Тактика отдельных следственных действий. ■ Привлечение к расследованию специалистов

■ Привлечение к расследованию специалистов. Спецификой дел данной категории является то, что с самого начала рассле­дования следователю необходимо плотно взаимодействовать со специалистами в области информационных технологий. Спе­циалисты крайне необходимы для участия в большинстве пер­воначальных следственных действий. Поиск таких специали­стов следует проводить на предприятиях и в учреждениях, осу­ществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследова­тельских организациях. В крайнем случае могут быть привлече­ны сотрудники организации, компьютеры которой подверглись вторжению (при установлении их непричастности к расследуе­мому событию). Большую помощь в расследовании могут ока­зать специалисты зональных информационно-вычислительных центров МВД, ГУВД, УВД субъектов Российской Федерации.

Специалисты в ходе следственных действий мо­гут оказать действенную помощь при пред­варительном решении следующих вопросов:

Компьютерные преступления                                                  597

• какова конфигурация и состав ЭВМ и можно ли с помо­
щью этой ЭВМ осуществить исследуемые действия;

• какие информационные ресурсы находятся в данной
ЭВМ;

• не являются ли представленные файлы с программами,
зараженными вирусом, и если да, то каким именно;

• подвергалась ли данная компьютерная информация из­
менению и, если да, то какому именно;

• какие правила эксплуатации ЭВМ существуют в данной инфор­
мационной системе и были ли нарушены эти правила;

• находится ли нарушение правил эксплуатации ЭВМ в
причинной связи с изменениями данной компьютерной
информации и др.

■ Соблюдение правил работы с компьютерной информацией на машинных носителях. Специфической особенностью рассле­дования дел данной категории является необходимость соблю­дения правил работы с машинными носителями компьютерной информации. При планировании следственных мероприятий, связанных с исследованием компьютерной информации и ма­шинных носителей, необходимо предусмотреть меры нейтрали­зации средств и приемов, предпринимаемых преступниками с целью уничтожения вещественных доказательств. Ими может, например, использоваться специальное оборудование, в крити­ческих случаях создающее сильное магнитное поле, стирающее магнитные записи. Преступник может включить в состав про­граммного обеспечения своей машины программу, которая за­ставит компьютер требовать пароль периодически, и если в те­чение несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся. Следует учитывать и возможность возрастания в ходе обыска напряжения статиче­ского электричества, которое может повредить данные и маг­нитные носители. Желательно иметь с собой и использовать устройство для определения и измерения магнитных полей (например, компас). Вещественные доказательства — машин­ные носители требуют особой аккуратности при транспорти­ровке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность, задымленность (в том числе табачный дым) и запыленность.

Как правильно указывается в методических рекомендациях «Подготовка и назначение программно-технической эксперти-

598________ Методика расследования отдельных видов преступлений

зы» (Катков С.А., Собецкий И.В., Федоров А.Л. Бюллетень ГСУ МВД СССР №4, 1995), по прибытии на место проведения следственного действия следует принять меры к обес­печению сохранности информации на на­ходящихся здесь машинных носителях. Для этого необходимо:

• не разрешать кому бы то ни было из лиц, работающих на
месте производства следственного действия или находя­
щегося здесь по другим причинам (в дальнейшем персо­
налу), прикасаться к работающим ЭВМ;

• не разрешать кому бы то ни было выключать электро­
снабжение объекта;

• в случае, если на момент начала действия электроснабже­
ние объекта выключено, то до восстановления электро­
снабжения следует отключить от электросети все имеющие­
ся здесь компьютеры и периферийные устройства;

• самому следователю не производить никаких манипуля­
ций с ЭВМ, если результат этих манипуляций заранее не
известен;

• при наличии в помещении, где находятся ЭВМ или маг­
нитные носители информации, взрывчатых, легковос­
пламеняющихся, едких и токсичных веществ и/или мате­
риалов, как можно скорее удалить эти вещества и/или
материалы в другое помещение;

• при невозможности удалить опасные материалы из по­
мещения, где находятся ЭВМ или магнитные носители
информации, а также при непрекращающихся попытках
персонала получить доступ к ЭВМ, принять меры для
удаления персонала в другое помещение.

