Расследование преступлений

В области компьютерной

Информации

Криминалистическая характеристика

Преступлений в области компьютерной

Информации

Информация и информационные правоотношения стали новым предметом преступного посягательства и впервые полу­чили уголовно-правовую защиту в УК РФ 1996 г. При этом имеются в виду три вида правонарушений в области компьютерной информации:

• неправомерный доступ к компьютерной информации
(ст.272 УК РФ);

• создание, использование, распространение вредоносных
программ (ст.273 УК РФ);

• нарушение правил эксплуатации ЭВМ (ст.274 УК РФ).
Последствиями этих действий для наступления уголовной

ответственности должно являться уничтожение, блокирование, модификация, копирование информации, нарушение работы ЭВМ.

Родовым объектом преступлений в области компьютерной информации являются общественные отношения, связанные с информационными процессами с использованием ЭВМ, их систем и сетей.

Непосредственным объектом посягательства во всех этих слу­чаях является безопасность информационных систем, бази­рующихся на использовании ЭВМ. Как следует из действую­щего законодательства, использование информационных сие-

Компьютерные преступления    _________________________ 583

тем возможно только с явно выраженного согласия их собст­венников. Любое иное неупорядоченное собственником втор­жение в ЭВМ и на иные машинные носители компьютерной информации извне является неправомерным.

Методика расследования преступлений в области компью­терной информации, используется во всех тех случаях, когда противоправные действия связаны с применением информаци­онных (в том числе — компьютерных) и телекоммуникацион­ных технологий.

Под информацией понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Документированная информация (документ) — это зафикси­рованная на материальном носителе информация с реквизита­ми, позволяющими ее идентифицировать. Компьютерная , ин­формация — документированная информация, хранящаяся в ЭВМ или управляющая ею в соответствии с программой и (или) предписаний пользователя.

Системой ЭВМ называют комплексы, в которых хотя бы одна ЭВМ является элементом системы, либо несколько ЭВМ составляют систему. Сеть ЭВМ — это компьютеры, объеди­ненные между собой линиями (сетями) электросвязи.

К машинным носителям компьютерной информации (см. рис. 27.1) относят устройства памяти ЭВМ, периферийные уст­ройства ЭВМ, компьютерные устройства связи, сетевые уст­ройства и сети электросвязи.

Общими для информационных преступлений являются по­нятия «уничтожение», «блокирование», «модификация», «копи­рование компьютерной информации» и «нарушение работы ЭВМ», впервые введенные УК РФ в 1996 г.

Уничтожением информации называют полную физическую ликвидацию информации или ликвидацию таких ее элементов, которые влияют на изменение существенных идентифицирую­щих информацию признаков.

Блокирование — результат воздействия на ЭВМ и ее элемен­ты, повлекшие временную или постоянную невозможность осуществлять какие-либо операции над компьютерной инфор­мацией.

Модификацией информации называют внесение в нее любых изменений, обусловливающих ее отличие от той, которую

584

Методика расследования отдельных видов преступлений

включил в информационную систему и владеет собственник информационного ресурса. Модификация программ, баз дан­ных допускается только лицами, правомерно владеющими со­ответствующей информацией. Легальному пользователю копи­ рование информации на машинные носители разрешено для целей использования информации и для хранения архивных дубликатов. В иных случаях копирование информации без явно выраженного согласия собственника информационного ресурса независимо от способа копирования уголовно наказуемо.

Понятие нарушение работы ЭВМ подразумевает любую не­стандартную (нештатную) ситуацию с ЭВМ или ее устройства­ми, находящуюся в причинной связи с неправомерными дейст­виями, и повлекшую за собой уничтожение, блокирование, мо­дификацию или копирование информации.

Операции, производимые ЭВМ, осуществляются, главным образом, над файлами, которые представляют собой локальный объем информации, имеющий индивидуальные свойства, на­пример, тип информации — текстовая, числовая, графическая, программный код и др.; местонахождение информации — опи­сание месторасположения на временном или постоянном носи­теле и указание типа носителя; наименование — символьное описание названия; размер (объем) хранимой информации (количество страниц, абзацев, строк, слов, символов или бай­тов); время создания, время изменения; атрибуты информации (архивная, скрытая, системная, только для чтения, и др.). Фа­культативными свойствами могут быть: тема, автор (авторы), создавший или изменявший информацию; организация, где она бы­ла создана или изменена; группа, в которую включен данный файл; ключевые слова; заметки автора или редактора (см. рис. 27.1).

