Механизм следообразования при совершении преступлений в сфере компьютерной информации
Механизм следообразования, как пишет О. Я. Баев, представляет собой «наиболее стабильный и наиболее значимый элемент такой общей категории, как криминалистическая характеристика преступлений»[21]. В соответствии с классическим определением Р. С. Белкина под механизмом следообразования понимается «специфическая конкретная форма протекания процесса, конечная фаза которого представляет собой образование следа-отображения. Элементами этого механизма являются объекты следообразования — следообразующий, следовоспринимающий и вещество следа, следовой контакт как результат взаимодействия между ними вследствие приложения энергии к объектам следообразования»[22].
В соответствии с положениями названного криминалистического учения все следы совершения любого преступления делятся на две основные группы:
• «материальные», т.е. зафиксированные в виде изменения внешней среды и объектов, ее образующих;
• «идеальные», т.е. оставшиеся в памяти преступника, соучастников и свидетелей.
Подобное представление, показавшее свою значимость в течение длительного промежутка времени при расследовании всех «традиционных» преступлений, оказалось недостаточно эффективным при оперировании со следами в сфере компьютерной информации. Анализ причин такой неэффективности показал, что существующее учение о механизме следообразования исходит из «механистического» понимания явлений и исследует закономерности, связанные, в основном, с механическим (контактным) взаимодействием следообразующего и следовоспринимающего объектов. При этом понятие «следа» в большинстве случаев сводилось к «следу-отображению» и определялось как «отображение на одном объекте внешнего строения другого материального объекта»[23].
Совершенно иную картину можно наблюдать при расследовании преступлений в сфере компьютерной информации. Основными взаимодействующими объектами при совершении данного вида преступлений являются информационные объекты (наборы данных и программы), обладающие сложной иерархической структурой, при рассмотрении которой говорить о внешнем строении (т.е. какой-либо материальной форме проявления) или его особенностях не приходится.
Одним из первых на этот факт обратил внимание А.Н. Яковлев, отметивший, что «вовлеченные в событие преступления информационные объекты на машинных носителях лишены такой характеристики, как внешнее строение»[24].
Приведенные обстоятельства вынуждают по-новому взглянуть и уточнить практически все основные элементы криминалистического учения о механизме следообразования.
Базовым понятием рассматриваемого учения служит понятие «следа». В соответствии с наиболее общим определением, предложенным Р. С. Белкиным, «следами преступления являются любые изменения среды, возникшие в результате совершения в этой среде преступления»[25]. Таким образом, сначала необходимо четко уяснить сущность и особенности строения среды совершения преступления — «кибернетического пространства».
Особенности компьютерной информации, а также принципы построения автоматизированных информационных систем позволили предложить следующее представление «кибернетического пространства» как сложносоставного многоуровневого информационного объекта (табл. 2.1).
Таблица 2.1
| Местонахождение компьютерной информации | Особенности группирования образующих объектов | Юридическое закрепление принятого способа объединения |
| 1. Глобальная информационная сеть (например, Интернет) | ||
| Аппаратные объекты: · Совокупность систем связи (зачастую нескольких юридических лиц, обеспечивающих функционирование сетей телефонной связи, включая линии междугородней и международной связи) · Совокупность локальных вычислительных сетей. · Совокупность отдельных средств вычислительной техники (персональных компьютеров). · Вспомогательное оборудование (например, средства и системы защиты информации, шифрования, межсетевые шлюзы и т.п.) Информационные объекты: · Протоколы информационного обмена в глобальных информационных сетях (семиуровневая модель взаимодействия открытых систем). · Организация коллективного использования информационных и вычислительных ресурсов локальной вычислительной сети (права доступа, время доступа, пароли и т.п.) | Определяется потребностями пользователей в информационном обмене, в вычислительных и информационных ресурсах. | · Действующие международные договоры и соглашения о порядке информационного обмена и использования глобальных информационных сетей. · Действующее российское законодательство в сфере компьютерной информации. · Действующее законодательство иностранных государств, в которых размещены информационные или вычислительные ресурсы, используемые в сети. · Документация на порядок эксплуатации используемого сетевого прикладного программного обеспечения в конкретной организации (приказы, инструкции, положения и т.п.). · Техническая документация на средства сетевого оборудования (сетевые платы, концентраторы, маршрутизаторы и т.п.). |
Анализ состава и особенностей строения среды совершения преступлений в сфере компьютерной информации наталкивает на вывод о резком изменении соотношения материальных и идеальных следов в пользу идеальных, что обусловлено способом представления информации на каждом из уровней. На этот факт указывают практически все авторы специальной криминалистической литературы, однако они не делают следующего важного шага в своих рассуждениях относительно природы образующихся следов компьютерного преступления.
На наш взгляд, при расследовании преступлений в сфере компьютерной информации мы сталкиваемся с особой группой следов, так называемыми «виртуальными» следами, т.е. следами, сохраняющимися в памяти технических устройств, в электромагнитном поле, на носителях машиночитаемой информации, занимающей промежуточное положение между материальными и идеальными.
К таким следам могут быть отнесены отдельные файлы в автоматизированной информационной системе, кластеры на магнитном носителе, информация, передаваемая в эфире посредством электромагнитной волны, и т.п.
Необходимость выделения следов такого рода в самостоятельную группу, несмотря на ее внешнюю проблематичность, объективно обусловлена целым рядом специфических свойств, определяющих перспективы их регистрации, извлечения и использования в качестве доказательств при расследовании совершенного компьютерного преступления.
• Во-первых, «виртуальные следы» существуют объективно на материальном носителе, но не доступны непосредственному восприятию. Для их извлечения необходимо обязательное применение программно-технических средств, что сближает эту группу с материальными следами, но не делает их таковыми.
Особенностью используемых программно-технических средств является то, что они основаны на стандартах, опирающихся на принятые производителями аппаратного и программного обеспечения соглашения и договоренности при их создании. Поясним этот тезис подробнее. Например, для обнаружения следов характерной царапины на гильзе патрона применяется обычный микроскоп, увеличивающий изображение за счет преломления и преобразования лучей света. При этом используемые микроскопом для выполнения своих функций законы преломления являются всеобщими и неизменными от одного микроскопа к другому. В связи с этим обнаруживаемые с использованием микроскопа следы царапины на гильзе, во-первых, объективны, так как не зависят от какой-либо договоренности разработчиков или владельца оружия, во-вторых, жестко связаны с самим оружием, из которого был произведен выстрел данного патрона, и, в-третьих, достаточно устойчивы, т.е. их трудно уничтожить бесследно.
Совсем другая ситуация складывается вокруг средств вычислительной техники — основного компонента среды совершения преступлений в сфере компьютерной информации. Как известно, вся информация в цифровой технике кодируется с помощью «0» и «1».
В связи с этим обнаруживаемые с применением программно-технических средств «виртуальные» следы, во-первых, субъективны, так как определяются тем, каким способом (с использованием каких соглашений) они были считаны, во-вторых, не имеют жесткой связи с устройством, осуществившим запись информации, являющейся «виртуальным» следом, и, в-третьих, весьма неустойчивы, так как могут быть легко уничтожены (например, кратковременным воздействием внешнего мощного магнитного поля или даже просто продолжительным хранением под прямыми солнечными лучами).
• Во-вторых, получаемые «виртуальные» следы внутренне не надежны (благодаря своей природе), так как их можно неправильно считать (например, используя программно-технические средства, основанные на различных соглашениях, легко подделать). Практически невозможно различить одинаковые информационные объекты и т.п. В данном случае напрашивается характеристика «виртуальных» следов как субъективных (о чем мы говорили выше), что сближает их с идеальными следами, но опять-таки не отождествляет с ними. «Виртуальные» следы хранятся не в памяти человека, а на материальных объектах (лазерных оптических дисках, магнитных дискетах и т.п.) и получаются с использованием технических средств, действующих в строгом соответствии с заложенными в них алгоритмами.
Учет этих особенностей, а также тот факт, что любая цифровая автоматизированная информационная система представляет собой дискретный автомат, характеризующийся определенным состоянием, позволяет предложить определение «виртуального» следа. Виртуальный след — это любое изменение состояния автоматизированной информационной системы (образованного ею «кибернетического пространства»), связанное с событием преступления и зафиксированное в виде компьютерной информации (т.е. информации в виде, пригодном для машинной обработки) на материальном носителе, в том числе на электромагнитном поле.
Данное определение ни в коей мере не отрицает традиционного понимания такой криминалистической категории, как след, а лишь уточняет, дополняя его возможностью электромагнитного взаимодействия между следообразующим и следовоспринимающим объектом, а также таким возможным носителем следа-отображения, как электромагнитное поле.
С учетом предложенного определения виды следов, образующихся при совершении преступления в сфере компьютерной информации, могут быть представлены следующим образом: