Особливості методики виявлення та розслідування злочинів, що вчиняються у сфері використання комп'ютерних технологій

Резюме

Поведение системы описывается с помощью модели прецедентов, которая содержит системные прецеденты, системное окружение — актеров и связи между прецедентами и актерами — диаграммы прецедентов. Модель прецедентов должна представлять собой единое средство для обсуждения функциональности и поведения системы с заказчиком и конечным пользователем.

Разработка модели прецедентов начинается на стадии задумки с выбора актеров и определения общих принципов прецедентов системы. Затем модель дополняется на этапе проработки.

Актеры не являются частью системы — это кто-то или что-то, что должно взаимодействовать с системой. Прецеденты определяют функциональность системы. Они служат для моделирования диалога между актером и системой.

Для каждого прецедента указывается поток событий, описывающий те из них, которые необходимы для обеспечения требуемого поведения. Поток событий описывается в терминах того, «что» система должна делать, а не «как» она должна это делать. Диаграмма прецедентов — это графическое представление всех или части актеров, прецедентов и их взаимодействий в системе.

Наиболее распространенные типы отношений между прецедентами — включает и дополняет. Первый используется для выделения общих функциональных фрагментов в отдельный прецедент, второй — для придания прецеденту дополнительных элементов поведения.

Диаграммы действий отражают динамику системы. Они представляют собой схемы потоков управления в системе. В конкретной точке жизненного цикла диаграммы действий могут представлять потоки между прецедентами или внутри отдельного прецедента. На последующих этапах жизненного цикла диаграммы действий могут создаваться для отражения последовательности выполнения операции.

 

1. Загальна модель (схема) виявлення та розслідування несанкціо­нованого доступу до інформації в автоматизованих системах

Під час виявлення та розслідування несанкціонованого доступу до інфо­рмації в автоматизованих системах основні дії оперативно-слідчих працівників щодо встановлення обставин події можуть проводитися за такою моделлю:

• встановлення факту несанкціонованого доступу до інформації в ав­томатизованих системах;

• встановлення місця несанкціонованого доступу;

• встановлення часу вчинення злочину;

• встановлення способу (методу) несанкціонованого доступу;

• виявлення осіб, що вчинили злочин, ступеня їх провини та мотивів злочину;

• визначення шкідливих наслідків злочину, їх соціальної небезпеки;

• встановлення надійності засобів захисту інформації в автоматизо­ваних системах;

• виявлення обставин, що сприяли злочину.

 

Встановлення факту несанкціонованого доступу до інформації в автоматизованих системах

Факт неправомірного доступу до інформації в автоматизованій електро­нно-обчислювальній системі чи мережі, як правило, виявляється:

- користувачами автоматизованої інформаційної системи, що стали жерт­вою цього правопорушення;

- у результаті оперативно-розшукової діяльності органів внутрішніх справ, СБУ, податкової міліції;

- при проведенні ревізій, інвентаризацій та перевірок:

- при проведенні судових експертиз з кримінальних справ по інших зло­чинах;

- при проведенні слідчих дій з кримінальних справ по інших злочинах;

- при інших обставинах.

Для встановлення фактів неправомірного доступу в комп'ютерну систему до складу слідчо-оперативної групи доцільно залучати фахівців, які мають від­повідні знання та навички в галузі комп'ютерних технологій. З числа спеціаліс­тів - спеціально підготовлених ревізорів, інженерів-програмістів (системний програміст), інженерів-електронників.

Ознаками та умовами несанкціонованого доступу або підготовки до нього можуть виступати такі обставини:

- поява в комп'ютері неправдивих даних;

- неоновлення тривалий час у автоматизованій інформаційній системі кодів, паролів та інших захисних засобів;

- часті збої в процесі роботи комп'ютерів;

- часті скарги користувачів комп'ютерної системи чи мережі на збої в її роботі;

- робота персоналу понад норми робочого часу без поважних на те при­чин;

- немотивовані відмови окремих співробітників, що обслуговують комп'ютерні системи чи мережі, від відпусток;

- несподіване придбання співробітником у власність дорогого комп'ютера чи іншого дорогого майна ("не по кишені");

- часті випадки перезапису окремих даних без поважних на те підстав;

- надмірний інтерес окремих співробітників до змісту документів (листінгів), що виконуються на принтері (роздруковуються на папері після комп'ютерної (машинної) обробки).

Окремо слід виділити ознаки неправомірного доступу, які стосуються відхилення від встановлених порядку і правил роботи з документами, а саме:

а) порушення встановлених правил оформлення документів, у тому числі виготовлення машинограм (роздрукування на папері інформації з комп'ютерної системи);

б) повторне введення однієї й тієї ж інформації до автоматизованої бази даних;

в) наявність зайвих документів серед тих. що підготовлені для обробки на комп'ютері;

г) відсутність первинних документів, на підставі яких була складена по­хідна документація, вторинні документи;

д) навмисна втрата, знищення первинних документів та машинних носіїв інформації, викривлення в реєстраційній документації.

Для фактів несанкціонованого доступу до інформації, що стосуються внесення неправдивих відомостей у документи, в автоматизованих системах характерні такі ознаки:

а) протиріччя (логічного або арифметичного змісту) між реквізитами то­го чи іншого бухгалтерського документа;

б) невідповідність даних, що містяться у первинних документах, даним машинограм та в автоматизованій базі даних;

в) протиріччя між різними примірниками бухгалтерських документів або документами, що відображають взаємопов'язані господарські операції;

г) невідповідність взаємопов'язаних облікових даних у різних машино­грамах чи в автоматизованих базах даних;

д) невідповідність між даними бухгалтерського та іншого виду обліку. При цьому слід мати на увазі, що вказані ознаки можуть бути наслідком не лише зловживання, але й інших причин, зокрема випадкових помилок чи збоїв комп’ютерної техніки.

 

Встановлення місця несанкціонованого доступу

Встановлення місця несанкціонованого доступу до комп'ютерної систе­ми чи мережі викликає певні труднощі, бо таких місць може бути декілька. На­приклад, при встановленні факту неправомірного доступу до інформації в ло­кальній комп'ютерній системі чи мережі слід виявити місця, де розміщені комп'ютери, що мають єдиний телекомунікаційний зв'язок.

Простіше це завдання вирішується у разі несанкціонованого доступу до окремих комп'ютерів, що знаходяться в одному приміщенні. Однак, при цьому необхідно враховувати, що інформація на машинних носіях (дисках, дискетах) може знаходитися в іншому приміщенні, яке теж слід встановлювати.

Складніше встановити місце безпосереднього застосування технічних за­собів несанкціонованого доступу, який був здійснений за межами організації, через систему глобальної електронної телекомунікації, наприклад, Internet. Для встановлення такого місця необхідно залучати фахівців, які мають спеціальні прилади та комп'ютерні програмні засоби виявлення несанкціонованого досту­пу. Встановленню підлягає також місце зберігання інформації на машинних носіях або роздруківок, отриманих у результаті неправомірного доступу до комп'ютерної системи чи мережі.

 

Встановлення часу несанкціонованого доступу

За допомогою комп'ютерних програм загальносистемного призначення можна встановити поточний час роботи комп'ютерної системи. Це дозволяє за відповідною командою вивести на екран дисплея інформацію про день, години, хвилини та секунди виконання тієї або іншої операції. При вході до системи чи мережі (в тому числі й несанкціонованому) час роботи на комп'ютері будь-якого користувача та час виконання конкретної операції автоматично фіксу­ються в оперативній пам'яті та відображаються, як правило, у вихідних даних на дисплеї, лістингу, дискеті чи вінчестері.

З урахуванням цього, час несанкціонованого доступу можна встановити шляхом огляду комп'ютера, роздруківок чи дискет. Його доцільно виконувати за участю фахівця в галузі комп'ютерної техніки та технологій - програміста-математика, інженера-електронника. Необережне поводження або дії недосвід­ченої особи можуть випадково знищити інформацію, яка знаходиться в опера­тивній пам'яті комп'ютера або на дискеті.

Час неправомірного доступу до комп'ютерної системи можна встановити також шляхом опитування свідків з числа співробітників організації, де було встановлено цей факт. При цьому слід з'ясувати, коли саме кожен з них працю­вав на комп’ютері, якщо це не було зафіксовано автоматично або в журналі об­ліку роботи на комп'ютері.

 

Встановлення способу несанкціонованого доступу

Для вчинення таких злочинів застосовуються різноманітні способи, у то­му числі:

• використання чужого імені;

• підбирання пароля;

• знаходження й використання прогалин у комп'ютерній програмі;

• інші способи подолання захисту комп'ютерної системи.

Конкретний спосіб несанкціонованого доступу можна встановити:

• шляхом опитування свідків (очевидців) з числа осіб, які обслуго­вують систему;

• шляхом опитування (якщо це можливо) розробників комп'ютерного програмного забезпечення, технології комп'ютерної системи.

При такому опитуванні з'ясовується:

• яким чином правопорушник міг подолати засоби захисту цієї системи;

• яким чином правопорушник міг дізнатися про ідентифікаційний номер законного користувача, код, пароль доступу;

• з яких можливих джерел правопорушник міг отримати відомості про засоби захисту (наукових публікацій, Іпіегпеї тощо).

Спосіб несанкціонованого доступу може бути встановлений також у ході проведення попередніх досліджень фахівців, експертиз, зокрема інформаційно-технічної, технологічної.

Для з'ясування цих питань експерту надаються такі матеріали:

• проектна документація на систему, що досліджується (якщо така є);

• дані про її сертифікацію;

• інші матеріали на його запит.

При проведенні таких експертиз рекомендується використовувати комп'ютерне обладнання тієї ж системи, до якої проникнув правопорушник, а також такі ж самі спеціальні комп'ютерні програми.

При встановленні способу несанкціонованого доступу до комп'ютерної системи можливе відтворення обстановки і обставин події згідно з КПК Украї­ни з метою перевірки можливості подолання засобів захисту комп'ютерної сис­теми одним із передбачуваних способів. Його метою може стати й перевірка можливості появи на екрані дисплея інформації з обмеженим доступом або її роздруківка внаслідок помилкових (ненавмисних) дій оператора чи в результаті випадкового технічного збою роботи комп'ютерного устаткування.

 

Встановлення осіб, що вчинили несанкціонований доступ

Несанкціонований доступ до закритої комп'ютерної системи чи мережі є технологічно складною дією. Її можуть вчинити лише особи, що мають, як пра­вило, достатньо високу кваліфікацію, навички створення комп'ютерних про­грам, володіють технологією обробки інформації в конкретній галузі тощо.

Підозрілих осіб рекомендується шукати серед працівників організації, яка зазнала несанкціонованого проникнення до її комп'ютерної системи, мере­жі, а саме:

• серед технічного персоналу організації, в тому числі спеціалістів по ремонту техніки;

• розробників відповідних систем;

• керівного складу організації;

• операторів, адміністраторів автоматизованої системи;

• програмістів, інженерів зв'язку;

• фахівців по захисту інформації;

• охоронців;

• інших осіб, які могли мати або мають доступ до комп'ютерної системи.

Наприклад, у Дніпропетровській області було припинено спробу викра­дення грошей шляхом проникнення в банківську електронну систему платежів.

Провідний інженер-програміст Т. регіонального управління одного з ба­нків міста Дніпропетровська, маючи доступ до електронної системи "Тризор" (охоронна система входження в комп'ютерну мережу банку), вступив у зло­чинну змову із заступником директора А. однієї з комерційних фірм м. Дніпро­петровськ з метою розкрадання грошей. Т. скопіював на свою дискету програ­му "Тризор" і за допомогою комп'ютера з своєї квартири ввійшов у комп'ютерну мережу банку. Сформувавши фіктивний платіж, він вніс його в електронну поштову скриньку електронної пошти для відправки на раніше обумовлений рахунок Дніпропетровської філії "Вік-сервіс". Після зарахування вказаної суми на рахунок "Вік-сервіс" Т. та А. були затримані.

