Расследование преступлений в сфере компьютерной информации
правил? Перед экспертами могут быть поставлены вопросы:
1? На какой рабочей станции локальной вычислительной сети могли быть
нарушены правила ее эксплуатации: в результате чего наступили вредные
последствия;
2? Могли ли быть нарушены правила эксплуатации сети на рабочей
станции: расположенной там-то;
5 Следственный эксперимент
Следственный эксперимент представляет собой познавательный прием:
посредством которого путем воспроизведения действий: обстановки или иных
обстоятельств определенного события или явления и совершения необходимых
опытных действий: в контролируемых и управляемых условиях исследуются эти
события или явления? Такой прием с давних пор применяют и при исследовании
каких-либо обстоятельств преступного события в ходе расследования: а также
судебного разбирательства уголовных дел?
Действующим УПК для производства следственного эксперимента
предусмотрены специальные правила (ст? 183( Его вправе производить
следователь или прокурор: а также орган дознания по делам о преступлениях:
по которым предварительное следствие не обязательно? Известны случаи: когда
интересные и убедительные эксперименты подобного рода проводились и в суде?
Если эксперимент проводится в ходе предварительного следствия или
дознания: то для этого приглашаются понятые? При необходимости могут
приглашаться соответствующие специалисты?
Суть самого следственного эксперимента: как сказано в законе (ст?183
УПК(: заключается в воспроизведении действий: обстановки или иных
обстоятельств определенного события и совершения необходимых опытных
действий в целях проверки и уточнения данных: имеющих значение для дела?
Посредством такого рода действий обычно проверяют возможность видеть:
слышать определенные: значимые для дела обстоятельства в тех или иных
условиях: возможность совершения определенных действий и получения
определенных результатов при наличии конкретных условий и т?п?
При производстве следственного эксперимента в необходимых случаях
могут участвовать обвиняемый или подозреваемый: защитники этих лиц: а также
потерпевший и свидетель?
Производство следственного эксперимента допускается при условии: если
при этом не унижается достоинство и честь участвующих в нем лиц и
окружающих и не создается опасности для их здоровья?
Ход и результаты производства следственного эксперимента описываются в
протоколе с соблюдением требований статей 141 и 142 УПК? Если при
производстве следственного эксперимента производились какие-либо измерения
или применялись технические средства: то все это должно найти отражение в
протоколе? [6]
Следственный эксперимент по делам данной категории (преступления в
сфере компьютерной информации( производится (с целью проверки возможности
преодоления средств защиты компьютерной системы одним из предполагаемых
способов? Его целью может стать и проверка возможности появления на экране
дисплея закрытой информации или ее распечатка вследствие ошибочных:
неумышленных действий оператора или в результате случайного технического
сбоя в компьютерном оборудовании(:
Для установления возможности создания вредоносной программы
определенным лицом: сознавшимся в этом: проводится следственный эксперимент
с использованием соответствующих средств компьютерной техники
(расследование создания: использования и распространения вредоносных
программ для ЭВМ(?
При проведении следственного эксперимента выясняется возможность
наступления вредных последствий при нарушении определенных правил? Он
проводится с использованием копий исследуемой информации и по возможности
на той же ЭВМ: при работе на которой нарушены правила (расследование
нарушения правил эксплуатации ЭВМ: системы ЭВМ или их сети(?
6 Допрос обвиняемого и подозреваемого
Закон (ст? 150 УПК( предписывает приступить к допросу обвиняемого
сразу же после предъявления обвинения и разъяснения его прав? Допрос
собственно и является прежде всего способом обеспечения одного из важнейших
прав обвиняемого - давать объяснения по предъявленному обвинению в
интересах собственной защиты (ст? 46 УПК(? Он в меньшей мере необходим и
следователю: для которого служит способом получения доказательства -
показаний обвиняемого и тем самым одним из важных способов проверки
правильности сформулированной по делу версии обвинения? Допрос обвиняемого
является также одним из средств: с помощью которого его изобличают в
совершении преступления?
