфликты на почве личной неприязни;

недовольство зарплатой, временем отпуска, режимом работы и ограничениями, вызванными необходимостью защиты информации;

задержка с продвижением по службе, научным или профессиональным ростом;

другие обстоятельства.

Совпадение либо несовпадение сведений о вышеуказанных лицах с имеющимися в деле сведениями о преступнике.

Местонахождение представляющего интерес лица в момент совершения преступления (причины отсутствия по месту работы, учебы, проживания, постоянного время препровождения или заранее назначенной с кем-либо встречи).

Выявление вышеуказанных обстоятельств происходит в результате проведения следственных действий, оперативно-розыскных и иных мероприятий, о планировании и организации проведения которых пойдет речь в следующей главе настоящей работы.

Глава 2. Типичные следственные ситуации, особенности организации и планирование расследования на первоначальном этапе

2.1 Типичные следственные ситуации

Раскрывать преступления в сфере компьютерной информации сложно, так как нередко преступники прибегают к различным уловкам, маскируют свои преступные деяния многочисленными объективными и субъективными причинами, которые действительно могут иметь место. К ним, как правило, относятся следующие:

1. Естественные:

стихийные бедствия, природные явления (пожары, землетрясения, наводнения, ураганы, смерчи, тайфуны, циклоны, электромагнитные вспышки на Солнце и т.п.);

самопроизвольное разрушение элементов, составляющих СВТ.

2. Обусловленные неумышленной деятельностью человека в следствии непреодолимых факторов:

ошибки при создании (изготовлении) СВТ (недочеты проектирования, в т. ч. системы защиты, кодирования информации, в изготовлении элементов СВТ);

ошибки в процессе работы (эксплуатации) СВТ (неадекватность концепции обеспечения безопасности СВТ; недочеты управления системой защиты, ошибки персонала, сбои и отказы оборудования и программного обеспечения, ошибки при производстве пусконаладочных и ремонтных работ).

Эти причины часто используются преступниками в личных корыстных целях для прикрытия преступных деяний, поэтому в процессе расследования разграничить административные правонарушения и преступления бывает нелегко.

Анализ отечественной и зарубежной юридической литературы, материалов конкретных уголовных дел, а также других эмпирических источников показывает, что успешное расследование преступлений рассматриваемого вида напрямую зависит оттого, как быстро после совершения общественно опасного деяния начато предварительное расследование. В этой связи особую актуальность и значимость приобретает первоначальная стадия уголовного процесса - возбуждение уголовного дела. Она во многом обусловлена уголовно-правовой природой выделенных преступных посягательств, неординарностью способов их совершения, сложностью изучения исходной доказательственной информации, которая, как правило, содержится в учетных, технологических и иных документах, находящихся в сложных форматах. Помимо этого, необходимо учитывать и то обстоятельство, что все действия, составляющие данную стадию, совершаются до возникновения уголовного дела. Поэтому эффективность работы следователя по раскрытию и расследованию преступлений в сфере компьютерной информации в первую очередь зависит от оперативности реагирования на заявления и сообщения о преступлении, своевременного и обоснованного возбуждения уголовных дел. Практика свидетельствует о том, что запоздалое начало уголовного процесса может привести к быстрой, по сравнению с другими видами преступлений, утрате важных доказательств, безнаказанности преступников, увеличению сроков предварительного расследования и другим негативным последствиям. Как правильно отмечал Р.С. Белкин, успешность расследования преступлений зависит не только от методически правильного подхода к процессу расследования, но и от оперативности действий, умения организовать силы и средства, которыми располагают органы, ведущие борьбу с преступностью. См.: Белкин Р.С. Курс криминалистики. В 3 т. Т. 1: Общая теория криминалистики. - М., 1997. - С. 307. Именно поэтому важное значение на стадии возбуждения уголовного дела о преступлениях рассматриваемой категории будет иметь оптимальная организация взаимодействия между следственными подразделениями, специализированными органами дознания, экспертными службами и частными охранными структурами (службами безопасности) в целях получения максимально полной криминалистически значимой информации о происшедшем событии.

Известно, что деятельность сотрудника органа дознания, дознавателя и следователя на начальной стадии расследования любого преступления состоит из трех основных этапов:

Оценки поступившей информации о преступлении.

Проверки заявления и сообщения, если в исходной информации отсутствуют достаточные данные, указывающие на признаки преступления рассматриваемого вида.

3. Принятия и процессуального оформления решения о возбуждении уголовного дела.

Эта деятельность регулируется уголовно-процессуальным законом и ведомственными нормативными актами См., например: Приказ МВД России № 158 от 13.03.03 г. «Об утверждении Инструкции о порядке приема, регистрации и разрешения в органах внутренних дел Российской Федерации сообщений о преступлениях и иной информации о правонарушениях»., но ей присущи и определенные особенности.

Поводами и основаниями для возбуждения уголовных дел о преступлениях в сфере компьютерной информации чаще всего служат:

Заявление о преступлении от потерпевшего - от представителей юридических лиц и от граждан (физических лиц).

Непосредственное обнаружение признаков преступления органом дознания:

в результате проверки сообщения о совершенном или готовящемся преступлении, поступившего из оперативных источников;

в ходе проведения специальных оперативно-технических мероприятий;

по материалам контрольно-ревизионных и иных документальных проверок;

при задержании лица (лиц) на месте совершения преступления с поличным.

3. Непосредственное обнаружение признаков преступления следователем или прокурором при расследовании уголовных дел о преступлениях других видов.

В зависимости от содержания исходной информации о происшедшем событии следователь имеет возможность до возбуждения уголовного дела провести в порядке ст. 144 УПК РФ предварительную проверку фактов, изложенных в сообщении о преступлении. Естественно, такая проверка не является стадией предварительного расследования, однако она типична для преступлений в сфере компьютерной информации. Она проводится в сроки, жестко регламентированные действующим уголовно-процессуальным законом (ч. 1 и 3 ст. 144 УПК РФ). Поэтому целесообразно составить план предварительной (доследственной) проверки. В нем должны быть отражены следующие позиции:

истребование необходимых материалов (документов), свидетельствующих о противоправности события либо отражающих незаконность проведения операции в сфере компьютерной информации;

анализ полноты комплекта и содержания документов, подтверждающих противоправность исследуемого деяния;

проверка подлинности и действительности документов, имеющихся в распоряжении дознавателя, органа дознания или следователя;

вопросы лицам, на которых ссылается заявитель или имеются данныe о них как о возможных свидетелях происшедшего события;

получение объяснения от заявителя и возможных свидетелей (очевидцев) события;

предварительное исследование предметов и документов - возможных орудий преступления (МНИ, программ для ЭВМ, баз данных, отдельных файлов, специальных технических средств и других);

ознакомление с технологией использования документированной компьютерной информации в конкретном технологическом процессе или операции;

изучение правовой основы операции, итогом которой явилось событие, изложенное в сообщении о преступлении;

консультации со специалистами.

В плане могут быть предусмотрены и другие проверочные и ознакомительные действия, которые не являются следственными.

С учетом данных, полученных в результате доследственной проверки поступивших материалов, принимается решение о возбуждении уголовного дела, об отказе в его возбуждении или передаче сообщения о преступлении по подследственности, определяемой ст. 151 УПК РФ.

Для принятия обоснованного решения о возбуждении уголовного дела о преступлении в сфере компьютерной информации в распоряжении следователя (дознавателя) должны находиться следующие сведения и документы:

Письменное заявление потерпевшего - гражданина или представителя юридического лица либо протокол устного заявления о преступлении в сфере компьютерной информации.

Объяснение заявителя, в котором содержатся данные о времени и месте совершения преступления, предмете преступного посягательства и сто индивидуальных признаках (название компьютерной информации, место ее нахождения, особые условия доступа к ней и ее МНИ и др.).

Документы либо их копии, подтверждающие право собственности, владения или пользования компьютерной информацией, подвергшейся преступному воздействию (письменный договор на получение услуг Интернет, электросвязи, обслуживание по банковской карте, пластиковая карта, свидетельство о праве собственности на программу для ЭВМ или базу данных и иной оформленный надлежащим образом документ).

Рапорт об обнаружении признаков преступления и приложенные к нему материалы, полученные в ходе производства оперативно-розыскных мероприятий, ревизий, документальных и иных проверок.

Письменное заключение специалиста о производстве предварительного исследования вещественных доказательств, а также по вопросам, поставленным перед ним лицом, производившим предварительную проверку материалов, содержащих признаки преступления, данное в порядке ч. 3 ст. 80 УПК РФ.

Идентификационные данные о владельце (собственнике, пользователе) ЭВМ, системы ЭВМ или их сети, осуществившем незаконный дистанционный доступ к охраняемой законом компьютерной информации, например, логин, пароль и номер абонента сети электросвязи (номер телефона), с помощью которых был осуществлен такой доступ.

Протокол осмотра места происшествия - места обнаружения следов преступления с обязательным осмотром ЭВМ (сервера сети ЭВМ), МНИ и компьютерной информации, в результате которого были получены данные, подтверждающие факты, изложенные заявителем.

Документы, подтверждающие факт распространения вредоносных программ для ЭВМ или машинных носителей с такими программами (кассовый или товарный чек, протокол проведения оперативно-розыскного мероприятия и приложения к нему).

Все вышеуказанные документы и содержащиеся в них сведения необходимо оценить с позиций законности, достоверности и достаточности для принятия того или иного процессуального решения.

В случае возбуждения уголовного дела, исходя из содержания уже имеющихся документов, осуществляется совместное планирование расследования преступления в сфере компьютерной информации на первоначальном этапе. При этом недопустимо игнорировать проверенные временем научные рекомендации. В данном вопросе едины многие исследователи: например, Л.П. Дубровицкая и И.М. Лузган наличие такого плана считали залогом успешного расследования уголовного дела. По их мнению, он должен содержать позиции, дающие ответы на следующие вопросы:

с производства каких следственных действий надо начать расследование, чтобы не утратить источники доказательственной информации?

Когда по тактическим соображениям целесообразнее всего осуществить задержание известного преступника?

Как обеспечить тактическую перспективу дела, в частности, установить всех лиц, совершивших преступление, раскрыть их связи, выяснить причины и условия, способствовавшие совершению преступления?

Кто из свидетелей должен быть допрошен первым?

Кто из подозреваемых в совершении преступлений должен быть допрошен в первую очередь (по групповым делам), в какой последовательности это целесообразно сделать, чтобы обеспечить полноту и всесторонность расследования, исключить возможность влияния подозреваемых на соучастников, потерпевших и свидетелей?

У кого (где) и в какой тактической последовательности должны быть проведены обыски и выемки, когда (в какое время) и что следует искать (изымать) при их производстве, с участием каких специалистов и применением каких научно-технических методов и средств, чтобы обеспечить выявление и процессуально грамотное получение всех возможных доказательств?

Что необходимо предпринять для установления материального ущерба и обеспечения гражданского иска?

Каковы формы контакта следователя с оперативным сотрудником, особенности их взаимодействия со специалистами (экспертами)?

Каковы приемы и допустимость использования в уголовном деле материалов, полученных в результате осуществления оперативно-розыскной деятельности?

Как показывает анализ эмпирических источников, па практике при решении вопроса о возбуждении уголовного дела допускается ряд тактических просчетов и ошибок, влияющих, в конечном счете, на объективность, полноту и качество предварительного расследования. Отметим наиболее значимые из них.

Низкое качество проводимой проверки сообщения о преступлении, по материалам которой иногда необоснованно возбуждаются уголовные дела.

Очень часто материалы о преступлении в сфере компьютерной информации, совершенном «нетрадиционным» и малопонятным по своей правовой сути (для практических работников) способом, без достаточных оснований и с нарушением всех установленных УПК сроков, оседают в органе дознания, что приводит к волоките и другим отрицательным последствиям. По этой причине лица, причастные к преступной деятельности, получают возможность скрыться от следствия, уничтожить основные следы и, таким образом, помешать установлению истины по делу.

Нередко, вопреки требованиям Инструкции о порядке приема, регистрации и разрешения в органах внутренних дел Российской Федерации сообщений о преступлениях и иной информации о правонарушениях, утвержденной Приказом МВД России от 13.03.03 г. № 158, заявления о преступлениях рассматриваемой категории регистрируются с большим опозданием, а иногда и вовсе не регистрируются.

Чтобы не допустить их, следует всегда помнить, что успех расследования преступления в сфере компьютерной информации обеспечивают быстрота и решительность действий следователя в самые первые часы производства по делу, организованное взаимодействие со специализированным органом дознания - отделом «К» Управления специальных технических мероприятий (УСТМ) УВД (ГУВД, МВД) области (края, республики), а также наличие соответствующего специалиста.

Например, в отдельных случаях оперативные работники должны выяснить (проверить) некоторые конкретные вопросы и материалы, произвести задержание преступника, выполнить другие мероприятия оперативного характера. Промедление при этом недопустимо, так как может привести к утечки конфиденциальной информации, утрате материальных следов, уничтожению документов и идентификационных признаков предметов, которые в дальнейшем могут использоваться в качестве вещественных доказательств.

Помимо вышеуказанного, на момент принятия решения о возбуждении уголовного дела следователь должен:

а) иметь четкое и полное представление о характере деятельности и
структуре объекта, где было совершено преступление;

б) знать конкретные условия деятельности объекта, связанные с
предметом преступного посягательства, существующий порядок учета и
отчетности, систему оборота товаров и документов на машинных носителях;

в) знать коммуникативные и иные тактико-технические характеристики используемой компьютерной техники;

г) знать организацию охраны конфиденциальной компьютерной
информации;

д) хорошо знать служебные обязанности лиц, имеющих прямые пли
косвенные отношения к предмету преступления.

Для того, чтобы детально разобраться в особенностях деятельности потерпевшего, следователю необходимо ознакомиться с соответствующей справочной литературой, изучить ведомственные нормативные акты. Исключительно важное значение при расследовании преступлений выделенной группы имеют консультации со специалистами, в качестве которых могут выступать любые лица, обладающие необходимыми знаниями и опытом. Ими могут быть квалифицированные работники различных организаций, осуществляющих свою деятельность в области компьютерных и телекоммуникационных технологий, а также профессионально занимающиеся защитой информации, охраняемой законом. Предпочтение следует отдавать сотрудникам Государственной технической комиссии при Президенте Российской Федерации, действующей на основании Указа Президента Российской Федерации № 9 от 05.01.92 г. «О создании Государственной технической комиссии при Президенте российской Федерации»; специалистам, производящим судебные компьютерно-технические экспертизы; сотрудникам служб безопасности, которые занимаются вопросами защиты информации от ее утечки по техническим каналам; работникам научно-исследовательских центров (институтов, лабораторий) и учебных заведений.

Известно, что расследование преступлений как специальный вид юридической деятельности предполагает планирование, организацию и проведение определенной совокупности действий и образующих их операций, успешная реализация которых, в конечном счете должна привести к достижению желаемых результатов - выявлению события преступления и лица (лиц), его совершивших.

В ходе многовековой практики расследования преступлений определился круг таких действий и их направленность, целевые функции, что позволяет говорить об их определенной типизации, в частности, применительно к расследованию конкретных видов преступлений. Кроме того, глубокий анализ следственной практики показал, что, хотя к началу расследования любого преступления могут сложиться различные следственные ситуации, все их многообразие тоже можно подразделить на несколько наиболее характерных групп, или, иными словами, типизировать.

В свою очередь, конкретная следственная ситуация обусловливает основные направления расследования, в частности, те следственные версии, которые она порождает и проверка которых требует проведения сугубо определенных следственных действий или оперативно-розыскных мероприятий, что опять-таки приводит к типизации операций по выявлению, исследованию и использованию разнообразной криминалистической информации.

С учетом выше изложенного, по делам о преступлениях в сфере компьютерной информации можно выделить следующие исходные следственные ситуации:

I. Информация о причинах возникновения общественно опасных деяний, способе их совершения и личности правонарушителя отсутствует.

Имеются сведения о причинах возникновения преступления, способе его совершения, но нет сведений о личности преступника.

Известны причины возникновения преступления, способы его совершения и сокрытия, личность преступника и другие обстоятельства.

В первых двух следственных ситуациях обычно планируют и осуществляют следующие первоначальные следственные действия, oneративно-розыскные и организационные мероприятия:

Допрос заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей.

Решение вопроса о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях.

Вызов необходимых специалистов для участия в осмотре места происшествия (если он не был произведен ранее).

Осмотр места происшествия.

Проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, обнаружения следов и других вещественных доказательств.

Выемка и последующий осмотр средств электронно-вычислительной техники, предметов, материалов и документов (в том числе находящихся в электронной форме на машинных носителях), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия.

Допросы свидетелей (очевидцев).

Допросы подозреваемых (свидетелей), ответственных за данный участок работы, конкретную производственную операцию и защиту информации.

Обыски на рабочих местах и по месту проживания (в жилище) подозреваемых.

Назначение судебной компьютерно-технической, радиотехнической, бухгалтерской и иных экспертиз.

Дальнейшие действия планируются с учетом информации, полученной от реализации вышеуказанного алгоритма.

Для третьей следственной ситуации может быть предложена следующая программа расследования и действий следователя на первоначальном этапе:

Изучение поступивших материалов доследственной проверки с позиций их полноты, соблюдения норм уголовно-процессуального законодательства и порядка передачи в органы следствия. При необходимости принятие мер к получению недостающей информации путем возвращения материалов в орган дознания с соответствующим письменным указанием.

Возбуждение уголовного дела.

Вызов необходимых специалистов для участия в осмотре места происшествия (если он не был произведен ранее).

Осмотр места происшествия.

Личные обыски задержанных, их рабочих мест и места проживания (жилища).

Допрос подозреваемых.

Выемка и осмотр вещественных доказательств.

Изъятие и осмотр подлинных документов, удостоверяющих личность задержанных, а также документов, характеризующих те производственные операции, в процессе которых допущены нарушения и обнаружены преступные действия (в том числе документов на машинных носителях и машинограмм).

Допрос лиц, названных в документах, переданных в органы предварительного расследования, как допустивших нарушения, ответственных за работу конкретных СВТ, по фактам установленных нарушений.

Проверка подозреваемых по учетам ОВД.

Истребование, а при необходимости производство выемки:

а) нормативных актов и документов, характеризующих порядок и
организацию работы на предприятии - месте обнаружения следов преступления (в т. ч. с конфиденциальной информацией, бланками строгой отчетности, по использованию СВТ и т. п.);

б) документов, отражающих работу субъекта с конкретной компьютерной информацией - предметом преступления, ЭВМ или системой
ЭВМ, например, журнала оператора ЭВМ, электронного журнала фиксации осуществленных операций, электронного реестра регистрации соединений абонентов в сети ЭВМ или электросвязи.

Допрос свидетелей, причастных к соответствующим производственным операциям или подозреваемых в связях с лицами, совершившими преступные действия.

Анализ полученной информации и решение вопроса о необходимости назначения экспертиз, проведения ревизии, документальной или иной проверки, в том числе повторной (по каким позициям, за какой период и с участием каких специалистов).

Заключение

В заключение хотелось бы отметить, что преступления в сфере компьютерной информации заняли на сегодняшний день свое весомое место в общем потоке криминальных проявлений

Лица, совершающие преступления такого рода, обычно обладают достаточно высокими специальными знаниями и практическими навыками в области компьютерной техники, новых телекоммуникационных и репрографических печатных технологий, криптографии и электронного документооборота.

Как правило, это увлеченные компьютерной техникой школьники, студенты и молодые специалисты, совершенствующиеся на этом виде деятельности. Они объединены в региональные группы, издают печатные средства массовой информации, имеют свои сайты в глобальной сети ЭВМ Интернет, например, www.xakepxp.by.ru (сайт хакеров, специализирующихся на взломах систем защиты информации), www.hackzone.ru (зона хакеров), www.hackersclub.com (клуб хакеров) и www.carderplanet.com (планета кардеров), проводят электронные конференции (форумы) по «обмену опытом», публикуют на электронных досках объявления с предложениями своих «услуг» или «работы». В таких «литературных» источниках имеются все необходимые сведения и специальные программы для ЭВМ, направленные на вовлечение подростков и молодежи в противоправную деятельность, а также повышение профессионального мастерства начинающего правонарушителя - методики, конкретные способы и соответствующие программные средства совершения и сокрытия преступлений в сфере компьютерной информации от самых простых до очень изощренных и сложных.