■ Особенности осмотров, обысков и выемок. Осмотр и обыск (выемка) особенно в начале расследования являются важней­шими инструментами установления обстоятельств расследуе­мого события. При анализе хода и результатов этих действий можно воссоздать механизм действий злоумышленников и по­лучить важные доказательства.

В любом случае изъятия с ЭВМ и машинных носителей ин­формации необходимым условием является фиксация носите­лей и их конфигурации на месте обнаружения, а также упаков­ка, обеспечивающая правильное и точное соединение в лабора­торных условиях или в месте производства следствия с участи­ем специалистов, как на месте обнаружения.

Компьютерные преступления

599

Следует иметь в виду, что конкретная программно-тех­ническая конфигурация позволяет производить с ЭВМ опреде­ленные действия и нарушения конфигурации или отсутствие данных о точной ее фиксации (так же как на месте обнаруже­ния) может повлиять на возможность выполнения на ней не только опытных действий в ходе следствия, но и на оценку в суде возможности совершения преступления. Так, тип про­граммного обеспечения, загруженного в момент следственного осмотра в ЭВМ, может показывать задачи, для которых ЭВМ использовалась. Если, например, имеется программное обеспе­чение для связи, и ЭВМ соединена с модемом, то это явно свидетельствует о возможности данной ЭВМ осуществлять связные функции и доступ к компьютерной информации.

В ходе обнаружения машинных носи­телей информации могут быть две си­туации: носители могут на момент обнаружения работать или не работать. Признаками работающей ЭВМ могут быть подключение ее проводами к сети, шум работающих внутри ЭВМ вентиляторов, мигание или горение индикаторов на пе­редних панелях системного блока, наличие на экране изобра­жения. Если ЭВМ работает, ситуация для следователя, прово­дящего следственное действие без помощи специалиста, суще­ственно осложняется, однако и в этом случае не следует отка­зываться от оперативного изъятия необходимых данных. В этом случае следует:

• определить, какая программа выполняется. Для этого не­
обходимо изучить изображение на экране дисплея и по
возможности детально описать его. Иногда можно вывес­
ти изображение экрана на печать нажатием клавиши
PrintScrn. После остановки программы и выхода в опера­
ционную систему иногда при нажатии функциональной
клавиши F3 можно восстановить наименование вызы­
вавшейся последний раз программы;

• осуществить фотографирование или видеозапись изобра­
жения на экране дисплея;

• остановить исполнение программы. Остановка исполне­
ния многих программ осуществляется одновременным
нажатием клавиш Ctrl - C, либо Ctrl - Break, либо Ctrl - Q.

600

Методика расследования отдельных видов преступлений

Часто для окончания работы с программами следует вве­сти с клавиатуры команды EXIT или QUIT, иногда дос­таточно нажать клавишу Esc или указать курсором на значок прекращения работы программы;

• зафиксировать (отразить в протоколе) результаты своих
действий и реакции на них ЭВМ;

• определить наличие у ЭВМ внешних устройств-накопи­
телей информации на жестких магнитных дисках (вин­
честера) и виртуального диска;

• определить наличие у ЭВМ внешних устройств удален­
ного доступа (например, модемов) к системе и опреде­
лить их состояние (отразить в протоколе), после чего
разъединить сетевые кабели так, чтобы никто не мог мо­
дифицировать или уничтожить информацию в ходе обы­
ска (например, отключить телефонный шнур);

• скопировать программы и файлы, хранимые на возможно
существующем «виртуальном» диске, на магнитный но­
ситель;

• выключить подачу энергии в ЭВМ и далее действовать
по схеме «компьютер не работает».

Если ЭВМ не работает, следует:

• точно отразить в протоколе и на прилагаемой к нему
схеме местонахождение ЭВМ и ее периферийных уст­
ройств (печатающее устройство, дисководы, дисплей,
клавиатуру и т.п.);

• точно описать порядок соединения между собой этих
устройств с указанием особенностей (цвет, количество
соединительных разъемов, их спецификация) соедини­
тельных проводов и кабелей; перед разъединением лю­
бых кабелей полезно осуществить видеозапись или фо­
тографирование мест соединения. Удачным решением
является точная маркировка, например с помощью над­
писанных листочков с липкой поверхностью, каждого
кабеля и устройства, а также порта, с которым кабель со­
единяется перед разъединением. Следует маркировать
каждый незанятый порт как «незанятый»;

• разъединить устройства ЭВМ с соблюдением всех воз­
можных мер предосторожности, предварительно обесто­
чив устройства. Следует помнить, что матричные прин­
теры оставляют следы на красящей ленте, которая может
быть восстановлена в ходе ее дальнейшего экспертного
исследования;

Компьютерные преступления _______________________________ 601

• упаковать раздельно (указать в протоколе и на конверте
места обнаружения) носители на дискетах, компактные
диски и магнитные ленты (индивидуально или группами)
и поместить их в оболочки, не несущие заряда статиче­
ского электричества;

• упаковать каждое устройство и соединительные кабели,
провода для обеспечения аккуратной транспортировки
ЭВМ;

• защитить дисководы гибких дисков согласно рекоменда­
циям изготовителя (некоторые изготовители предлагают
вставлять новую дискету или кусок картона в щель дис­
ковода).

Если в ходе осмотра и изъятия все же в крайнем случае по­надобится запуск ЭВМ, это следует делать во избежание запус­ка программ пользователя с помощью собственной загрузочной дискеты.

Более сложной задачей осмотра ЭВМ является поиск со­держащейся в ней информации и следов воздействия на нее. Ее решение всегда требует специальных познаний. Существует фактически два вида поиска:

первый — поиск, где именно искомая информация находит­ся в компьютере;

второй — поиск, где еще разыскиваемая информация могла быть сохранена.

Как указывалось ранее, в ЭВМ информация может нахо­диться непосредственно в ОЗУ при выполнении программы, в ОЗУ периферийных устройств и на ВЗУ. Наиболее эффектив­ным и простым способом фиксации данных из ОЗУ является распечатка на бумагу этой информации. Если ЭВМ не работа­ет, информация может находиться на машинных носителях, других ЭВМ информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ. Детальный осмотр файлов и структур их расположения (которые сами по себе могут иметь существенное доказательственное значение, отражая группи­ровку информации) целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники изъятых машинных носителей, а их копии.

Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная ин-

602

Методика расследования отдельных видов преступлений

формация. При обнаружении файлов с зашифрованной ин­формацией или требующих для просмотра стандартными про­граммами ввода паролей, следует направлять такие файлы на расшифровку и декодирование соответствующим специалистам. Периферийные устройства ввода-вывода могут так же некото­рое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы специальные познания. Так же как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе ос­мотра выводить на печатающие устройства и хранить на бу­мажных носителях в виде приложений к протоколу осмотра. Изъятие данных в «почтовых ящиках» электронной почты мо­жет при необходимости осуществляться по правилам наложе­ния ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу поч­тового узла, где находится конкретный «ящик».

В ходе осмотров по делам данной категории могут быть об­наружены и изъяты следующие виды важных доку­ментов, которые могут стать вещест­венными доказательствами по делу:

• носящие следы совершенного преступления — телефонные
счета, телефонные книги, которые доказывают факты
контакта преступников между собой, в том числе и по
сетям ЭВМ, пароли и коды доступа в сети, дневники
связи и пр.;

• со следами действия аппаратуры — всегда следует искать
в устройствах вывода (например, в принтерах) бумажные
носители информации, которые могли остаться внутри
них в результате сбоя в работе устройства;

• описывающие аппаратуру и программное обеспечение (пояс­
нение к аппаратным средствам и программному обеспе­
чению) или доказывающие нелегальность их приобретения
(например, ксерокопии описания программного обеспече­
ния в случаях, когда таковые предоставляются изготови­
телем);

• нормативные акты, устанавливающие правила работы
с ЭВМ, регламентирующие правила работы с данной
ЭВМ, системой, сетью, доказывающие, что преступник
их знал и умышленно нарушал; личные документы по­
дозреваемого или обвиняемого и др.

Компьютерные преступления ______________________________ 603

Не следует забывать при осмотрах и обысках о возможно­стях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах и др., рукописных, в том числе шифрованных записей и пр. В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследо­вания может возникнуть необходимость в назначении крими­налистической экспертизы для исследования документов. Дак­тилоскопическая экспертиза позволяет выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук прича­стных к делу лиц.

■ Особенности допросов причастных к делу лиц. Основ­ные тактические задачи допроса при рас­следовании дел рассматриваемой категории являются:

• выявление элементов состава преступления в наблюдав­
шихся очевидцами действиях;

• установление обстоятельства, места и времени соверше­
ния значимых для расследования действий, способа и
мотивов его совершения и сопутствующих обстоятельств,
признаков внешности лиц, участвовавших в нем;

• определение предмета преступного посягательства;

• определение размера причиненного ущерба;

• детальные признаки похищенного;

• установление иных свидетелей и лиц, причастных к со­
вершению преступления.

Первичное обнаружение признаков неправомерных дейст­вий посторонних лиц с компьютерной информацией осуществ­ляется, как правило, сотрудниками собственника информаци­онной системы и ее пользователями. Описание этих признаков может найти отражение в показаниях очевидцев.

Для расследования дел данной категории важно хорошо подготовиться к предстоящим допросам. Целесообразно со­брать максимально возможную в имеющемся у следствия про­межутке времени информацию о допрашиваемом лице. Для этого целесообразно обеспечить получение данных о нем с места жительства, учебы, работы, досуга. Источниками сведе­ний могут быть налоговые инспектора, работники милиции по месту жительства, коллеги по работе, соседи, знакомые. Важ­ные данные могут быть получены из личных дел по месту рабо-

604

Методика расследования отдельных видов преступлений

ты. Из централизованных учетов могут стать известны сведения о судимости и данные из архивных уголовных дел. В ходе такой подготовки могут быть выяснены сведения о состоянии здоро­вья и психики допрашиваемого, наличии у него специальных и профессиональных навыков и другие существенные данные.

Настойчивый поиск данных о личности допрашиваемого обычно приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию, а также дает основание для отнесения лица к соответствующей референтной группе, обобщенное мнение которой может быть использовано для правомерного психологического воздействия при допросе. Эти данные позволят сделать допрос более эффективным.

Проблемой фиксации показаний по делам о преступлениях в области компьютерной информации является их «перегрузка» специальной терминологией и жаргонной лексикой. Целесооб­разно в протоколах более подробно акцентировать внимание и фиксировать значения терминов, используемых допрашивае­мым при описании известных ему фактов. При описании кон­фигураций систем или схем движения информации могут ока­заться крайне полезными рукописные схемы, составляемые допрашиваемым и приобщаемые к протоколу допроса.

При расследовании данной категории дел осуществляются и иные следственные действия (опознание, очная ставка и т.п.). Тактика их проведения определяется с учетом конкретных об­стоятельств дела и характеристики лиц — непосредственных участников этих следственных действий. Существенной специ­фикой отличается, конечно, назначение и проведение экспер­тиз. По этой категории дел зачастую назначаются криминали­ стические экспертизы (техническое исследование документов, почерковедческая, дактилоскопическая и др.), однако наиболее характерна и специфична — программно-техническая экспертиза, назначаемая в целях исследования компьютеров, их комплектую­щих, периферийных устройств и программного обеспечения.

Процесс накопления эмпирических данных о способах рас­следования преступлений в области компьютерной информа­ции продолжается. Личная инициатива следователя в примене­нии многообразия предлагаемых криминалистикой тактических приемов и аккуратность работы с вещественными доказатель­ствами — залог успешного расследования.

Список рекомендуемой литературы

⇐ Предыдущая68697071727374757677Следующая ⇒

Поделиться: