§ 3. Тактика отдельных следственных действий

■ Привлечение к расследованию специалистов. Спецификой дел данной категории является то, что с самого начала рассле­дования следователю необходимо плотно взаимодействовать со специалистами в области информационных технологий. Спе­циалисты крайне необходимы для участия в большинстве пер­воначальных следственных действий. Поиск таких специали­стов следует проводить на предприятиях и в учреждениях, осу­ществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследова­тельских организациях. В крайнем случае могут быть привлече­ны сотрудники организации, компьютеры которой подверглись вторжению (при установлении их непричастности к расследуе­мому событию). Большую помощь в расследовании могут ока­зать специалисты зональных информационно-вычислительных центров МВД, ГУВД, УВД субъектов Российской Федерации.

Специалисты   в ходе следственных действий мо­гут   оказать  действенную   помощь   при пред­варительном решении следующих вопросов:

Компьютерные преступления                        597

какова конфигурация и состав ЭВМ и можно ли с помо­

щью этой ЭВМ осуществить исследуемые действия;

какие информационные ресурсы находятся в данной

ЭВМ;

не являются ли представленные файлы с программами,

зараженными вирусом, и если да, то каким именно;

подвергалась ли данная компьютерная информация из­

менению и, если да, то какому именно;

какие правила эксплуатации ЭВМ существуют в данной инфор­

мационной системе и были ли нарушены эти правила;

находится ли нарушение правил эксплуатации ЭВМ в

причинной связи с изменениями данной компьютерной

информации и др.

■ Соблюдение правил работы с компьютерной информацией на машинных носителях. Специфической особенностью рассле­дования дел данной категории является необходимость соблю­дения правил работы с машинными носителями компьютерной информации. При планировании следственных мероприятий, связанных с исследованием компьютерной информации и ма­шинных носителей, необходимо предусмотреть меры нейтрали­зации средств и приемов, предпринимаемых преступниками с целью уничтожения вещественных доказательств. Ими может, например, использоваться специальное оборудование, в крити­ческих случаях создающее сильное магнитное поле, стирающее магнитные записи. Преступник может включить в состав про­граммного обеспечения своей машины программу, которая за­ставит компьютер требовать пароль периодически, и если в те­чение несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся. Следует учитывать и возможность возрастания в ходе обыска напряжения статиче­ского электричества, которое может повредить данные и маг­нитные носители. Желательно иметь с собой и использовать устройство для определения и измерения магнитных полей (например, компас). Вещественные доказательства — машин­ные носители требуют особой аккуратности при транспорти­ровке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность, задымленность (в том числе табачный дым) и запыленность.

Как правильно указывается в методических рекомендациях «Подготовка и назначение программно-технической эксперти-

598          Методика расследования отдельных видов преступлений

зы» (Катков С.А., Собецкий И.В., Федоров А.Л. Бюллетень ГСУ МВД СССР №4, 1995), по прибытии на место проведения следственного действия следует принять меры   к   обес­печению   сохранности   информации   на на­ходящихся здесь машинных носителях. Для этого необходимо:

не разрешать кому бы то ни было из лиц, работающих на

месте производства следственного действия или находя­

щегося здесь по другим причинам (в дальнейшем персо­

налу), прикасаться к работающим ЭВМ;

не разрешать кому бы то ни было выключать электро­

снабжение объекта;

в случае, если на момент начала действия электроснабже­

ние объекта выключено, то до восстановления электро­

снабжения следует отключить от электросети все имеющие­

ся здесь компьютеры и периферийные устройства;

самому следователю не производить никаких манипуля­

ций с ЭВМ, если результат этих манипуляций заранее не

известен;

при наличии в помещении, где находятся ЭВМ или маг­

нитные носители информации, взрывчатых, легковос­

пламеняющихся, едких и токсичных веществ и/или мате­

риалов, как можно скорее удалить эти вещества и/или

материалы в другое помещение;

при невозможности удалить опасные материалы из по­

мещения, где находятся ЭВМ или магнитные носители

информации, а также при непрекращающихся попытках

персонала получить доступ к ЭВМ, принять меры для

удаления персонала в другое помещение.

■ Особенности осмотров, обысков и выемок. Осмотр и обыск (выемка) особенно в начале расследования являются важней­шими инструментами установления обстоятельств расследуе­мого события. При анализе хода и результатов этих действий можно воссоздать механизм действий злоумышленников и по­лучить важные доказательства.

В любом случае изъятия с ЭВМ и машинных носителей ин­формации необходимым условием является фиксация носите­лей и их конфигурации на месте обнаружения, а также упаков­ка, обеспечивающая правильное и точное соединение в лабора­торных условиях или в месте производства следствия с участи­ем специалистов, как на месте обнаружения.

Компьютерные преступления

599

Следует иметь в виду, что конкретная программно-тех­ническая конфигурация позволяет производить с ЭВМ опреде­ленные действия и нарушения конфигурации или отсутствие данных о точной ее фиксации (так же как на месте обнаруже­ния) может повлиять на возможность выполнения на ней не только опытных действий в ходе следствия, но и на оценку в суде возможности совершения преступления. Так, тип про­граммного обеспечения, загруженного в момент следственного осмотра в ЭВМ, может показывать задачи, для которых ЭВМ использовалась. Если, например, имеется программное обеспе­чение для связи, и ЭВМ соединена с модемом, то это явно свидетельствует о возможности данной ЭВМ осуществлять связные функции и доступ к компьютерной информации.

В ходе обнаружения машинных носи­телей информации могут быть две си­туации: носители могут на момент обнаружения работать или не работать. Признаками работающей ЭВМ могут быть подключение ее проводами к сети, шум работающих внутри ЭВМ вентиляторов, мигание или горение индикаторов на пе­редних панелях системного блока, наличие на экране изобра­жения. Если ЭВМ работает, ситуация для следователя, прово­дящего следственное действие без помощи специалиста, суще­ственно осложняется, однако и в этом случае не следует отка­зываться от оперативного изъятия необходимых данных. В этом случае следует:

определить, какая программа выполняется. Для этого не­

обходимо изучить изображение на экране дисплея и по

возможности детально описать его. Иногда можно вывес­

ти изображение экрана на печать нажатием клавиши

PrintScrn. После остановки программы и выхода в опера­

ционную систему иногда при нажатии функциональной

клавиши F3 можно восстановить наименование вызы­

вавшейся последний раз программы;

осуществить фотографирование или видеозапись изобра­

жения на экране дисплея;

остановить исполнение программы. Остановка исполне­

ния многих программ осуществляется одновременным

нажатием клавиш Ctrl-C, либо Ctrl-Break, либо Ctrl-Q.

600

Методика расследования отдельных видов преступлений

Часто для окончания работы с программами следует вве­сти с клавиатуры команды EXIT или QUIT, иногда дос­таточно нажать клавишу Esc или указать курсором на значок прекращения работы программы;

зафиксировать (отразить в протоколе) результаты своих

действий и реакции на них ЭВМ;

определить наличие у ЭВМ внешних устройств-накопи­

телей информации на жестких магнитных дисках (вин­

честера) и виртуального диска;

определить наличие у ЭВМ внешних устройств удален­

ного доступа (например, модемов) к системе и опреде­

лить их состояние (отразить в протоколе), после чего

разъединить сетевые кабели так, чтобы никто не мог мо­

дифицировать или уничтожить информацию в ходе обы­

ска (например, отключить телефонный шнур);

скопировать программы и файлы, хранимые на возможно

существующем «виртуальном» диске, на магнитный но­

ситель;

выключить подачу энергии в ЭВМ и далее действовать

по схеме «компьютер не работает».

Если  ЭВМ  не  работает,  следует:

точно отразить в протоколе и на прилагаемой к нему

схеме местонахождение ЭВМ и ее периферийных уст­

ройств (печатающее устройство, дисководы, дисплей,

клавиатуру и т.п.);

точно описать порядок соединения между собой этих

устройств с указанием особенностей (цвет, количество

соединительных разъемов, их спецификация) соедини­

тельных проводов и кабелей; перед разъединением лю­

бых кабелей полезно осуществить видеозапись или фо­

тографирование мест соединения. Удачным решением

является точная маркировка, например с помощью над­

писанных листочков с липкой поверхностью, каждого

кабеля и устройства, а также порта, с которым кабель со­

единяется перед разъединением. Следует маркировать

каждый незанятый порт как «незанятый»;

разъединить устройства ЭВМ с соблюдением всех воз­

можных мер предосторожности, предварительно обесто­

чив устройства. Следует помнить, что матричные прин­

теры оставляют следы на красящей ленте, которая может

быть восстановлена в ходе ее дальнейшего экспертного

исследования;

Компьютерные преступления        601

упаковать раздельно (указать в протоколе и на конверте

места обнаружения) носители на дискетах, компактные

диски и магнитные ленты (индивидуально или группами)

и поместить их в оболочки, не несущие заряда статиче­

ского электричества;

упаковать каждое устройство и соединительные кабели,

провода для обеспечения аккуратной транспортировки

ЭВМ;

защитить дисководы гибких дисков согласно рекоменда­

циям изготовителя (некоторые изготовители предлагают

вставлять новую дискету или кусок картона в щель дис­

ковода).

Если в ходе осмотра и изъятия все же в крайнем случае по­надобится запуск ЭВМ, это следует делать во избежание запус­ка программ пользователя с помощью собственной загрузочной дискеты.

Более сложной задачей осмотра ЭВМ является поиск со­держащейся в ней информации и следов воздействия на нее. Ее решение всегда требует специальных познаний. Существует фактически два  вида  поиска:

первый — поиск, где именно искомая информация находит­ся в компьютере;

второй — поиск, где еще разыскиваемая информация могла быть сохранена.

Как указывалось ранее, в ЭВМ информация может нахо­диться непосредственно в ОЗУ при выполнении программы, в ОЗУ периферийных устройств и на ВЗУ. Наиболее эффектив­ным и простым способом фиксации данных из ОЗУ является распечатка на бумагу этой информации. Если ЭВМ не работа­ет, информация может находиться на машинных носителях, других ЭВМ информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ. Детальный осмотр файлов и структур их расположения (которые сами по себе могут иметь существенное доказательственное значение, отражая группи­ровку информации) целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники изъятых машинных носителей, а их копии.

Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная ин-

602

Методика расследования отдельных видов преступлений

формация. При обнаружении файлов с зашифрованной ин­формацией или требующих для просмотра стандартными про­граммами ввода паролей, следует направлять такие файлы на расшифровку и декодирование соответствующим специалистам. Периферийные устройства ввода-вывода могут так же некото­рое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы специальные познания. Так же как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе ос­мотра выводить на печатающие устройства и хранить на бу­мажных носителях в виде приложений к протоколу осмотра. Изъятие данных в «почтовых ящиках» электронной почты мо­жет при необходимости осуществляться по правилам наложе­ния ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу поч­тового узла, где находится конкретный «ящик».

В ходе осмотров по делам данной категории могут быть об­наружены и изъяты следующие виды   важных  доку­ментов,    которые   могут   стать   вещест­венными доказательствами по делу:

носящие следы совершенного преступления — телефонные

счета, телефонные книги, которые доказывают факты

контакта преступников между собой, в том числе и по

сетям ЭВМ, пароли и коды доступа в сети, дневники

связи и пр.;

со следами действия аппаратуры — всегда следует искать

в устройствах вывода (например, в принтерах) бумажные

носители информации, которые могли остаться внутри

них в результате сбоя в работе устройства;

описывающие аппаратуру и программное обеспечение (пояс­

нение к аппаратным средствам и программному обеспе­

чению) или доказывающие нелегальность их приобретения

(например, ксерокопии описания программного обеспече­

ния в случаях, когда таковые предоставляются изготови­

телем);

нормативные акты,  устанавливающие правила работы

с ЭВМ, регламентирующие правила работы с данной

ЭВМ, системой, сетью, доказывающие, что преступник

их знал и умышленно нарушал; личные документы по­

дозреваемого или обвиняемого и др.

Компьютерные преступления        603

Не следует забывать при осмотрах и обысках о возможно­стях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах и др., рукописных, в том числе шифрованных записей и пр. В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследо­вания может возникнуть необходимость в назначении крими­налистической экспертизы для исследования документов. Дак­тилоскопическая экспертиза позволяет выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук прича­стных к делу лиц.

■ Особенности допросов причастных к делу лиц. Основ­ные   тактические   задачи   допроса   при рас­следовании дел рассматриваемой категории являются:

выявление элементов состава преступления в наблюдав­

шихся очевидцами действиях;

установление обстоятельства, места и времени соверше­

ния значимых для расследования действий, способа и

мотивов его совершения и сопутствующих обстоятельств,

признаков внешности лиц, участвовавших в нем;

определение предмета преступного посягательства;

определение размера причиненного ущерба;

детальные признаки похищенного;

установление иных свидетелей и лиц, причастных к со­

вершению преступления.

Первичное обнаружение признаков неправомерных дейст­вий посторонних лиц с компьютерной информацией осуществ­ляется, как правило, сотрудниками собственника информаци­онной системы и ее пользователями. Описание этих признаков может найти отражение в показаниях очевидцев.

Для расследования дел данной категории важно хорошо подготовиться к предстоящим допросам. Целесообразно со­брать максимально возможную в имеющемся у следствия про­межутке времени информацию о допрашиваемом лице. Для этого целесообразно обеспечить получение данных о нем с места жительства, учебы, работы, досуга. Источниками сведе­ний могут быть налоговые инспектора, работники милиции по месту жительства, коллеги по работе, соседи, знакомые. Важ­ные данные могут быть получены из личных дел по месту рабо-

604

Методика расследования отдельных видов преступлений

ты. Из централизованных учетов могут стать известны сведения о судимости и данные из архивных уголовных дел. В ходе такой подготовки могут быть выяснены сведения о состоянии здоро­вья и психики допрашиваемого, наличии у него специальных и профессиональных навыков и другие существенные данные.

Настойчивый поиск данных о личности допрашиваемого обычно приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию, а также дает основание для отнесения лица к соответствующей референтной группе, обобщенное мнение которой может быть использовано для правомерного психологического воздействия при допросе. Эти данные позволят сделать допрос более эффективным.

Проблемой фиксации показаний по делам о преступлениях в области компьютерной информации является их «перегрузка» специальной терминологией и жаргонной лексикой. Целесооб­разно в протоколах более подробно акцентировать внимание и фиксировать значения терминов, используемых допрашивае­мым при описании известных ему фактов. При описании кон­фигураций систем или схем движения информации могут ока­заться крайне полезными рукописные схемы, составляемые допрашиваемым и приобщаемые к протоколу допроса.

При расследовании данной категории дел осуществляются и иные следственные действия (опознание, очная ставка и т.п.). Тактика их проведения определяется с учетом конкретных об­стоятельств дела и характеристики лиц — непосредственных участников этих следственных действий. Существенной специ­фикой отличается, конечно, назначение и проведение экспер­тиз. По этой категории дел зачастую назначаются криминали­стические экспертизы (техническое исследование документов, почерковедческая, дактилоскопическая и др.), однако наиболее характерна и специфична — программно-техническая экспертиза, назначаемая в целях исследования компьютеров, их комплектую­щих, периферийных устройств и программного обеспечения.

Процесс накопления эмпирических данных о способах рас­следования преступлений в области компьютерной информа­ции продолжается. Личная инициатива следователя в примене­нии многообразия предлагаемых криминалистикой тактических приемов и аккуратность работы с вещественными доказатель­ствами — залог успешного расследования.