Особенности тактики следственных действий

При расследовании преступлений в данной сфере можно выделить (как и по другим категориям) три типичные следственные ситуации. Компью­терное преступление произошло:

в условиях очевидности — характер и его обстоятельства известны (на­пример, какой вирус и каким способом введен в компьютерную сеть) и вы-

§ 2. Особенности тактики следственных действий

явлены потерпевшим собственными силами, преступник известен и задер­жан (явился с повинной);

известен способ совершения, но механизм преступления в полном объ­еме неясен, например, когда произошел несанкционированный доступ к файлам законного пользователя через Интернет, через слабые места в за­щите компьютерной системы, преступник известен, но скрылся;

налицо только преступный результат, например дезорганизация компь­ютерной сети банка, механизм преступления и преступник неизвестны.

В первом случае необходимо установить, имелась ли причинно-следст­венная связь между несанкционированным проникновением в компьютер­ную систему и наступившими последствиями (сбоями в работе, занесением компьютерного вируса и пр.), определить размеры ущерба. Во втором пер­воочередной задачей, наряду с указанными выше, является розыск и задер­жание преступника. И наконец, в наименее благоприятной (третьей) си­туации необходимо установить механизм преступления.

Остановимся подробнее на особенностях тактики отдельных следствен­ных действий, в ходе которых производится обнаружение, фиксация, изъя­тие компьютерной информации. Перед началом обыска (осмотра) принима­ются меры, которые предотвратят возможное повреждение или уничтоже­ние информации. Для этого следует обеспечить контроль за бесперебойным электроснабжением ЭВМ в момент осмотра, удалить всех посторонних лиц с территории, на которой производится осмотр или обыск, прекратить даль­нейший доступ; принять меры к тому, чтобы оставшиеся лица не имели воз­можности прикасаться к средствам вычислительной техники и к источни­кам электропитания. Если на объекте находятся взрывчатые, легковоспла­меняющиеся, едкие вещества, посторонние источники электромагнитного излучения и другие предметы и аппаратура, способные привести к аварии ЭВМ, эвакуировать их. Осмотр или обыск целесообразно производить с уча­стием специалиста по информационно-компьютерным технологиям. Жела­тельно и в качестве понятых приглашать квалифицированных пользователей ЭВМ.

Не следует ограничиваться поиском информации только в компьютере; необходимо внимательно осмотреть имеющуюся документацию, вплоть до записей на клочках бумаги, поскольку программисты часто, не надеясь на свою память, оставляют записи о паролях, изменениях конфигурации сис­темы, особенностях построения информационной базы компьютера. Мно­гие пользователи хранят копии своих файлов на дискетах во избежание ут­раты их при выходе компьютера из строя. Поэтому любые обнаруженные носители информации должны быть изъяты и изучены. Производство ос­мотра или обыска в помещениях, где находится много компьютерных уст­ройств, работает множество людей, сопряжено со значительными трудно­стями. Для проведения таких объемных и крупномасштабных следствен­ных действий зачастую необходимо привлечение большого количества работников правоохранительных органов, включая сотрудников силовых подразделений, поскольку Лица, в отношении которых расследуются уго­ловные дела, часто оказывают серьезное сопротивление. Число участников такого объемного следственного действия достигает нескольких десятков, а подчас и сотен, поэтому важнейшим элементом его проведения является четкая организация, инструктаж каждого участника о целях и задачах след­ственного действия. Важнейшими условиями успеха в этом случае являют­ся: собирание информации об объекте осмотра или обыска; составление

910 Глава 57. Расследование преступлений в сфере компьютерной информации

плана осмотра или обыска с детальной регламентацией задач каждого участ­ника; определение состава следственно-оперативной группы; обеспечение оперативной группы необходимыми техническими средствами.

Прежде всего при подготовке к осмотру или обыску необходимо выяс­нить факт наличия компьютерных средств в обследуемом помещении. При обнаружении таковых следует определиться с рядом следующих показате­лей:

количество компьютеров и их типы;

организация электропитания и наличие автономных источников пита­ния;

используемые носители компьютерных данных;

наличие локальных сетей и серверов, а также выхода в другие сети, в том числе и региональные (в частности, Интернет);

используемое системное и прикладное программное обеспечение;

наличие систем защиты информации, их типы; возможности использо­вания средств экстренного уничтожения компьютерной информации;

квалификация пользователей, а также взаимоотношения в коллективе сотрудников, обслуживающих технику.

Владение такой информацией позволит следователю получить всю кри­миналистически значимую информацию, хранящуюся в компьютерных устройствах, максимально повысить ее доказательственное значение.

При подготовке к осмотру или обыску полезно допросить (опросить) с участием специалиста администратора системы (системного администрато­ра) и выяснить следующие вопросы:

какие операционные системы установлены на каждом из компьютеров;

какое используется программное обеспечение;

какие применены системы защиты и шифрования;

где хранятся общие файлы данных и резервные копии;

каковы пароли супервизора и администраторов системы; какие зареги­стрированы имена и пароли пользователей.

Для успешного проведения осмотра или обыска важное значение имеет фактор внезапности. В противном случае подозреваемый (обвиняемый) может быстро уничтожить изобличающие его материалы, находящиеся в ЭВМ или на магнитных носителях. Если получены сведения о том, что компьютеры организованы в локальную сеть, следует, по возможности, ус­тановить местонахождение всех компьютерных устройств, подключенных к этой сети. При этом проводится групповой обыск или осмотр одновремен­но во всех помещениях, где установлены компьютерные средства.

С места осмотра или обыска необходимо удалить всех посторонних лиц и прекратить дальнейший доступ на него. Однако эта рекомендация трудно выполнима, если следственное мероприятие проводится в офисе крупной компании, на промышленном или торговом предприятии, на складе и т. п. Таким объектам присуще сосредоточение большого количества людей, многие из которых находятся на объекте во время осмотра или обыска. К тому же при обыске обязательно должен присутствовать представитель обыскиваемого объекта с целью дачи объяснений по факту обнаружения объектов, для добровольной выдачи объектов, запрещенных к обращению, если он посчитает это необходимым, и т. д. А на крупных предприятиях, в крупных компаниях в ведении одного человека не могут находиться все предметы, документы и ценности, находящиеся в данном офисе, на скла­де, предприятии и т. д. Присутствие большого количества сотрудников

§ 2. Особенности тактики следственных действий

обыскиваемого объекта требует привлечения сотрудников правоохрани­тельных органов, которые в состоянии нейтрализовать обыскиваемых лиц, исключить возможность контакта с компьютерами и их периферийными устройствами всех пользователей и не дать им возможности воздействовать на компьютерные системы, уничтожить или повредить файлы, содержащие важную, криминалистически значимую информацию.

Помимо специалистов в области информационно-компьютерных тех­нологий к участию в осмотре или обыске желательно привлечь специали­ста-криминалиста, поскольку на компьютерных средствах зачастую оказы­ваются следы рук, ручной пайки элементов на внутренних элементах ком­пьютерных средств, а также обнаруживаются рукописные и печатные документы.

Рабочий этап осмотра или обыска обычно включает обзорную и деталь­ную стадии. На обзорной стадии следователь в результате ознакомления с обстановкой корректирует и пополняет данные об объекте, фиксирует участки, требующие особого внимания. На этой стадии уточняется распре­деление объектов между участниками обыска.

На детальной стадии осмотра осуществляются непосредственный по­иск, обнаружение и изъятие объектов осмотра или обыска — компьютер­ных средств и криминалистически значимой компьютерной информации. Могут быть использованы как последовательный, так и выборочный мето­ды обследования. При большом сосредоточении компьютерных устройств последовательный поиск занимает слишком много времени. Поэтому не­обходимо в первую очередь осматривать те компьютерные средства, кото­рые выбраны на подготовительном этапе.

Другими причинами выбора того или иного компьютерного средства являются подозрительное поведение обыскиваемого, его неубедительные объяснения по поводу данного устройства (файла, программы), несоответ­ствие обнаруженных компьютерных средств или программ личности обы­скиваемого. Важную роль при этом играет умение следователя подмечать мелкие детали, факты, явления, т. е. его наблюдательность, способность к длительным целенаправленным наблюдениям.

Тактика поиска компьютерной информации должна избираться исходя из степени защищенности данных, функционального состояния компью­терного средства на момент проведения следственного действия. Тактиче­ские особенности собирания доказательств зависят от того, насколько сложно организована защита ЭВМ от несанкционированного доступа. Для сокрытия информации на компьютерах могут быть установлены специаль­ные защитные программы, которые при определенных условиях автомати­чески производят полное или частичное стирание информации. Это высо­кая степень защищенности компьютерной информации. Низкая степень защищенности определяется наличием простого алгоритма ограничения доступа (например, данные защищены только паролем), получением дос­товерных данных о его преодолении.

Деятельность следователя по преодолению защиты компьютера от не­санкционированного доступа — одна из самых ответственных. Именно при некорректном обращении защищенные данные могут быть самоуничтоже­ны, искажены, замаскированы или спрятаны с помощью специальных программ. Еще раз подчеркнем, что какие-либо манипуляции с компью­терными устройствами может производить, во-первых, только специалист и, во-вторых, только в неотложных случаях, когда это диктуется крайней

912 Глава 57. Расследование преступлений в сфере компьютерной информации

необходимостью. Стремительное усложнение технических и программных компонентов компьютерной техники, компьютерных технологий в целом делает невозможным единоличное использование следователем самых эф­фективных рекомендаций технического характера. Включать и выключать компьютеры, производить с ними какие-то манипуляции может только спе­циалист, участвующий в производстве данного следственного действия. Если на объекте было отключено электроснабжение, например, в связи с пожа­ром или взрывом, до его включения следует проверить, находятся ли все компьютеры и периферийные устройства в отключенном состоянии.

Если компьютер на момент начала осмотра (обыска) оказался включен, необходимо оценить информацию, изображенную на дисплее, и опреде­лить, если это возможно, какая программа исполняется в данный момент. В случае работы стандартного программного обеспечения (например, на экране изображены стандартные окна операционных оболочек Windows или Linux) нельзя приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран мони­тора необходимо сфотографировать.

В протоколе необходимо описать все соединения на задней стенке сис­темного блока.

Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены; промаркировать все порты и разъемы, с тем чтобы потом можно было осуществить точную реконструкцию расположе­ния кабелей, плат расширения и других устройств. Далее по рекомендации специалиста принимается решение о корректном завершении работы ис­полняемой в данный момент программы.

Присутствующим при следственном действии необходимо разъяснять все действия следователя и специалиста в ходе манипуляций с компьютер­ным средством. Недопустимо проводить какие-либо действия без нагляд­ного и доступного комментария своих действий. Объяснено должно быть любое нажатие на клавишу клавиатуры, передвижение мыши и т. д. Это в дальнейшем позволит обезопасить добытые доказательства от негативной оценки их допустимости судом.

Если для поиска информации задействуется программное обеспечение, не находящееся в компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль за их работой — нагляден, т. е. все ключевые этапы работы программы должны изображаться на экране монитора, и специалист должен комментировать происходящее. Максимально активное участие понятых при поиске инфор­мации важно еще и потому, что результатом выполнения искомой програм­мы может явиться не текстовый или графический документ, а аудио- или видеоролик. Такой итог работы программы будет уникальным (неповтори­мым), и зафиксировать эту информацию можно только запротоколировав ее, а также использовав фотосхему или видеозапись. В случае обнаружения искомой информации текущее изображение экрана монитора также необ­ходимо сфотографировать, после чего стандартными средствами переписать информацию на постоянный носитель.

Особого внимания требуют места хранения носителей информации. Ес­ли при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необхо­димо найти места хранения носителей информации к соответствующим накопителям. Кроме того, в учреждениях с развитой локальной сетью, как

§ 2. Особенности тактики следственных действий

правило, производится регулярное архивирование информации на какой-либо носитель. Поэтому очень важно выявить место хранения данных ко­пий.

Только после выполнения указанных выше мероприятий специалист, участвующий в следственном действии, может произвести изъятие носите­лей информации. В отдельных случаях специалистом может быть выполне­но зеркальное копирование (клонирование) компьютерной информации на заранее приготовленные носители. Это могут быть дополнительный жест­кий диск, магнитооптические диски. Если изымается жесткий диск (вин­честер), то его необходимо упаковать в антистатический (т. е. исключаю­щий воздействие статического заряда) пакет, предотвратить его свободное перемещение в упаковке при транспортировке и опечатать.

При осмотре документов следует обратить особое внимание на рабочие записи сотрудников, где могут содержаться пароли, коды доступа и прочие вспомогательные данные. Необходимо также составить список всех не­штатных и временно работающих специалистов организации, среди кото­рых следует выявить всех специалистов по компьютерным технологиям.

В протоколе следственного действия следователь описывает основные физические характеристики изымаемых устройств, их видимые индивиду­альные признаки, конфигурацию компьютерных средств (их комплекта­цию); номера моделей и серийные номера каждого из устройств; инвентар­ные номера, присваиваемые бухгалтерией при постановке средства на ба­ланс организации; иную информацию, имеющуюся на фабричных ярлыках фирмы-изготовителя.

Осмотр документов, являющихся источниками и носителями кримина­листически значимой компьютерной информации, а также документации, различных записей, даже на клочках бумаги, может иметь значение для ус­пешного достижения цели. Сделать это необходимо и потому, что про­граммисты часто не надеются на свою память и оставляют записи о паро­лях, изменениях конфигурации системы, особенностях построения инфор­мационной базы компьютера.

На начальном этапе следователь получает общее представление о доку­менте, выясняя следующие обстоятельства:

что представляет собой документ, который осматривается;

у кого и где он хранится;

внешний вид документа и его реквизиты;

происхождение документа, от кого поступил адресату.

При осмотре документа — вещественного доказательства следователь доступными ему средствами решает вопрос о его подлинности, изучая со­держание и форму документа, материал и его отдельные части, подписи, оттиски печатей и штампов и др. Если документ используется как средство установления фактов, то при его осмотре особое внимание обращается на те части документа, которые удостоверяют тот или иной факт, либо на со­держание документа, из которого можно сделать вывод об интересующих следствие обстоятельствах.

При расследовании преступлений, сопряженных с использованием ком­пьютерных средств, особый интерес представляет выемка электронных до­кументов и иной информации из вычислительных сетей. Законодатель по­ка не предложил детальной регламентации этого процесса, поэтому если необходимо произвести выемку электронной почты из домашнего компью­тера, то это можно сделать путем изъятия самого компьютерного средства

914 Глава 57. Расследование преступлений в сфере компьютерной информации

или жесткого диска. Как правило, операторы связи (провайдеры, предос­тавляющие абоненту услуги телематических служб глобальной сети Интер­нет) не хранят на своих серверах электронную почту абонентов (речь идет о еще неполученной электронной почте). В договорах о предоставлении интернет-услуг обычно предусмотрены обязательства провайдера предпри­нимать общепринятые в Интернете технические и организационные меры для обеспечения конфиденциальности информации, получаемой или от­правляемой абонентом. Доступ третьим лицам к информации, получаемой или отправляемой абонентом, обеспечивается исключительно в соответст­вии с законодательством Российской Федерации.

Возможен и другой вариант, когда для целей расследования преступле­ния необходимо постоянно отслеживать компьютерную информацию, по­ступающую на электронный адрес абонента, что возможно на основании Закона об ОРД.

Обнаружение, фиксация и изъятие криминалистически значимой информа­ции в вычислительной сети имеет свои особенности. В первую очередь не­обходимо установить общее количество компьютеров и их распределение по другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используемой сетевой операци­онной системы и состав прикладного программного обеспечения, исполь­зуемого в вычислительной сети. Следует также установить факт наличия резервных копий данных и места их хранения.

Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные сети; установлению возможностей использования ком­муникационных средств для связи с удаленными пользователями, другими организациями (фирмами), частными лицами. В то же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет.

Для обеспечения сохранности информации необходимо:

предотвратить отключение энергоснабжения учреждения, обеспечив ох­рану распределительного щита;

запретить сотрудникам организации и прочим лицам производить ка­кие-либо манипуляции с компьютерными средствами;

предупредить всех участников следственного действия о недопустимо­сти самостоятельных манипуляций с компьютерными средствами.

Сразу же при установлении факта наличия в осматриваемом помеще­нии локальной вычислительной сети следует точно установить местополо­жение серверов. Как правило, для сервера выделяется специальная комна­та (серверная), вход в которую ограничен. Однако помимо центральной серверной в других помещениях могут находиться местные локальные сер­веры. Внешне определить местоположение компьютеров, подключенных к вычислительной сети, иногда помогает электропроводка: достаточно про­следить трассы кабелей или специальных коробов для защиты кабелей.

Следственная группа должна иметь физическую возможность одновре­менно занять все помещения, в которых находятся компьютеры, входящие в сеть. Наличие средств удаленного доступа позволяет оперативно манипу­лировать информацией в сети любым компьютером, входящим в нее. Это обстоятельство сводит на нет эффективность осмотра и обыска помещений и компьютеров. В то же время размеры вычислительных сетей не всегда позволяют мобилизовать необходимое количество сотрудников и понятых для проведения столь масштабных следственных действий. В связи с этим

§ 2. Особенности тактики следственных действий

в литературе все чаще встречается предложение процессуальной регламен­тации наложения ареста на локальную вычислительную сеть. Такая прак­тика существует уже во многих странах (Голландия, Бельгия, США и др.). Аресты сетей, предпринимаемые в указанных странах, позволяют сохра­нить наибольшее количество следов преступления, которые легко уничто­жаются (как умышленно, так и случайно) при манипулировании с вычис­лительной сетью и компьютерной информацией.

Завершающим этапом осмотра, обыска или выемки по делам, сопря­женным с использованием компьютерных технологий, являются фиксация и изъятие компьютерных средств. От того, как произведено изъятие, транс­портировка и хранение этих объектов, часто зависит их доказательственное значение.

Все изъятые системные блоки и другие устройства должны быть упако­ваны и опечатаны таким образом, чтобы исключить возможность их повре­ждения, включения в сеть и разборки. В протоколе должны быть точно от­ражены место, время и внешний вид изымаемых предметов и документов. При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать. Системные блоки компьютеров должны быть пронумерова­ны. Для исключения возможности несанкционированного доступа они упаковываются в коробки, бумажные или матерчатые мешки, которые опе­чатываются и снабжаются пояснительными надписями. Следует пронуме­ровать все носители информации, пакеты, в которые они запакованы, про­ставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). Все эти действия должны быть за­фиксированы в протоколе.

Для опечатывания носителей информации необходимо упаковать их в жесткую негнущуюся коробку и опечатать ее. Далее следует сделать на от­дельном листе бумаги подробное описание упакованных носителей (тип каждого из них, их количество). Коробка с носителями и их описание по­мещаются в бумажный пакет, который заклеивается.

Изъятие компьютерных средств должно производиться в один прием. При отсутствии транспорта следует организовать охрану изъятого оборудо­вания в специальном помещении. Недопустимо предоставление части изъ­ятых средств в распоряжение организации (учреждения) по причинам «производственной необходимости», так как в процессе работы могут быть внесены изменения в файлы информации или программы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компь­ютерной информации. Известны совершенно недопустимые случаи ис­пользования изъятых в качестве вещественных доказательств компьютер­ных средств следователями и сотрудниками оперативных аппаратов для со­ставления процессуальных документов, отчетов, компьютерных игр. Такие действия должны решительно пресекаться, а виновные привлекаться к от­ветственности, даже если, например, в следственном отделе отказали все служебные компьютеры.

При перевозке компьютерных средств необходимо исключить их меха­нические повреждения и взаимодействие с химически активными вещест­вами. Следует экранировать от воздействий магнитных полей как компью­терные устройства, так и магнитные носители информации. Такое воздей­ствие может привести к порче или уничтожению информации путем размагничивания. Поскольку компьютерные средства попадают на иссле­дование в экспертные учреждения, особое внимание следует обратить на

916 Глава 57. Расследование преступлений в сфере компьютерной информации

ограждение изъятых объектов от воздействия широко используемых в этих учреждениях магнитосодержащих средств криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и пр.).

При размещении изъятых объектов на хранение следует соблюдать уста­новленные правила хранения и складирования электронных технических средств. Нельзя ставить системные блоки компьютеров в штабель выше трех штук, а также размещать на них какие-либо другие предметы. Хранят компьютеры и комплектующие в сухом, отапливаемом помещении. Нужно удостовериться, что в нем нет следов присутствия грызунов (мышей и крыс), которые часто являются причиной неисправности аппаратуры. Кро­ме того, категорически не рекомендуется курить, принимать пищу и содер­жать животных в помещениях, предназначенных для хранения компьютер­ной техники и магнитных носителей.

При осуществлении допросов подозреваемых и обвиняемых необходимо учитывать данные криминалистической характеристики о личности пред­полагаемого преступника. Важной является подготовка к допросу, в про­цессе которой необходимо постараться хотя бы условно выбрать, к какой группе относится подозреваемый или обвиняемый, и на этом основывать тактику допроса. При первоначальном допросе следует, побуждая лицо к деятельному раскаянию, выяснить, какие изменения в работу компьютер­ных систем были внесены, какие вирусы использовались, есть ли, с точки зрения подозреваемого (обвиняемого), возможность быстро устранить или уменьшить вред, причиненный несанкционированным проникновением в систему, а также то, какие сведения и кому передавались.

При первоначальных допросах свидетелей и потерпевших необходимо установить назначение и функции компьютерной системы, кто имел дос­туп к ней и в помещения, где располагалась компьютерная техника, не по­являлись ли там посторонние лица, какие средства защиты использова­лись. Если часть информации была закрытой, то кто санкционировал дос­туп к ней и кто реально был допущен. Какой вред (имущественный, неимущественный) причинен преступлением и имеются ли способы его уменьшить.