При передаче файлов и сообщений (информации) в других формах (в виде сигналов) по системам, например, электросвя­зи, они не теряют своих индивидуальных свойств. К числу но­сителей сведений, составляющих государственную тайну, отно­сятся и физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде сим­волов, образов, сигналов, технических решений и процессов.

■ Способы преступной деятельности. В области компьютер­ной информации способы преступной деятельности могут быть разделены на две большие группы.

Компьютерные преступления

585

> Первая группа преступных действий осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть, например;

• хищение машинных носителей информации в виде бло­ков и элементов ЭВМ;

Рис. 27.1. Местонахождение компьютерной информации

использование визуальных, оптических и акустических

средств наблюдения за ЭВМ;

считывание и расшифровка различных электромагнитных

излучений ЭВМ и в обеспечивающих системах;

фотографирование информации в процессе ее обработки;

изготовление бумажных дубликатов входных и выходных

документов, копирование распечаток;

использование визуальных, оптических и акустических

средств наблюдения за лицами, имеющими отношение к

 

586________ Методика расследования отдельных видов преступлений

необходимой злоумышленнику информации и подслуши­вание их разговоров;

• осмотр и изучение не полностью утилизированных отхо­
дов деятельности вычислительных центров;

• вступление в прямой контакт с лицами, имеющими от­
ношение к необходимой злоумышленнику информации и
получение от них под выдуманными предлогами необхо­
димых сведений и др.

Для таких действий, как правило, характерны достаточно локальная следовая картина, определяющаяся стандартным по­ниманием места происшествия (место совершения преступных действий и местонахождение объекта преступного посягатель­ства находятся вблизи друг от друга или совпадают), и тради­ционные приемы по их исследованию.

> Вторая группа преступных действий осуществляется с ис­пользованием компьютерных и коммуникационных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них.

Характерной особенностью данного вида преступной деятельности является то обстоятельство, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются их результаты, могут нахо­диться на значительном удалении друг от друга (например, в разных точках земного шара). Это может быть:

а) неправомерный доступ к компьютерной информации —
получение возможности знакомиться и осуществлять
операции с чужой информацией, находящейся на ма­
шинных носителях, т.е. действия, направленные прежде
всего на нарушение конфиденциальности информации;

б) изготовление и распространение вредоносных программ,
приводящих к нарушению целостности, или направ­
ленных на нарушение конфиденциальности информа­
ции;

в) действия, связанные с нарушением порядка использования
технических средств, повлекшие нарушение целостно­
сти и (или) конфиденциальности информации.

Вредоносной программой (ВП) является любая программа, специально разработанная или модифицированная для несанк­ционированного собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ (рис. 27.2).

Компьютерные преступления

587

Действия с вредоносными програм­мами включают в себя:

• постановку задачи;

• определение среды существования и цели программы;

• выбор средств и языков реализации программы;

• написание непосредственно текста программы;

• отладка программы;

• запуск и непосредственное действие программы.

Рис. 27.2. Классификация и признаки действия вредоносных программ

■ Обстановка совершения преступлений. В сфере компью­терной информации обстановка совершения преступлений ха­рактеризуется рядом существенных факторов. Для нее харак­терно несовпадение места совершения противоправных действий и места наступления общественно-опасных последствий.

588

Методика расследования отдельных видов преступлений

Рассматриваемые преступления совершаются, как правило, в специфически интеллектуальной области профессиональной деятельности и с использованием специализированного обору­дования. Все эти преступления обычно совершаются в условиях различных нарушений установленного порядка работы с ЭВМ, о которых лицам становится известно в ходе их соответствую­щей профессиональной подготовки. Для правонарушителей в данной области обычно достаточно ясен механизм возможных нарушений правил пользования информационными ресурсами и связь с событиями, повлекшими наступление криминального результата.

Существует как минимум два вида правил эксплуатации ЭВМ, которыми должны руководство­ваться в своей деятельности лица, работающие с ЭВМ.

Первый вид правил — инструкции по работе с ЭВМ и ма­шинными носителями информации, разработанные изготови­телем ЭВМ и периферийных технических устройств, постав­ляемых вместе с данным экземпляром ЭВМ. Эти правила обя­зательны к соблюдению пользователем ЭВМ под угрозой поте­ри прав на гарантийный ремонт и обслуживание.

Второй вид правил — это правила, установленные собствен­ником или владельцем информационных ресурсов, информа­ционных систем, технологий и средств их обеспечения, опреде­ляющие порядок пользования ЭВМ, системой ЭВМ и сетью ЭВМ, а также иными машинными носителями информации.

■ Субъекты компьютерных преступлений. Опыт свидетельст­вует, что субъекты компьютерных преступлений могут различать­ся как по уровню их профессиональной подготовки, так и по социальному положению. Преступники нередко владеют навы­ками не только в области управления ЭВМ, но и специальны­ми знаниями в области обработки информации в информаци­онных системах в целом.

Выделяются следующие группы пре­ступников:

• хакеры — лица, рассматривающие меры защиты инфор­
мационных систем как личный вызов и взламывающие
их с целью получения контроля за информацией, незави­
симо от ее ценности;

• шпионы — лица, взламывающие защиту информационных
систем для получения информации, которую можно ис­
пользовать в целях политического влияния;

Компьютерные преступления

589

• террористы — лица, взламывающие информационные
системы для создания эффекта опасности, который мож­
но использовать в целях политического влияния;

• корпоративные налетчики — лица, служащие компании и
взламывающие компьютеры конкурентов для экономиче­
ского влияния;

• профессиональные преступники — лица, вторгающиеся в
информационные системы для получения личных фи­
нансовых благ;

• вандалы — лица, взламывающие системы с целью их раз­
рушения;

• нарушители правил пользования ЭВМ, совершающие про­
тивоправные действия из-за недостаточного знания тех­
ники и порядка пользования информационными ресур­
сами;

• лица с психическими аномалиями, страдающие новым ви­
дом заболеваний — информационными болезнями или
компьютерными фобиями.

Косвенные признаки постороннего вторжения в ЭВМ, вызывающие подозрения и находя­щие отражение в показаниях очевидцев:

а) изменения заданной на предыдущем сеансе работы с ЭВМ
структуры файловой системы, в том числе: переимено­
вание каталогов и файлов; изменения размеров и со­
держимого файлов; изменения стандартных реквизитов
файлов; появление новых каталогов и файлов и т.п.;

б) изменения в заданной ранее конфигурации компьютера, в
том числе: изменение картинки и цвета экрана при
включении; изменение порядка взаимодействия с пе­
риферийными устройствами (например, принтером,
модемом и т.п.); появление новых и удаление прежних
сетевых устройств и др.;

в) необычные проявления в работе ЭВМ: замедленная или
неправильная загрузка операционной системы; замед­
ление реакции машины на ввод с клавиатуры; замед­
ление работы машины с внешними устройствами; не­
адекватные реакции ЭВМ на команды пользователя;
появление на экране нестандартных символов и т.п.

590

Методика расследования отдельных видов преступлений

Группы признаков (а, б) могут свидетельствовать об имев­ших место фактах неправомерного доступа к ЭВМ или о нару­шении правил ее эксплуатации. Признаки группы в, кроме то­го, могут являться свидетельством появления в ЭВМ вредонос­ных программ.

При этом остаются следующие типичные следы преступной деятельности:

а) на машинных носителях, посредством которых дейст­вовал преступник на своем рабочем месте (рис. 27.3);

Рис. 27.3. Виды следов преступной деятельности в ЭВМ и на машинных носителях, принадлежащих преступнику

Компьютерные преступления

591

б) на «транзитных» машинных носителях, посредством кото­рых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению (рис. 27.4);

 

Рис. 27.4. Виды следов преступной деятельности на «транзитных» машинных носителях

в) на машинных носителях информационной системы, в ко­
торую осуществлен неправомерный доступ (рис. 27.5);

г) возле ЭВМ и на машинных носителях, принадлежащих
потерпевшему (рис. 27.6).

592

Методика расследования отдельных видов преступлений

 

 

Компьютерные преступления

593

Рис. 27.6. Виды следов преступной деятельности возле ЭВМ и на машинных носителях, принадлежащих потерпевшему

Выявленные следы позволяют выдвинуть или конкретизи­ровать и начать проверку версий о направленности преступных действий на нарушения целостности и (или) конфиденциаль­ности информации.

