Особливості методики виявлення та розслідування злочинів, що вчиняються у сфері використання комп'ютерних технологій
Резюме
Поведение системы описывается с помощью модели прецедентов, которая содержит системные прецеденты, системное окружение — актеров и связи между прецедентами и актерами — диаграммы прецедентов. Модель прецедентов должна представлять собой единое средство для обсуждения функциональности и поведения системы с заказчиком и конечным пользователем.
Разработка модели прецедентов начинается на стадии задумки с выбора актеров и определения общих принципов прецедентов системы. Затем модель дополняется на этапе проработки.
Актеры не являются частью системы — это кто-то или что-то, что должно взаимодействовать с системой. Прецеденты определяют функциональность системы. Они служат для моделирования диалога между актером и системой.
Для каждого прецедента указывается поток событий, описывающий те из них, которые необходимы для обеспечения требуемого поведения. Поток событий описывается в терминах того, «что» система должна делать, а не «как» она должна это делать. Диаграмма прецедентов — это графическое представление всех или части актеров, прецедентов и их взаимодействий в системе.
Наиболее распространенные типы отношений между прецедентами — включает и дополняет. Первый используется для выделения общих функциональных фрагментов в отдельный прецедент, второй — для придания прецеденту дополнительных элементов поведения.
Диаграммы действий отражают динамику системы. Они представляют собой схемы потоков управления в системе. В конкретной точке жизненного цикла диаграммы действий могут представлять потоки между прецедентами или внутри отдельного прецедента. На последующих этапах жизненного цикла диаграммы действий могут создаваться для отражения последовательности выполнения операции.
1. Загальна модель (схема) виявлення та розслідування несанкціонованого доступу до інформації в автоматизованих системах
Під час виявлення та розслідування несанкціонованого доступу до інформації в автоматизованих системах основні дії оперативно-слідчих працівників щодо встановлення обставин події можуть проводитися за такою моделлю:
• встановлення факту несанкціонованого доступу до інформації в автоматизованих системах;
• встановлення місця несанкціонованого доступу;
• встановлення часу вчинення злочину;
• встановлення способу (методу) несанкціонованого доступу;
• виявлення осіб, що вчинили злочин, ступеня їх провини та мотивів злочину;
• визначення шкідливих наслідків злочину, їх соціальної небезпеки;
• встановлення надійності засобів захисту інформації в автоматизованих системах;
• виявлення обставин, що сприяли злочину.
Встановлення факту несанкціонованого доступу до інформації в автоматизованих системах
Факт неправомірного доступу до інформації в автоматизованій електронно-обчислювальній системі чи мережі, як правило, виявляється:
- користувачами автоматизованої інформаційної системи, що стали жертвою цього правопорушення;
- у результаті оперативно-розшукової діяльності органів внутрішніх справ, СБУ, податкової міліції;
- при проведенні ревізій, інвентаризацій та перевірок:
- при проведенні судових експертиз з кримінальних справ по інших злочинах;
- при проведенні слідчих дій з кримінальних справ по інших злочинах;
- при інших обставинах.
Для встановлення фактів неправомірного доступу в комп'ютерну систему до складу слідчо-оперативної групи доцільно залучати фахівців, які мають відповідні знання та навички в галузі комп'ютерних технологій. З числа спеціалістів - спеціально підготовлених ревізорів, інженерів-програмістів (системний програміст), інженерів-електронників.
Ознаками та умовами несанкціонованого доступу або підготовки до нього можуть виступати такі обставини:
- поява в комп'ютері неправдивих даних;
- неоновлення тривалий час у автоматизованій інформаційній системі кодів, паролів та інших захисних засобів;
- часті збої в процесі роботи комп'ютерів;
- часті скарги користувачів комп'ютерної системи чи мережі на збої в її роботі;
- робота персоналу понад норми робочого часу без поважних на те причин;
- немотивовані відмови окремих співробітників, що обслуговують комп'ютерні системи чи мережі, від відпусток;
- несподіване придбання співробітником у власність дорогого комп'ютера чи іншого дорогого майна ("не по кишені");
- часті випадки перезапису окремих даних без поважних на те підстав;
- надмірний інтерес окремих співробітників до змісту документів (листінгів), що виконуються на принтері (роздруковуються на папері після комп'ютерної (машинної) обробки).
Окремо слід виділити ознаки неправомірного доступу, які стосуються відхилення від встановлених порядку і правил роботи з документами, а саме:
а) порушення встановлених правил оформлення документів, у тому числі виготовлення машинограм (роздрукування на папері інформації з комп'ютерної системи);
б) повторне введення однієї й тієї ж інформації до автоматизованої бази даних;
в) наявність зайвих документів серед тих. що підготовлені для обробки на комп'ютері;
г) відсутність первинних документів, на підставі яких була складена похідна документація, вторинні документи;
д) навмисна втрата, знищення первинних документів та машинних носіїв інформації, викривлення в реєстраційній документації.
Для фактів несанкціонованого доступу до інформації, що стосуються внесення неправдивих відомостей у документи, в автоматизованих системах характерні такі ознаки:
а) протиріччя (логічного або арифметичного змісту) між реквізитами того чи іншого бухгалтерського документа;
б) невідповідність даних, що містяться у первинних документах, даним машинограм та в автоматизованій базі даних;
в) протиріччя між різними примірниками бухгалтерських документів або документами, що відображають взаємопов'язані господарські операції;
г) невідповідність взаємопов'язаних облікових даних у різних машинограмах чи в автоматизованих базах даних;
д) невідповідність між даними бухгалтерського та іншого виду обліку. При цьому слід мати на увазі, що вказані ознаки можуть бути наслідком не лише зловживання, але й інших причин, зокрема випадкових помилок чи збоїв комп’ютерної техніки.
Встановлення місця несанкціонованого доступу
Встановлення місця несанкціонованого доступу до комп'ютерної системи чи мережі викликає певні труднощі, бо таких місць може бути декілька. Наприклад, при встановленні факту неправомірного доступу до інформації в локальній комп'ютерній системі чи мережі слід виявити місця, де розміщені комп'ютери, що мають єдиний телекомунікаційний зв'язок.
Простіше це завдання вирішується у разі несанкціонованого доступу до окремих комп'ютерів, що знаходяться в одному приміщенні. Однак, при цьому необхідно враховувати, що інформація на машинних носіях (дисках, дискетах) може знаходитися в іншому приміщенні, яке теж слід встановлювати.
Складніше встановити місце безпосереднього застосування технічних засобів несанкціонованого доступу, який був здійснений за межами організації, через систему глобальної електронної телекомунікації, наприклад, Internet. Для встановлення такого місця необхідно залучати фахівців, які мають спеціальні прилади та комп'ютерні програмні засоби виявлення несанкціонованого доступу. Встановленню підлягає також місце зберігання інформації на машинних носіях або роздруківок, отриманих у результаті неправомірного доступу до комп'ютерної системи чи мережі.
Встановлення часу несанкціонованого доступу
За допомогою комп'ютерних програм загальносистемного призначення можна встановити поточний час роботи комп'ютерної системи. Це дозволяє за відповідною командою вивести на екран дисплея інформацію про день, години, хвилини та секунди виконання тієї або іншої операції. При вході до системи чи мережі (в тому числі й несанкціонованому) час роботи на комп'ютері будь-якого користувача та час виконання конкретної операції автоматично фіксуються в оперативній пам'яті та відображаються, як правило, у вихідних даних на дисплеї, лістингу, дискеті чи вінчестері.
З урахуванням цього, час несанкціонованого доступу можна встановити шляхом огляду комп'ютера, роздруківок чи дискет. Його доцільно виконувати за участю фахівця в галузі комп'ютерної техніки та технологій - програміста-математика, інженера-електронника. Необережне поводження або дії недосвідченої особи можуть випадково знищити інформацію, яка знаходиться в оперативній пам'яті комп'ютера або на дискеті.
Час неправомірного доступу до комп'ютерної системи можна встановити також шляхом опитування свідків з числа співробітників організації, де було встановлено цей факт. При цьому слід з'ясувати, коли саме кожен з них працював на комп’ютері, якщо це не було зафіксовано автоматично або в журналі обліку роботи на комп'ютері.
Встановлення способу несанкціонованого доступу
Для вчинення таких злочинів застосовуються різноманітні способи, у тому числі:
• використання чужого імені;
• підбирання пароля;
• знаходження й використання прогалин у комп'ютерній програмі;
• інші способи подолання захисту комп'ютерної системи.
Конкретний спосіб несанкціонованого доступу можна встановити:
• шляхом опитування свідків (очевидців) з числа осіб, які обслуговують систему;
• шляхом опитування (якщо це можливо) розробників комп'ютерного програмного забезпечення, технології комп'ютерної системи.
При такому опитуванні з'ясовується:
• яким чином правопорушник міг подолати засоби захисту цієї системи;
• яким чином правопорушник міг дізнатися про ідентифікаційний номер законного користувача, код, пароль доступу;
• з яких можливих джерел правопорушник міг отримати відомості про засоби захисту (наукових публікацій, Іпіегпеї тощо).
Спосіб несанкціонованого доступу може бути встановлений також у ході проведення попередніх досліджень фахівців, експертиз, зокрема інформаційно-технічної, технологічної.
Для з'ясування цих питань експерту надаються такі матеріали:
• проектна документація на систему, що досліджується (якщо така є);
• дані про її сертифікацію;
• інші матеріали на його запит.
При проведенні таких експертиз рекомендується використовувати комп'ютерне обладнання тієї ж системи, до якої проникнув правопорушник, а також такі ж самі спеціальні комп'ютерні програми.
При встановленні способу несанкціонованого доступу до комп'ютерної системи можливе відтворення обстановки і обставин події згідно з КПК України з метою перевірки можливості подолання засобів захисту комп'ютерної системи одним із передбачуваних способів. Його метою може стати й перевірка можливості появи на екрані дисплея інформації з обмеженим доступом або її роздруківка внаслідок помилкових (ненавмисних) дій оператора чи в результаті випадкового технічного збою роботи комп'ютерного устаткування.
Встановлення осіб, що вчинили несанкціонований доступ
Несанкціонований доступ до закритої комп'ютерної системи чи мережі є технологічно складною дією. Її можуть вчинити лише особи, що мають, як правило, достатньо високу кваліфікацію, навички створення комп'ютерних програм, володіють технологією обробки інформації в конкретній галузі тощо.
Підозрілих осіб рекомендується шукати серед працівників організації, яка зазнала несанкціонованого проникнення до її комп'ютерної системи, мережі, а саме:
• серед технічного персоналу організації, в тому числі спеціалістів по ремонту техніки;
• розробників відповідних систем;
• керівного складу організації;
• операторів, адміністраторів автоматизованої системи;
• програмістів, інженерів зв'язку;
• фахівців по захисту інформації;
• охоронців;
• інших осіб, які могли мати або мають доступ до комп'ютерної системи.
Наприклад, у Дніпропетровській області було припинено спробу викрадення грошей шляхом проникнення в банківську електронну систему платежів.
Провідний інженер-програміст Т. регіонального управління одного з банків міста Дніпропетровська, маючи доступ до електронної системи "Тризор" (охоронна система входження в комп'ютерну мережу банку), вступив у злочинну змову із заступником директора А. однієї з комерційних фірм м. Дніпропетровськ з метою розкрадання грошей. Т. скопіював на свою дискету програму "Тризор" і за допомогою комп'ютера з своєї квартири ввійшов у комп'ютерну мережу банку. Сформувавши фіктивний платіж, він вніс його в електронну поштову скриньку електронної пошти для відправки на раніше обумовлений рахунок Дніпропетровської філії "Вік-сервіс". Після зарахування вказаної суми на рахунок "Вік-сервіс" Т. та А. були затримані.
Подібні факти мали місце в Донецькій області та Автономній Республіці Крим.
Практика свідчить, що чим складніший у технічному відношенні спосіб проникнення до комп'ютерної системи чи мережі, тим легше виявити підозрювану особу, оскільки коло фахівців, які володіють відповідними знаннями та здібностями, як правило, досить обмежене.
Встановленню причетності конкретної особи, яка здійснила несанкціонований доступ до комп'ютерної системи, можуть сприяти різноманітні матеріально-фіксовані відображення, що виявляються інколи при огляді комп'ютера та його компонентів. Для цього необхідно:
- зняти відбитки пальців рук у персоналу організації;
- вилучити й дослідити окремі записи, в тому числі на зовнішній упаковці дискет;
- з допомогою спеціаліста та відповідних комп'ютерних програм перевірити записи на дискетах і дисках (вінчестері), стримері (якщо він застосовувався для створення резервних копій даних з вінчестера) тощо.
Можуть призначатися також такі криміналістичні експертизи: дактилоскопічна, почеркознавча, технічна.
Для встановлення осіб, зобов'язаних забезпечувати дотримання режиму доступу до комп'ютерної системи чи мережі, слід, насамперед, ознайомитися з існуючими інструкціями щодо її експлуатації, функціональних прав та обов'язків, що встановлюють повноваження посадових осіб, відповідальних за захист інформації. Після цього слід провести їх опитування (допити).
У ході зазначених дій щодо осіб, які обслуговують комп'ютерну систему, встановлюється таке:
- можливі факти та особи, які здійснювали чи могли здійснити запуск позаштатних комп'ютерних програм;
- чи було це зафіксовано будь-яким засобом (приладами, відповідною комп'ютерною програмою).
Слід також з'ясувати:
- хто має навички створення комп'ютерних програм;
- хто займається створенням комп'ютерних програм;
- хто навчається на курсах створення комп'ютерних програм.
У осіб, які підозрюються в неправомірному доступі до комп'ютерної системи, за наявності достатніх підстав проводиться обшук, у результаті якого можуть бути виявлені:
- комп'ютери (різних конфігурацій), принтери, засоби телекомунікаційного зв'язку з комп'ютерними мережами);
- записні книжки (в тому числі сучасні електронні органайзери) із записами, які можуть служити доказами в справі;
- магнітні носії інформації (диски, дискети, магнітні стрічки), що містять записи, які можуть мати значення в справі.
До відомостей, важливих для слідства, можуть належати записи кодів, паролі, ідентифікаційні номери користувачів конкретної комп'ютерної системи, а також дані про її користувачів.
У ході обшуку слід звертати увагу на літературу, методичні матеріали про комп'ютерну техніку та програмування. Для проведення обшуку та подальшого огляду речових доказів доцільно залучати спеціалісти, який володіє відповідними знаннями і може прочитати інформацію на машинних носіях або в електронній пам'яті вилученого комп'ютера, розшифрувати записи символів, у тому числі на паперових носіях інформації.
Встановлення ступеня провини та мотивів щодо осіб, які вчинили несанкціонований доступ
Причетність осіб до вчинення несанкціонованого доступу можна встановити лише після комплексного аналізу всіх відомих фактів:
- показань свідків, підозрюваних, обвинувачених, потерпілих;
- матеріалів експертиз (інформаційно-технологічних, інформаційно-технічних тощо);
- речових доказів, у тому числі отриманих у результаті обшуку. Також слід з'ясувати:
- з якою метою вчинено несанкціонований доступ до комп'ютерної інформації;
- чи знав правопорушник про систему її захисту;
- чи бажав здолати цю систему навмисно, чи здолав її випадково;
- якщо бажав, то з яких причин і які дії для цього він здійснив;
- інші обставини, що мають значення для встановлення факту несанкціонованого доступу.