Подібні факти мали місце в Донецькій області та Автономній Республі­ці Крим.

Практика свідчить, що чим складніший у технічному відношенні спосіб проникнення до комп'ютерної системи чи мережі, тим легше виявити підозрю­вану особу, оскільки коло фахівців, які володіють відповідними знаннями та здібностями, як правило, досить обмежене.

Встановленню причетності конкретної особи, яка здійснила несанкціоно­ваний доступ до комп'ютерної системи, можуть сприяти різноманітні матеріа­льно-фіксовані відображення, що виявляються інколи при огляді комп'ютера та його компонентів. Для цього необхідно:

- зняти відбитки пальців рук у персоналу організації;

- вилучити й дослідити окремі записи, в тому числі на зовнішній упаковці дискет;

- з допомогою спеціаліста та відповідних комп'ютерних програм переві­рити записи на дискетах і дисках (вінчестері), стримері (якщо він застосовував­ся для створення резервних копій даних з вінчестера) тощо.

Можуть призначатися також такі криміналістичні експертизи: дактило­скопічна, почеркознавча, технічна.

Для встановлення осіб, зобов'язаних забезпечувати дотримання режиму доступу до комп'ютерної системи чи мережі, слід, насамперед, ознайомитися з існуючими інструкціями щодо її експлуатації, функціональних прав та обов'язків, що встановлюють повноваження посадових осіб, відповідальних за захист інформації. Після цього слід провести їх опитування (допити).

У ході зазначених дій щодо осіб, які обслуговують комп'ютерну систему, встановлюється таке:

- можливі факти та особи, які здійснювали чи могли здійснити запуск по­заштатних комп'ютерних програм;

- чи було це зафіксовано будь-яким засобом (приладами, відповідною комп'ютерною програмою).

Слід також з'ясувати:

- хто має навички створення комп'ютерних програм;

- хто займається створенням комп'ютерних програм;

- хто навчається на курсах створення комп'ютерних програм.

У осіб, які підозрюються в неправомірному доступі до комп'ютерної сис­теми, за наявності достатніх підстав проводиться обшук, у результаті якого можуть бути виявлені:

- комп'ютери (різних конфігурацій), принтери, засоби телекомунікацій­ного зв'язку з комп'ютерними мережами);

- записні книжки (в тому числі сучасні електронні органайзери) із запи­сами, які можуть служити доказами в справі;

- магнітні носії інформації (диски, дискети, магнітні стрічки), що містять записи, які можуть мати значення в справі.

До відомостей, важливих для слідства, можуть належати записи кодів, паролі, ідентифікаційні номери користувачів конкретної комп'ютерної систе­ми, а також дані про її користувачів.

У ході обшуку слід звертати увагу на літературу, методичні матеріали про комп'ютерну техніку та програмування. Для проведення обшуку та пода­льшого огляду речових доказів доцільно залучати спеціалісти, який володіє відповідними знаннями і може прочитати інформацію на машинних носіях або в електронній пам'яті вилученого комп'ютера, розшифрувати записи символів, у тому числі на паперових носіях інформації.

 

Встановлення ступеня провини та мотивів щодо осіб, які вчинили несанкціонований доступ

Причетність осіб до вчинення несанкціонованого доступу можна встано­вити лише після комплексного аналізу всіх відомих фактів:

- показань свідків, підозрюваних, обвинувачених, потерпілих;

- матеріалів експертиз (інформаційно-технологічних, інформаційно-технічних тощо);

- речових доказів, у тому числі отриманих у результаті обшуку. Також слід з'ясувати:

- з якою метою вчинено несанкціонований доступ до комп'ютерної інфо­рмації;

- чи знав правопорушник про систему її захисту;

- чи бажав здолати цю систему навмисно, чи здолав її випадково;

- якщо бажав, то з яких причин і які дії для цього він здійснив;

- інші обставини, що мають значення для встановлення факту несанкціо­нованого доступу.

 

Встановлення шкідливих наслідків несанкціонованого доступу

У разі встановлення фактів несанкціонованого доступу до комп'ютерної системи, обов'язково мають бути з'ясовані наслідки та рівень їх небезпеки. Ці факти можуть бути такими:

- розкрадання грошових коштів та матеріальних цінностей;

- розкрадання інформаційних (нематеріальних) цінностей (гудвіл, ноу-хау, секрети виробництва тощо), в тому числі заволодіння комп'ютерними про­грамами, базами даних та іншою інформацією шляхом вилучення машинних носіїв або копіювання на власні машинні носії інформації;

- перекручення чи знищення інформації;

- знищення носіїв інформації;

- розповсюдження комп'ютерних програмних засобів, призначених для несанкціонованого проникнення в автоматизовану систему;

- розповсюдження технічних (апаратно-програмних) комп'ютерних засо­бів, призначених для незаконного проникнення в автоматизовану систему;

- розповсюдження технічних (апаратних і програмних) комп'ютерних за­собів, здатних спричинити перекручення або знищення інформації;

- розповсюдження технічних (апаратно-програмних) комп'ютерних засо­бів, здатних спричинити знищення носіїв інформації;

- введення до комп'ютерної системи завідома неправдивої інформації;

- розмір завданої шкоди (матеріальних і моральних збитків);

- інші шкідливі наслідки.

Розмір заподіяних матеріальних збитків встановлюється:

- за допомогою обліково-бухгалтерських працівників організацій;

- у процесі проведення інвентаризації матеріальних цінностей;

- документальною ревізією;

- у ході проведення оперативно-розшукових заходів;

- під час допиту свідків, потерпілих, обвинувачених;

- судово-бухгалтерською, судово-технічною експертизами.

Найбільш поширені наслідки несанкціонованого доступу до комп'ютерних систем можуть бути такими:

- незаконне отримання інформації з обмеженим доступом, її копіювання для некомерційного розповсюдження;

- незаконне отримання комп'ютерної інформації та її розповсюдження з метою продажу, отримання матеріальної вигоди, прибутку з порушенням авто­рського, патентно-ліцензійного права, права інтелектуальної власності тощо;

- використання з іншими злочинними цілями (наприклад, для збирання компрометуючих матеріалів: на кандидатів у депутати різних органів влади, інформації про конкурентів тощо).

Викрадені копії комп'ютерних програм та автоматизованих інформацій­них баз даних можуть бути виявлені шляхом проведення виїмки чи обшуків у підозрюваних, обвинувачених осіб, організацій (юридичних осіб), які отримали їх у винних, а також при проведенні інших оперативно-розшукових та слідчих дій. Копії можуть бути на дискетах, компакт-дисках чи на вінчестері комп'ютера.

Факти незаконної зміни чи знищення інформації, або виведення з ладу комп'ютерного обладнання, чи введення до комп'ютерної системи завідома неправдивої інформації встановлюються, передусім, самими користувачами інформаційної системи або мережі.

Слід мати на увазі, що не всі негативні наслідки настають у результаті навмисних дій правопорушника. їх причиною іноді може стати випадковий збій у роботі комп'ютерного обладнання.

При визначенні розміру шкоди, завданої несанкціонованим доступом, враховуються не лише прямі витрати на ліквідацію її наслідків, але й втрачена вигода, що передбачено цивільним законодавством.

Негативні наслідки неправомірного доступу до комп'ютерної інформації можуть бути встановлені в процесі огляду комп'ютерного обладнання та носіїв інформації (аналізу баз і банків даних), опитування (допитів) технічного персо­налу, власників інформаційних ресурсів. Вид та обсяг збитків встановлюються шляхом комплексної експертизи, що проводиться із застосуванням спеціальних знань у галузях інформатики, засобів обчислювальної техніки та зв'язку, еконо­міки, фінансової діяльності, бухгалтерського обліку, товарознавства тощо.