Следует: однако: иметь в виду: что дача показаний для обвиняемого -
это его право: а не обязанность? Поэтому обвиняемого: в отличие от
свидетеля и потерпевшего: нельзя перед допросом: а также в ходе допроса
предупреждать об уголовной или какой-либо иной (например: административной
и т?п?( ответственности за отказ от дачи показаний: равно как и за дачу
ложных показаний?
По смыслу ст? 51 Конституции РФ обвиняемый и подозреваемый вообще
вправе отказаться от дачи показаний и не отвечать ни на какие вопросы либо
отвечать на них сугубо добровольно? Потому при возникновении у суда
сомнений относительно добровольности данных этими лицами показаний в ходе
предварительного следствия или дознания обязанность доказывания: что
показания действительно были даны добровольно: следовало бы возлагать на
органы уголовного преследования: получившие такие показания?
О каждом допросе обвиняемого составляется протокол с соблюдением
требований: предусмотренных ст? ст? 141: 142 и 151 УПК? После дачи
обвиняемым показаний: в случае его просьбы: ему предоставляется возможность
изложить свои показания собственноручно (ст? 152 УПК) [6]
Обычно по уголовным делам рассматриваемой категории (расследование
создания: использования и распространения вредоносных программ для ЭВМ( при
допросе обвиняемого необходимо выяснить обстоятельства подготовки и
совершения преступления: алгоритм функционирования вредоносной программы: а
также на какую информацию и как она воздействует?
По делам данной категории при допросе подозреваемого требуется
установить уровень его профессиональной подготовленности как программиста:
опыт его работы по созданию программы конкретного класса на данном языке
программирования: знание им алгоритмов работы про грамм: подвергшихся
неправомерному воздействию?
Также необходимо выяснить (допрос подозреваемого(% (места его
жительства: работы или учебы: профессию: взаимоотношения с сослуживцами:
семейное положение: образ жизни: сферу интересов: привычки: наклонности:
круг знакомых: навыки в программировании: ремонте и эксплуатации средств
вычислительной техники: какими средствами вычислительной техники: машинными
носителями: аппаратурой и приспособлениями он располагал: где: на какие
средства их приобрел и где хранил?( [6]
РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ?
1 Расследование неправомерного доступа к компьютерной информации
Согласно ст? 272 УК ответственность за деяние наступает при условии:
если неправомерный доступ к компьютерной информации повлек за собой хотя бы
одно из следующих негативных последствий: уничтожение: блокирование:
модификацию либо копирование информации: нарушение работы ЭВМ: системы ЭВМ
или их сети?
1 Общая схема расследования неправомерного доступа к компьютерной
информации?
В ходе расследования основные следственные задачи целесообразно решать
в такой последовательности:
1? Установление факта неправомерного доступа к информации в
компьютерной системе или сети?
2? Установление места несанкционированного проникновения в
компьютерную систему или сеть?
3? Установление времени совершения преступления?
4? Установление надежности средств защиты компьютерной информации?
5? Установление способа несанкционированного доступа?
6? Установление лиц: совершивших неправомерный доступ: их виновности и
мотивов преступления?
7? Установление вредных последствий преступления?
8? Выявление обстоятельств: способствовавших преступлению?
Установление факта неправомерного доступа к информации в компьютерной
системе или сети? Такой факт : как правило: первыми обнаруживают
пользователи автоматизированной информационной системы: ставшие жертвой
данного правонарушения?
Факты неправомерного доступа к компьютерной информации иногда
устанавливаются в результате оперативно-розыскной деятельности органов
внутренних дел: ФСБ: налоговой полиции? Установить их можно в ходе
прокурорских проверок: при проведении ревизий: судебных экспертиз:
следственных действий по уголовным делам? Рекомендуется в необходимых
случаях при рассмотрении материалов: связанных с обработкой информации в
компьютерной системе или сети: установление фактов неправомерного доступа к
ним поручать ревизорам и оперативно-розыскным аппаратам?'
На признаки несанкционированного доступа или подготовки к нему могут
указывать следующие обстоятельства:
появление в компьютере фальшивых данных*
необновление в течение длительного времени в автоматизированной
информационной системе кодов: паролей и других защитных средств*
частые сбои в процессе работы компьютеров*
участившиеся жалобы клиентов компьютерной системы Или сети*
осуществление сверхурочных работ без видимых на то причин*
немотивированные отказы некоторых сотрудников: обслуживающих
компьютерные системы или сети: от отпусков*
неожиданное приобретение сотрудником домашнего дорогостоящего
компьютера*
чистые дискеты либо диски: принесенные на работу сотрудниками
компьютерной системы под сомнительным предлогом перезаписи программ для
компьютерных игр*
участившиеся случаи перезаписи отдельных данных без серьезных на то
причин*
чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток
(листингов(: выходящих из принтеров?
Особо следует выделить признаки неправомерного доступа: относящиеся к
отступлению от установленного порядка работы с документами: а именно:
а( нарушение установленных правил оформления документов: в том числе
изготовления машинограмм*
6( повторный ввод одной и той же информации в ЭВМ*
в( наличие в пачке лишних документов: подготовленных для обработки на
компьютере*
г( отсутствие документов: послуживших основанием для записи во
вторичной документации*
д( преднамеренная утрата: уничтожение первичных документов и машинных
носителей информации: внесение искажений в данные их регистрации?
Для фактов неправомерного доступа к компьютерной информации характерны
также следующие признаки: относящиеся к внесению ложных сведений в
документы:
а( противоречия (логические или арифметические( между реквизитами того
или иного бухгалтерского документа*
б( несоответствие данных: содержащихся в первичных документах: данным
машинограмм*
в( противоречия между одноименными бухгалтерскими документами:
относящимися к разным периодам времени*
г( несоответствие учетных данных взаимосвязанных показателей в
различных машинограммах*
д( несоответствие между данными бухгалтерского и другого вида учета?
Следует иметь в виду: что указанные признаки могут быть следствием не
только злоупотребления: но и других причин: в частности случайных ошибок и
сбоев компьютерной техники?
Установление места несанкционированного доступа в компьютерную систему
или сеть? Решение данной задачи вызывает определенные трудности: так как
таких мест может быть несколько?
Чаше обнаруживается место неправомерного доступа к компьютерной
информации с целью хищения денежных средств?
При обнаружении факта неправомерного доступа к информации в
компьютерной системе или сети следует выявить все места: где расположены
компьютеры: имеющие единую телекоммуникационную связь?
Проще рассматриваемая задача решается в случае несанкционированного
доступа к отдельному компьютеру: находящемуся в одном помещении? Однако при
этом необходимо учитывать: что информация на машинных носителях может
находиться в другом помещении: которое тоже надо устанавливать?
Труднее определить место непосредственного применения технических
средств удаленного несанкционированного доступа (не входящих в данную
компьютерную систему или сеть(? К установлению такого места необходимо
привлекать специалистов?
Установлению подлежит и место хранения информации на машинных
носителях либо в виде распечаток: добытых в результате неправомерного
доступа к компьютерной системе или сети?
Установление времени несанкционированного доступа? С помощью программ
общесистемного назначения в работающем компьютере обычно устанавливается
текущее время: что позволяет по соответствующей команде вывести на экран
дисплея информацию о дне недели: выполнения той или иной операции: часе и
минуте? Если эти данные введены: то при входе в систему или сеть (в том
числе и несанкционированном( время работы на компьютере любого пользователя
и время конкретной операции автоматически фиксируются в его оперативной
памяти и отражаются: как правило: в выходных данных (на дисплее: листинге
или на дискете(?
С учетом этого время несанкционированного доступа можно установить
путем следственного осмотра компьютера либо распечаток или дискет? Его
целесообразно производить с участием специалиста: так как неопытный
следователь может случайно уничтожить информацию: находящуюся в оперативной
памяти компьютера или на дискете?
Время неправомерного доступа к компьютерной информации можно
установить также путем допроса свидетелей из числа сотрудников данной
компьютерной системы: выясняя у них: в какое время каждый из них работал на
компьютере: если оно не было зафиксировано автоматически? [9]
Установление способа несанкционированного доступа? В ходе установления
способа несанкционированного доступа к компьютерной информации следствие
может вестись по трем не взаимоисключающим друг друга вариантам:
Допросом свидетелей из числа лиц: обслуживающих компьютер:
компьютерную систему или сеть (системный администратор: операторы(:
разработчиков системы и: как правило: поставщиков технического и
программного обеспечения? В данном случае необходимо выяснить: каким
образом преступник мог преодолеть средства защиты данной системы: в
частности: узнать идентификационный номер законного пользователя* код*
пароль для доступа к ней* получить сведения о других средствах защиты?
Производством судебной информационно-технической экспертизы? В ходе
экспертизы выясняются возможные способы проникнуть в систему при той
технической и программной конфигурации системы в которую проник преступник:
с учетом возможного использования последним специальных технических и
программных средств? При производстве судебной: информационно-технической
экспертизы целесообразно поставить эксперту следующий вопрос: (Каким
способом мог быть совершен несанкционированный доступ в данную компьютерную
систему (
Проведением следственного эксперимента: в ходе которого проверяется
возможность несанкционированного доступа к информации одним из
предполагаемых способов?
Установление надежности средств защиты компьютерной информации? Прежде
всего необходимо установить: предусмотрены ли в данной компьютерной системе
меры защиты от несанкционированного доступа к определенным файлам? Это
можно выяснить путем допросов ее разработчиков и пользователей: а также
изучением проектной документации: соответствующих инструкций по
эксплуатации данной системы? При ознакомлении с инструкциями особое
внимание должно уделяться разделам о мерах защиты информации: порядке
допуска пользователей к определенным данным: разграничении их полномочий:
организации контроля за доступом: конкретных методах защиты информации
(аппаратных: программных: криптографических: организационных и других(?
Надо иметь в виду: что в целях обеспечения высокой степени надежности
информационных систем: в которых обрабатывается документированная
информация с ограниченным доступом: осуществляется комплекс мер:
направленных на их безопасность?
В частности: законодательством предусмотрены обязательная сертификация
средств защиты этих систем и обязательное лицензирование всех видов
деятельности в области проектирования и производства таких средств?
Разработчики: как правило: гарантируют надежность своих средств при
условии: если будут соблюдены установленные требования к ним? Поэтому в
процессе расследования требуется установить: во-первых: имеется ли лицензия
на производство средств защиты информации от несанкционированного доступа:
используемых в данной компьютерной системе: и: во-вторых: соответствуют ли
их параметры выданному сертификату? Для проверки такого соответствия может
быть назначена информационно-техническая экспертиза с целью решения вопроса
% «Соответствуют ли средства защиты информации от несанкционированного
допуска: используемые в данной компьютерной системе: выданному
сертификату;»
Вина за выявленные при этом отклонения: ставшие причиной
несанкционированного доступа к компьютерной информации: возлагается на
пользователя системы: а не на разработчика средств защиты?
Установление лиц: совершивших неправомерный доступ к компьютерной
информации?
Опубликованные в прессе результаты исследований: проведенных
специалистами: позволяют составить примерный социологический портрет
современного хакера? Возраст правонарушителей колеблется в широких границах
—от 15 до 45 лет: причем на момент совершения преступления у трети возраст
не превышал 20 лет? Свыше 80( преступников в компьютерной сфере — мужчины:
абсолютное большинство которых имело высшее и среднее специальное
образование? При этом у более 50( преступников была специальная подготовка
в области автоматизированной обработки информации: а 30( — были
непосредственно связаны с эксплуатацией ЭВМ и разработкой программного
обеспечения к ней? Однако: согласно статистики: профессиональными
программистами из каждой тысячи компьютерных преступлений совершено только
семь? 38( отечественных хакеров действовали без соучастников: 62( — в
составе преступных групп По оценкам специалистов основная опасность базам
данных исходит от внутренних пользователей ими совершается 94(
преступлений: а внешними — только 6(?[21]
Данные вышеприведенного статистического анализа показывают: что
несанкционированный доступ к ЭВМ: системы ЭВМ или их сети совершают
специалисты с достаточно высокой степенью квалификации в области
информационных технологий? Поэтому поиск подозреваемого следует начинать с
технического персонала пострадавших компьютерных систем или сетей
(разработчиков соответствующих систем: их руководителей: операторов:
программистов: инженеров связи: специалистов по защите информации и
Страницы: 1, 2, 3, 4, 5, 6
|