Встановлення шкідливих наслідків несанкціонованого доступу
У разі встановлення фактів несанкціонованого доступу до комп'ютерної системи, обов'язково мають бути з'ясовані наслідки та рівень їх небезпеки. Ці факти можуть бути такими:
- розкрадання грошових коштів та матеріальних цінностей;
- розкрадання інформаційних (нематеріальних) цінностей (гудвіл, ноу-хау, секрети виробництва тощо), в тому числі заволодіння комп'ютерними програмами, базами даних та іншою інформацією шляхом вилучення машинних носіїв або копіювання на власні машинні носії інформації;
- перекручення чи знищення інформації;
- знищення носіїв інформації;
- розповсюдження комп'ютерних програмних засобів, призначених для несанкціонованого проникнення в автоматизовану систему;
- розповсюдження технічних (апаратно-програмних) комп'ютерних засобів, призначених для незаконного проникнення в автоматизовану систему;
- розповсюдження технічних (апаратних і програмних) комп'ютерних засобів, здатних спричинити перекручення або знищення інформації;
- розповсюдження технічних (апаратно-програмних) комп'ютерних засобів, здатних спричинити знищення носіїв інформації;
- введення до комп'ютерної системи завідома неправдивої інформації;
- розмір завданої шкоди (матеріальних і моральних збитків);
- інші шкідливі наслідки.
Розмір заподіяних матеріальних збитків встановлюється:
- за допомогою обліково-бухгалтерських працівників організацій;
- у процесі проведення інвентаризації матеріальних цінностей;
- документальною ревізією;
- у ході проведення оперативно-розшукових заходів;
- під час допиту свідків, потерпілих, обвинувачених;
- судово-бухгалтерською, судово-технічною експертизами.
Найбільш поширені наслідки несанкціонованого доступу до комп'ютерних систем можуть бути такими:
- незаконне отримання інформації з обмеженим доступом, її копіювання для некомерційного розповсюдження;
- незаконне отримання комп'ютерної інформації та її розповсюдження з метою продажу, отримання матеріальної вигоди, прибутку з порушенням авторського, патентно-ліцензійного права, права інтелектуальної власності тощо;
- використання з іншими злочинними цілями (наприклад, для збирання компрометуючих матеріалів: на кандидатів у депутати різних органів влади, інформації про конкурентів тощо).
Викрадені копії комп'ютерних програм та автоматизованих інформаційних баз даних можуть бути виявлені шляхом проведення виїмки чи обшуків у підозрюваних, обвинувачених осіб, організацій (юридичних осіб), які отримали їх у винних, а також при проведенні інших оперативно-розшукових та слідчих дій. Копії можуть бути на дискетах, компакт-дисках чи на вінчестері комп'ютера.
Факти незаконної зміни чи знищення інформації, або виведення з ладу комп'ютерного обладнання, чи введення до комп'ютерної системи завідома неправдивої інформації встановлюються, передусім, самими користувачами інформаційної системи або мережі.
Слід мати на увазі, що не всі негативні наслідки настають у результаті навмисних дій правопорушника. їх причиною іноді може стати випадковий збій у роботі комп'ютерного обладнання.
При визначенні розміру шкоди, завданої несанкціонованим доступом, враховуються не лише прямі витрати на ліквідацію її наслідків, але й втрачена вигода, що передбачено цивільним законодавством.
Негативні наслідки неправомірного доступу до комп'ютерної інформації можуть бути встановлені в процесі огляду комп'ютерного обладнання та носіїв інформації (аналізу баз і банків даних), опитування (допитів) технічного персоналу, власників інформаційних ресурсів. Вид та обсяг збитків встановлюються шляхом комплексної експертизи, що проводиться із застосуванням спеціальних знань у галузях інформатики, засобів обчислювальної техніки та зв'язку, економіки, фінансової діяльності, бухгалтерського обліку, товарознавства тощо.