§ 1. Криминалистическая характеристика преступлений в области компьютерной информации

Информация и информационные правоотношения стали новым предметом преступного посягательства и впервые полу­чили уголовно-правовую защиту в УК РФ 1996 г. При этом имеются в виду три вида правонарушений в области компьютерной информации:

неправомерный доступ к компьютерной информации

(ст.272 УК РФ);

создание, использование, распространение вредоносных

программ (ст.273 УК РФ);

•               нарушение правил эксплуатации ЭВМ (ст.274 УК РФ).

Последствиями этих действий для наступления уголовной

ответственности должно являться уничтожение, блокирование, модификация, копирование информации, нарушение работы ЭВМ.

Родовым объектом преступлений в области компьютерной информации являются общественные отношения, связанные с информационными процессами с использованием ЭВМ, их систем и сетей.

Непосредственным объектом посягательства во всех этих слу­чаях является безопасность информационных систем, бази­рующихся на использовании ЭВМ. Как следует из действую­щего законодательства, использование информационных сие-

Компьютерные преступления                        583

тем возможно только с явно выраженного согласия их собст­венников. Любое иное неупорядоченное собственником втор­жение в ЭВМ и на иные машинные носители компьютерной информации извне является неправомерным.

Методика расследования преступлений в области компью­терной информации, используется во всех тех случаях, когда противоправные действия связаны с применением информаци­онных (в том числе — компьютерных) и телекоммуникацион­ных технологий.

Под информацией понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Документированная информация (документ) — это зафикси­рованная на материальном носителе информация с реквизита­ми, позволяющими ее идентифицировать. Компьютерная , ин­формация — документированная информация, хранящаяся в ЭВМ или управляющая ею в соответствии с программой и (или) предписаний пользователя.

Системой ЭВМ называют комплексы, в которых хотя бы одна ЭВМ является элементом системы, либо несколько ЭВМ составляют систему. Сеть ЭВМ — это компьютеры, объеди­ненные между собой линиями (сетями) электросвязи.

К машинным носителям компьютерной информации (см. рис. 27.1) относят устройства памяти ЭВМ, периферийные уст­ройства ЭВМ, компьютерные устройства связи, сетевые уст­ройства и сети электросвязи.

Общими для информационных преступлений являются по­нятия «уничтожение», «блокирование», «модификация», «копи­рование компьютерной информации» и «нарушение работы ЭВМ», впервые введенные УК РФ в 1996 г.

Уничтожением информации называют полную физическую ликвидацию информации или ликвидацию таких ее элементов, которые влияют на изменение существенных идентифицирую­щих информацию признаков.

Блокирование — результат воздействия на ЭВМ и ее элемен­ты, повлекшие временную или постоянную невозможность осуществлять какие-либо операции над компьютерной инфор­мацией.

Модификацией информации называют внесение в нее любых изменений, обусловливающих ее отличие от той, которую

584

Методика расследования отдельных видов преступлений

включил в информационную систему и владеет собственник информационного ресурса. Модификация программ, баз дан­ных допускается только лицами, правомерно владеющими со­ответствующей информацией. Легальному пользователю копи­рование информации на машинные носители разрешено для целей использования информации и для хранения архивных дубликатов. В иных случаях копирование информации без явно выраженного согласия собственника информационного ресурса независимо от способа копирования уголовно наказуемо.

Понятие нарушение работы ЭВМ подразумевает любую не­стандартную (нештатную) ситуацию с ЭВМ или ее устройства­ми, находящуюся в причинной связи с неправомерными дейст­виями, и повлекшую за собой уничтожение, блокирование, мо­дификацию или копирование информации.

Операции, производимые ЭВМ, осуществляются, главным образом, над файлами, которые представляют собой локальный объем информации, имеющий индивидуальные свойства, на­пример, тип информации — текстовая, числовая, графическая, программный код и др.; местонахождение информации — опи­сание месторасположения на временном или постоянном носи­теле и указание типа носителя; наименование — символьное описание названия; размер (объем) хранимой информации (количество страниц, абзацев, строк, слов, символов или бай­тов); время создания, время изменения; атрибуты информации (архивная, скрытая, системная, только для чтения, и др.). Фа­культативными свойствами могут быть: тема, автор (авторы), создавший или изменявший информацию; организация, где она бы­ла создана или изменена; группа, в которую включен данный файл; ключевые слова; заметки автора или редактора (см. рис. 27.1).

При передаче файлов и сообщений (информации) в других формах (в виде сигналов) по системам, например, электросвя­зи, они не теряют своих индивидуальных свойств. К числу но­сителей сведений, составляющих государственную тайну, отно­сятся и физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде сим­волов, образов, сигналов, технических решений и процессов.

■ Способы преступной деятельности. В области компьютер­ной информации способы преступной деятельности могут быть разделены на две  большие  группы.

Компьютерные преступления

585

> Первая группа преступных действий осуществляется без использования компьютерных устройств в качестве инструмента для проникновения извне в информационные системы или воздействия на них. Это могут быть, например;

• хищение машинных носителей информации в виде бло­ков и элементов ЭВМ;

Рис. 27.1. Местонахождение компьютерной информации

использование визуальных, оптических и акустических

средств наблюдения за ЭВМ;

считывание и расшифровка различных электромагнитных

излучений ЭВМ и в обеспечивающих системах;

фотографирование информации в процессе ее обработки;

изготовление бумажных дубликатов входных и выходных

документов, копирование распечаток;

использование визуальных, оптических и акустических

средств наблюдения за лицами, имеющими отношение к

586          Методика расследования отдельных видов преступлений

необходимой злоумышленнику информации и подслуши­вание их разговоров;

осмотр и изучение не полностью утилизированных отхо­

дов деятельности вычислительных центров;

вступление в прямой контакт с лицами, имеющими от­

ношение к необходимой злоумышленнику информации и

получение от них под выдуманными предлогами необхо­

димых сведений и др.

Для таких действий, как правило, характерны достаточно локальная следовая картина, определяющаяся стандартным по­ниманием места происшествия (место совершения преступных действий и местонахождение объекта преступного посягатель­ства находятся вблизи друг от друга или совпадают), и тради­ционные приемы по их исследованию.

> Вторая группа преступных действий осуществляется с ис­пользованием компьютерных и коммуникационных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них.

Характерной особенностью данного вида преступной деятельности является то обстоятельство, что место совершения непосредственно преступных действий и место, где наблюдаются и материализуются их результаты, могут нахо­диться на значительном удалении друг от друга (например, в разных точках земного шара). Это может быть:

а)             неправомерный доступ к компьютерной информации —

получение возможности знакомиться и осуществлять

операции с чужой информацией, находящейся на ма­

шинных носителях, т.е. действия, направленные прежде

всего на нарушение конфиденциальности информации;

б)            изготовление и распространение вредоносных программ,

приводящих к нарушению целостности, или направ­

ленных на нарушение конфиденциальности информа­

ции;

в)             действия, связанные с нарушением порядка использования

технических средств, повлекшие нарушение целостно­

сти и (или) конфиденциальности информации.

Вредоносной программой (ВП) является любая программа, специально разработанная или модифицированная для несанк­ционированного собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ (рис. 27.2).

Компьютерные преступления

587

Действия    с    вредоносными    програм­мами  включают в себя:

постановку задачи;

определение среды существования и цели программы;

выбор средств и языков реализации программы;

написание непосредственно текста программы;

отладка программы;

запуск и непосредственное действие программы.

Рис. 27.2. Классификация и признаки действия вредоносных программ

■ Обстановка совершения преступлений. В сфере компью­терной информации обстановка совершения преступлений ха­рактеризуется рядом существенных факторов. Для нее харак­терно несовпадение места совершения противоправных действий и места наступления общественно-опасных последствий.

588

Методика расследования отдельных видов преступлений

Рассматриваемые преступления совершаются, как правило, в специфически интеллектуальной области профессиональной деятельности и с использованием специализированного обору­дования. Все эти преступления обычно совершаются в условиях различных нарушений установленного порядка работы с ЭВМ, о которых лицам становится известно в ходе их соответствую­щей профессиональной подготовки. Для правонарушителей в данной области обычно достаточно ясен механизм возможных нарушений правил пользования информационными ресурсами и связь с событиями, повлекшими наступление криминального результата.

Существует как минимум два вида правил эксплуатации ЭВМ, которыми должны руководство­ваться в своей деятельности лица, работающие с ЭВМ.

Первый вид правил — инструкции по работе с ЭВМ и ма­шинными носителями информации, разработанные изготови­телем ЭВМ и периферийных технических устройств, постав­ляемых вместе с данным экземпляром ЭВМ. Эти правила обя­зательны к соблюдению пользователем ЭВМ под угрозой поте­ри прав на гарантийный ремонт и обслуживание.

Второй вид правил — это правила, установленные собствен­ником или владельцем информационных ресурсов, информа­ционных систем, технологий и средств их обеспечения, опреде­ляющие порядок пользования ЭВМ, системой ЭВМ и сетью ЭВМ, а также иными машинными носителями информации.

■ Субъекты компьютерных преступлений. Опыт свидетельст­вует, что субъекты компьютерных преступлений могут различать­ся как по уровню их профессиональной подготовки, так и по социальному положению. Преступники нередко владеют навы­ками не только в области управления ЭВМ, но и специальны­ми знаниями в области обработки информации в информаци­онных системах в целом.

Выделяются   следующие   группы   пре­ступников:

хакеры — лица, рассматривающие меры защиты инфор­

мационных систем как личный вызов и взламывающие

их с целью получения контроля за информацией, незави­

симо от ее ценности;

шпионы — лица, взламывающие защиту информационных

систем для получения информации, которую можно ис­

пользовать в целях политического влияния;

Компьютерные преступления

589

террористы — лица, взламывающие информационные

системы для создания эффекта опасности, который мож­

но использовать в целях политического влияния;

корпоративные налетчики — лица, служащие компании и

взламывающие компьютеры конкурентов для экономиче­

ского влияния;

профессиональные преступники — лица, вторгающиеся в

информационные системы для получения личных фи­

нансовых благ;

вандалы — лица, взламывающие системы с целью их раз­

рушения;

нарушители правил пользования ЭВМ, совершающие про­

тивоправные действия из-за недостаточного знания тех­

ники и порядка пользования информационными ресур­

сами;

лица с психическими аномалиями, страдающие новым ви­

дом заболеваний — информационными болезнями или

компьютерными фобиями.

Косвенные признаки постороннего вторжения в ЭВМ, вызывающие подозрения и находя­щие отражение в показаниях очевидцев:

а)             изменения заданной на предыдущем сеансе работы с ЭВМ

структуры файловой системы, в том числе: переимено­

вание каталогов и файлов; изменения размеров и со­

держимого файлов; изменения стандартных реквизитов

файлов; появление новых каталогов и файлов и т.п.;

б)            изменения в заданной ранее конфигурации компьютера, в

том числе: изменение картинки и цвета экрана при

включении; изменение порядка взаимодействия с пе­

риферийными устройствами  (например,  принтером,

модемом и т.п.); появление новых и удаление прежних

сетевых устройств и др.;

в)             необычные проявления в работе ЭВМ: замедленная или

неправильная загрузка операционной системы; замед­

ление реакции машины на ввод с клавиатуры; замед­

ление работы машины с внешними устройствами; не­

адекватные реакции ЭВМ на команды пользователя;

появление на экране нестандартных символов и т.п.

590

Методика расследования отдельных видов преступлений

Группы признаков (а, б) могут свидетельствовать об имев­ших место фактах неправомерного доступа к ЭВМ или о нару­шении правил ее эксплуатации. Признаки группы в, кроме то­го, могут являться свидетельством появления в ЭВМ вредонос­ных программ.

При этом остаются следующие типичные   следы преступной деятельности:

а) на машинных носителях, посредством которых дейст­вовал преступник на своем рабочем месте (рис. 27.3);

Рис. 27.3. Виды следов преступной деятельности в ЭВМ и на машинных носителях, принадлежащих преступнику

Компьютерные преступления

591

б) на «транзитных» машинных носителях, посредством кото­рых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению (рис. 27.4);

Рис. 27.4. Виды следов преступной деятельности на «транзитных» машинных носителях

в)             на машинных носителях информационной системы, в ко­

торую осуществлен неправомерный доступ (рис. 27.5);

г)             возле ЭВМ и на машинных носителях, принадлежащих

потерпевшему (рис. 27.6).

592

Методика расследования отдельных видов преступлений

Компьютерные преступления

593

Рис. 27.6. Виды следов преступной деятельности возле ЭВМ и на машинных носителях, принадлежащих потерпевшему

Выявленные следы позволяют выдвинуть или конкретизи­ровать и начать проверку версий о направленности преступных действий на нарушения целостности и (или) конфиденциаль­ности информации.