§ 2. Типичные исходные следственные ситуации и меры по их разрешению

Для преступлений в области компьютерной информации типичны три ситуации первоначального этапа расследования:

первая ситуация — собственник информационной системы самостоятельно выявил нарушения целостности и (или) конфи­денциальности в информационной системе, обнаружил прича­стное лицо и заявил об этом в правоохранительные органы;

594

Методика расследования отдельных видов преступлений

вторая ситуация — собственник самостоятельно выявил на­званные нарушения в системе, однако не смог обнаружить ви­новное лицо и заявил об этом в правоохранительные органы;

третья ситуация — данные о нарушении целостности и (или) конфиденциальности информации в информационной системе и о виновном лице стали известны или непосредствен­но обнаружены органом дознания (например, в ходе проведе­ния оперативно-розыскных мероприятий по другому делу), ви­новное лицо неизвестно.

Для всех первоначальных ситуаций расследования характер­ны версии о способах, мотивах и соучастниках преступной дея­тельности и объемах причиненного вреда. Во всех ситуациях, связанных с неправомерным доступом и появлением вредонос­ных программ в ЭВМ, первоначальной задачей расследования является выявление следов преступной деятельности.

■ Первоначальные действия следователя:

Первая ситуация — направление на фиксацию факта нару­шения целостности (конфиденциальности) информационной системы и его последствий, следов конкретной деятельности преступника, отразившихся в информационной системе на месте доступа к ней и вокруг этого места, на «транзитных» ма­шинных носителях информации.

В данной ситуации задача следствия заключается в сборе (с помощью собственника информационной системы или его работников (с участием специалиста) и процессуальной фиксации доказательств:

• нарушения целостности (конфиденциальности) инфор­
мации в системе;

• размера ущерба, причиненного преступлением;

• причинной связи между действиями, образующими спо­
соб нарушения и наступившими последствиями путем
детализации данных о механизме совершенных винов­
ным действий;

• отношения виновного лица к совершенным действиям и
наступившим последствиям.

Если преступник задержан на месте совершения преступления (или сразу же после его совершения), характерны следующие первоначальные следственные действия:

• личный обыск задержанного;

Компьютерные преступления    _________________________ 595

• допрос задержанного;

• обыск по месту жительства задержанного.

Следует принять меры к фиксации состояния рабочего мес­та заподозренного, откуда он осуществил вторжение в инфор­мационную систему и где могут сохраняться следы его дейст­вий (их подготовки и реализации). Такое место может быть как по месту его службы, так и по месту жительства, а также в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры и др.). Полу­ченные в результате следственных действий доказательства могут обеспечить основания для принятия решения о привле­чении лица к делу в качестве подозреваемого (обвиняемого). К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию местонахо­ждения и состояния компьютерной информации, допросы оче­видцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих соб­ственника системы.

Для второй и третьей ситуаций характерны специфическая задача поиска признаков механизма совершения преступных действий, путей проникновения в информационную систему и на основе этих данных — определение круга лиц, которые мог­ли использовать этот механизм. В данных ситуациях пер­воначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации данных о проникновениях в инфор­мационную систему с целью выявления способа и механизма действий. Важнейшим элементом работы является выемка до­ кументов (предпочтительно с участием специалиста), в том числе на машинных носителях, фиксировавших состояния ин­формационной системы в момент вторжения в нее злоумыш­ленника или его программ и отражающих последствия вторже­ния. Принимаются меры к розыску виновного и поиску его ра­бочего места, откуда осуществлялось вторжение в информаци­онную систему. При этом осуществляется поиск: места входа в данную информационную систему и способа входа в систему — вместе и с помощью должностных лиц собственника инфор­мационной системы; путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его программы — вместе и с помощью должностных лиц иных ин-

596________ Методика расследования отдельных видов преступлений

формационных и коммуникационных систем — до рабочего места злоумышленника.

Типовыми частными версиями явля­ются: версии о личности преступника (преступников); версии о местах совершения внедрения в компьютерные системы; вер­сии об обстоятельствах, при которых было совершено преступ­ление; версии о размерах ущерба, причиненного преступлени­ем.

Наряду с показаниями очевидцев большое значение имеют результаты осмотра машинных носителей компьютерной ин­формации, в ходе которого фиксируются следы нарушения це­лостности (конфиденциальности) информационной системы и ее элементов. Важную роль в сборе данных о совершенном преступлении играют сведения о действиях должностных лиц собственника информационной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциаль­ность) информации в системе. Эти лица в отдельных случаях могут выступать в качестве свидетелей, а при бесспорном уста­новлении непричастности к расследуемому событию — в каче­стве специалистов при производстве следственных действий.

⇐ Предыдущая68697071727374757677Следующая ⇒

Поделиться: