Особливості розслідування порушення правил експлуатації ЕОМ.

Значних збитків автоматизованій інформаційній системі можуть завдати порушення правил їхньої експлуатації, що, як правило, призводять до збоїв в обробці інформації та, у кінцевому рахунку, дестабілізації діяльності відповід-ного підприємства чи установи.

При розслідуванні у таких справах необхідно, передусім, довести факт порушення певних правил, що спричинило знищення, блокування або модифікацію комп'ютерної інформації. Крім того, необхідно встановити й довести: місце й час порушення правил експлуатації ЕОМ; характер комп'ютерної інформації, що знищена, заблокована чи модифікована внаслідок порушення правил експлуатації автоматизованої системи; спосіб і механізм порушення правил; характер та розмір збитків; факт порушення правил певною особою; винність особи, яка порушила правила; обставини, що сприяли скоєнню злочину.

У цьому випадку необхідно вивчити нормативні документи, де передбачаються правила експлуатації цієї автоматизованої системи. Вони можуть визначати порядок створення, збирання, обробки, накопичення, зберігання, пошуку, розповсюдження та представлення користувачеві комп'ютерної інформації, а також її захист.

Порядок накопичення, обробки, захисту та надання користувачеві інформації з обмеженим доступом визначається органами державної влади або її власником. Такі правила існують, зокрема, в державних архівах, органах державної виконавчої влади, у інформаційних системах яких функціонує конфіденційна інформація як така, що складає, зокрема, державну таємницю. Ступінь таємності та конфіденційності інформації має суттєве значення для визначення розміру збитків, завданих злочинним порушенням правил експлуатації ЕОМ.

Факт порушення правил експлуатації ЕОМ стає відомим, як правило, у першу чергу власникам і користувачам автоматизованої системи внаслідок відкриття відсутності необхідної інформації або її істотних змін. Слідчому доцільно допитати всіх осіб, що працювали на комп'ютері чи обслуговували його обладнання у відповідний час. Допитуваному можуть бути поставлені приблизно такі запитання:

- "Які Ваші обов'язки при роботі з комп'ютером та якими правилами вони встановлені?"

- "Яка робота й за яким порядком виконувалась, коли трапилося знищення, блокування, зміна комп'ютерної інформації?"

- "Які несправності в автоматизованій системі були виявлені?"

- "Які правила роботи з комп'ютером порушені в цій ситуації?"

- "Яким чином повинні фіксуватися факти знищення, блокування чи модифікації комп'ютерної інформації у випадку порушення певних правил експлуатації ЕОМ?"

- "Чи пов'язане знищення, блокування, модифікація інформації з порушенням правил експлуатації ЕОМ, або вони стали наслідком непередбачених обставин ?".

Факт порушення правил експлуатації ЕОМ може бути встановлений також за матеріалами службового розслідування, яке проводиться, як правило, службою інформаційної безпеки об'єкту. За матеріалами службового розслідування, крім питань, що наведені вище, можуть бути встановлені також місце, час злочинного порушення правил та інші обставини, що підлягають доказуванню.

Місце порушення правил експлуатації ЕОМ можна встановити шляхом слідчого огляду автоматизованих робочих місць (АРМів) користувача автоматизованої системи. Огляд проводиться, як правило, за участю спеціаліста.

Слід зазначити, що необхідно розрізняти місце порушення правил і місце, де наступили шкідливі наслідки. Часто вони не співпадають, особливо при порушенні правил експлуатації комп'ютерних мереж.

При розслідуванні порушення правил експлуатації комп'ютерної мережі вкрай важливо встановити, де розміщено файловий сервер, експлуатація якого здійснювалася з грубим порушенням правил інформаційної безпеки. Необхідно також визначити місця, де розміщені робочі станції, з власними дисководами, бо в цьому випадку є значно більше можливостей для злочинних порушень правил експлуатації комп'ютерної мережі. Це, зокрема, можливість копіювання даних з файлового сервера на дискету або використання дискети з різноманітними програмами, в тому числі - з комп'ютерними вірусами.

Проводиться слідчий огляд облікових даних, де можуть бути відбиті відомості про розташування конкретної робочої станції, що використовується як файловий сервер. Крім того, як свідки допитуються адміністратор мережі та фахівці, що обслуговують файловий сервер, у якому трапилося знищення, блокування або модифікація комп'ютерної інформації. Їм можуть бути задані приблизно такі запитання:

- "На якій робочій станції могли бути порушені правила експлуатації комп'ютерної мережі, де вона розміщена?"

- "Чи могли бути порушені правила експлуатації цієї локальної обчислювальної мережі на конкретній робочій станції?".

Якщо правила порушені безпосередньо на файловому сервері, то місце порушення правил може співпадати з місцем, де настали шкідливі наслідки. Місце порушення правил може бути встановлене й шляхом проведення судової експертизи, перед експертом можуть бути поставлені такі запитання:

- "На якій робочій станції локальної обчислювальної мережі могли бути порушені правила експлуатації, в результаті чого настали шкідливі наслідки?"

- "Чи могли бути порушені правила експлуатації мережі на конкретній робочій станції?"

Необхідно встановити й зафіксувати як час порушення правил, так і час настання шкідливих наслідків. Порушення правил експлуатації та настання шкідливих наслідків можуть трапитися водночас. Наприклад, у випадку відсутності резервних джерел автономного живлення при відключенні електричної напруги може бути миттєво знищена важлива інформація, яку не встигли записати на дискету.

Для розслідування має також чимале значення проміжок часу між моментом порушення правил та моментом настання шкідливих наслідків. Так, у певний момент вносяться зміни до програми чи базу даних, а шкідливі наслідки цього наступають значно пізніше.

Час порушення правил можна встановити за обліковими даними, до яких відносяться відомості про результати застосування засобів автоматичного контролю комп'ютерної системи, моменти підключення до неї абонентів, зміст журналів обліку збійних ситуацій, передачі змін операторами, роздруковки вихідної інформації. Ці дані можуть бути отримані шляхом проведення огляду місця події, виїмки та огляду окремих документів.

При необхідності може бути призначена судова експертиза, перед якою для встановлення часу злочинного порушення правил можна сформулювати такі запитання:

- "Як технічно здійснюється автоматична фіксація часу звернення користувачів до цієї комп'ютерної системи чи мережі та всіх змін, що відбуваються в інформаційних масивах?"

- "Чи можна за представленими машинними носіями інформації встановити час порушення правил експлуатації ЕОМ, якщо так, то коли порушення сталося?

Час настання шкідливих наслідків встановлюється за матеріалами службового розслідування, за результатами огляду місця події, а також шляхом допиту свідків та виробництва судових експертиз.

Час настання шкідливих наслідків може бути встановлений в результаті виробництва експертизи, при призначенні якої перед експертом доцільно ставити такі запитання:

- "Як технічно здійснюється автоматична фіксація часу знищення, зміни бази даних або блокування окремих файлів? Чи можна встановити час настання шкідливих наслідків і якщо так, то коли вони наступили?".

Спосіб порушення правил експлуатації ЕОМ може бути як активним, так і пасивним. Перший виражається у самочинному виконанні непередбачених операцій при комп'ютерній обробці інформації, а другий - у невиконанні обумовлених дій.

Механізм порушення таких правил пов'язаний з технологією обробки інформації на комп'ютері. Це, зокрема, неправильне його включення та виключення, використання сторонніх дискет без попередньої перевірки на наявність комп'ютерного вірусу, невиконання вимоги про обов'язкове копіювання інформації для її збереження на випадок знищення першого примірника.

Спосіб та механізм порушення правил встановлюється шляхом проведення допитів, слідчого експерименту, виробництва судової експертизи. Так, при допитах з'ясовується послідовність виконання операцій на ЕОМ, що призвели до порушення правил. При відтворенні обставин і обстановки події з'ясовується можливість настання шкідливих наслідків при порушенні певних правил. Воно проводиться, по можливості, на тому ж комп'ютері, при роботі на якому порушені правила. У разі призначення експертизи може бути поставлене запитання: "Який механізм порушення правил експлуатації комп'ютера?".

Збитки можуть бути чисто економічного характеру, або шкодити інтересам держави внаслідок витоку відомостей, що складають державну таємницю. Розголошення чи втрата такої інформації може завдати серйозних збитків зовнішній безпеці Україні, що передбачає кримінальну відповідальність.

Розмір збитків встановлюється шляхом проведення інформаційно-економічної експертизи, перед якою доцільно ставити запитання: "Яка вартість інформації, знищеної (або зміненої) внаслідок порушення правил експлуатації ЕОМ?". Ступінь таємності інформації встановлюється у відповідності із Законом України "Про державну таємницю".

Не будь-яка особа, допущена до ЕОМ, має доступ до всієї комп'ютерної інформації. Доступ до ЕОМ, системи ЕОМ чи мережі мають певні особи, серед яких й слід встановлювати порушників правил користування ЕОМ. Щодо кожного з них встановлюються: анкетні дані; займана посада (належність до категорії посадових осіб, відповідальних за інформаційну безпеку чи до категорії осіб, що безпосередньо відповідають за забезпечення виконання правил експлуатації системи); стаж роботи за спеціальністю; рівень професійної кваліфікації; конкретні обов'язки щодо забезпечення інформаційної безпеки.

Крім того, вивчаються відповідні нормативні акти, якими були встановлені такі посадові обов'язки; причетність до розробки, впровадження цієї комп'ютерної системи чи мережі; наявність й обсяг доступу до баз і банків даних; відомості щодо наявності особистого комп'ютера та обладнання до нього. Ці дані встановлюються шляхом допитів, огляду документів, комп'ютера, обладнання до нього, носіїв інформації тощо.