11. ОСНОВНЫЕ НАПРАВЛЕНИЯ ИСПОЛЬЗОВАНИЯ СОВРЕМЕННЫХ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ В РАСКРЫТИИ И РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ

11.1. Использование универсальных программных средств при раскрытии и расследовании преступлений

Повышение эффективности работы правоохранительных органов по раскрытию и расследованию преступлений в настоящее время невозможно без интеграции в криминалистику новых информационных технологий, в первую очередь связанных с персональными компьютерами (ПК). Ничем не уступая по функциональным возможностям своим предшественницам - большим и малым ЭВМ, персональные компьютеры обладают рядом несомненных преимуществ: относительно низкая стоимость и высокая степень надежности, компактность и малое потребление энергии, что позволяет внедрять их буквально на каждое рабочее место, как автономно, так и включенными в локальные информационные сети или в качестве терминалов больших и средних ЭВМ. Для удобства в обмене информацией органы внутренних дел России оснащаются однотипными ПК, совместимыми с компьютерами фирмы «IBM».

При раскрытии и расследовании преступлений может использоваться как универсальное, так и специальное программное обеспечение. Универсальные програм-м ы общего назначения не только повышают производительность труда и эффективность работы по раскрытию и расследованию преступлений, но и поднимают ее на качественно новый уровень. К ним относятся:

392

> Системы подготовки текстов или текстовые процессоры, которые предназначены для написания и редактирования документов. Диапазон таких систем очень широк – от простых экранных редакторов до сложных тестовых процессоров, предоставляющих пользователям различные интеллектуальные услуги. Наиболее распространенными являются программы Microsoft Word, Лексикон, и др. Практически любой документ, который ранее готовился на пишущей машинке, может быть создан с помощью текстового редактора и распечатан. Обработка текстовых материалов на компьютере выполняется не только быстрее и качественнее, чем на пишущей машинке, но и позволяет редактировать готовый текст, монтировать новый документ из имеющихся фрагментов, с помощью ключевых слов быстро находить в тексте нужные разделы, корректировать орфографию, вводить в текст графическую информацию и многое другое.

> Системы редактирования изображений, которые предназначены как для подготовки иллюстраций к протоколам следственных и судебных действий, так и для осуществления криминалистических исследований. Наиболее распространенными являются программы Adobe Photoshop, Corel Draw и другие.

> Универсальные программы управления базами данных осуществляют переработку большого количества однотипной информации, ее систематизацию и выборку по нужным признакам. Примером простейшей базы данных является автоматизированная записная книжка или картотека, которые могут создаваться с помощью пакетов программ, работающих на базе операционной системы Windows 98. Выбранные или вновь созданные карточки (или рубрики записной книжки) можно читать, стирать и вносить в них дополнительную информацию. Они размещаются по какому-либо признаку например, по ключевым словам, по датам, по буквам алфавита. Таким образом, например, создают автоматизированный график работы и в определенное время получают напоминания о намеченном деле.

> Электронная таблица – это электронный бланк, в ячейки которого можно заносить не только текстовые

393

символы, но и математические формулы, а расчеты производятся автоматически. Особенно это удобно, если при расследовании необходимо проверить точность заполнения финансовых документов, суммировать большое количество чисел. Вводить исходные данные в электронную таблицу легче и быстрее, чем делать то же на бумаге. Возможно также задавать зависимость одних величин от других; при изменении значения в одной из ячеек происходит автоматическая замена значений в других, связанных с ней, ячейках; сформированная электронная таблица сразу же становится документом, который может многократно использоваться, легко модифицироваться, и выводиться на печать в нужном числе экземпляров. Поскольку общераспространенной в Российской Федерации стала операционная среда Windows, то наиболее часто используется электронные таблицы, построенные на основе Microsoft Excel.

> Программы распознавания текстов вводимых со сканеров типа ABBYY Fine Reader, например Fine Reader 4.0 Professional и другие. Использование сканеров при подготовке документов существенно сокращает трудозатраты, связанные с машинописными работами, а также позволяет монтировать новый текст из имеющихся частей.

11.1.1. Автоматизация криминалистических учетов

Рациональное использование криминалистически значимой информации с учетом ее объема и многообразия возможно только в рамках информационно-поисковой системы, обеспечивающей накопление, обработку, хранение и поиск такой информации. Эту систему принято называть системой криминалистической регистрации1. Она складывается из подсистем, называемых криминалистическими учетами, которые отличаются друг от друга учитываемыми данными (виды учетов). Компьютеризация существенно повышает оперативность и эффективность криминалистических информационно-поисковых систем (ИПС), увеличивает их функциональные возможности.

1 Криминалистика: Учебник для вузов / Под ред. Р. С. Белкина. – М НОРМА, 1999.

394

Накопление и обработка информации для оперативно-справочных учетов осуществляется в Главном информационном центре (ГИЦ) МВД РФ в Федеральном банке криминальной информации (ФБКИ) и в информационных центрах (ИЦ) МВД, ГУВД, УВД - в Региональных банках криминальной информации (РБКИ) с помощью поэтапно внедряемых специализированных ИПС. ФБКИ и РБКИ представляют собой единую информационную структуру, являющуюся одним из основных компонентов информационно-вычислительной сети общего пользования органов внутренних дел (ИВС ОВД).

В централизованном автоматизированном учете особо опасных (квалифицированных) преступников (рецидивисты, гастролеры, организаторы преступных групп, авторитеты уголовной среды) накопление и обработка информации осуществляется с помощью системы «Досье», которая информационно связана с централизованной фототекой (фотографии лиц, поставленных на учет) и видеотекой (видеозаписями лиц). Постановка лиц на учет осуществляется в соответствии с криминальной специализацией: террорист; убийца; грабитель; автоугонщик; насильник; рэкетир; вымогатель; взяточник; сутенер; содержатель притонов; расхититель; фальшивомонетчик; вор; мошенник; сбытчик наркотиков и т.д.

Другим важнейшим оперативно-справочным учетом является дактилоскопический учет. Одним из существенных факторов, предопределяющих успех и эффективность применения дактилоскопии в раскрытии и расследовании преступлений, является уровень ее информационного обеспечения. В настоящее время информационные массивы дактилоскопических карт, хранящихся в информационных центрах и экспертно-криминалистических подразделениях ОВД уже настолько велики, что проверка по дактилоскопическим учетам практически невозможна без использования современных компьютерных технологий. Для ведения систем дактилоскопической регистрации в России используется несколько программно-технических комплексов – автоматизированных дактилоскопических информационных систем (АДИС) на базе серийных ПК и устройств ввода изображения со сканеров или телекамер.

395

I

Основу работы любой АДИС составляет сопоставление пар сравниваемых дактилоскопические изображений (дактилокарта - дактилокарта или дактилокарта - след). При этом даже самая совершенная АДИС будет допускать ошибки1.

Надежность АДИС оценивается как процент правильно найденных пар, причем хорошим показателем считается 70–95%. Процент лишних, неверно определенных пар, передаваемых для ручного просмотра, определяет точность (или избирательность) системы. Хорошим показателем для АДИС считается точность 0,005%.

Надежность и точность являются основными параметрами АДИС, определяющими ее реальную эффективность. Они взаимосвязаны друг с другом: с улучшением одной обязательно ухудшается другая. Подбирая параметры решающего правила, можно изменить соотношение надежности и точности, причем при фиксированном комплексе признаков невозможно одновременно улучшить оба этих параметра.

Лучшими АДИС являются, например: зарубежные MQRFO, NEC или отечественные «Папилон», используемый в ГИЦ и ИЦ МВД России, и «УЗОР-3», который в настоящее время эксплуатируется в ЭКУ ГУВД г. Москвы. Система «Папилон» предназначена в основном для сравнения дактилокарт, а на базе АДИС «Узор» ведется картотека следов пальцев рук, изъятых с мест нераскрытых преступлений (дактилоскопическая следотека). Сле-дотека формируется по следующим видам преступлений: убийства, грабежи и разбойные нападения, кражи из квартир, кражи и угоны автотранспорта.

АДИС «Узор-3» работает достаточно эффективно, однако в ней не предусмотрены некоторые необходимые функции, например, введение и использование для идентификации следов ладоней, которые составляют примерно 10% от всех следов рук на местах происшествий.

В настоящее время на смену АДИС «Узор-3» приходит новая более мощная АДИС фирмы COGENT INC,

1 См. Л.Г. Эджубов. Статистическая дактилоскопия. Городец, 1999. 396

М.:

которой оснащаются экспертно-криминалистические подразделения г. Москвы, Московской области, а впоследствии и города в зоне Золотого кольца. Программное решение данной АДИС основано на передовых методах обработки изображений, включая специальные алгоритмы нейронных сетей и математики нечетких множеств, адаптировано для использования различных баз данных – «ORACLE», «Informix» и имеет удобный графический интерфейс на русском языке.

Программное обеспечение обработки следов обладает отличительными свойствами, позволяющее значительно облегчить работу: возможность использования различных сервисных функций для определения отдельных деталей папиллярного узора; возможность создания на экране трехмерных изображений папиллярных узоров; разделение изображений наложенных следов; обработка следов, имеющих масштаб, отличный от масштаба 1:1; автоматическая оценка качества изображения следа и иные возможности.

Программно-технический комплекс АДИС позволяет вводить изображения следов, выполненных в виде фотографических репродукций, с дактилоскопических пленок и непосредственно с предметов, изъятых с мест нераскрытых преступлений. Кроме этого, изображения следов и отпечатков могут быть преобразованы в наиболее распространенные графические форматы представления данных (TIFF, GIF, PCX и т.д.). Аналогично, система может обрабатывать импортированные изображения следов и отпечатков в указанных графических форматах. Et состав АДИС также включены программные компоненты для обеспечения взаимодействия с другими базами данных криминальной и учетной информации. Программное обеспечение от фирмы «Cogent» имеет уникальную разработку в части ввода и обработки ладонных поверхностей рук. Данные возможности отсутствуют у других АДИС.

В составе АИС «Криминал-И», которая используется для ведения учета правонарушений и преступлений, совершенных иностранными гражданами, ЛБГ и гражданами России, постоянно проживающими за границей, функционируют пять подсистем:

397

• «Административная практика» (Адмпрактика);

• «Преступление»;

• «Дорожно-транспортное происшествие» (ДТП-И);

• «Розыск»;

• «Наказание».

Подсистема «Адмпрактика» предназначена для обеспечения в автоматизированном режиме сотрудников заинтересованных служб необходимой информацией о фактах административных правонарушений, допущенных иностранцами .и лицами без гражданства (ЛБГ) на территории России.

Подсистема «Преступление» предназначена для создания информационного фонда, поиска и выдачи оперативно-справочной и аналитической информации об иностранцах и ЛБГ, совершивших преступления, а также иностранцах и ЛБГ, в отношении которых совершены преступления на территории России.

Подсистема «ДТП-И» позволяет собирать, обрабатывать, хранить и выдавать оперативно-справочную и аналитическую информацию об иностранцах и ЛБГ – участниках дорожно-транспортных происшествий (ДТП) на территории России.

Подсистема «Розыск» предназначена для информационного обеспечения заинтересованных служб оперативно-справочной и аналитической информацией об иностранцах и ЛБГ, находящихся в розыске и разысканных. Эта подсистема не изменяет существующий в настоящее время порядок информирования об их розыске, а лишь в целях оперативности дополняет его автоматизированным контуром.

Подсистема «Наказание» обеспечивает автоматизированный пофамильный учет иностранцев и ЛБГ и предназначена для сбора, обработки, поиска и выдачи оперативно-справочной и аналитической информации об иностранцах и гражданах России, постоянно проживающих за границей, находящихся под следствием, арестованных или отбывающих наказание на территории Российской Федерации.

Учет похищенных предметов антиквариата и культурных ценностей осуществляется с помощью системы

398

«Антиквариат». Учет похищенных и изъятых документов общегосударственного обращения и номерных вещей ведется с помощью систем «Номерная вещь» и «Документ». Учет разыскиваемого и бесхозного автотранспорта ведется в рамках АИПС «Автопоиск» ФБКИ и РБКИ и АИПС «Розыск» (ГУГАИ МВД России).

Параллельно с ФБКИ продолжается эксплуатация универсальной системы автоматизированных банков данных (АБД), которая функционирует в двух уровнях: общесоюзном (АБД «Центр» в ГИЦ МВД РФ) и региональном (АБД «Республика-Область» в ИЦ МВД УВД). АБД включает сведения: об особо опасных рецидивистах, лицах, осужденных к лишению свободы за тяжкие преступления; нераскрытых преступлениях; номерных вещах; предметах антиквариата; похищенном и угнанном автотранспорте; огнестрельном оружии, боеприпасах, взрывчатых веществах; наркотических веществах.

Все эти сведения размещаются на четырех типах информационно-поисковых карт: ИПК ПЭ – на поду-четное лицо; ИПК НП - на нераскрытое преступление; ИПК-В – на вещь; ИПК-Р – на оружие. Система АБД дает возможность комплексной обработки данных на основе современной информационной технологии, но, к сожалению, в ней из-за универсальности весьма ограничено и фрагментарно представлена собственно криминалистически значимая информация.

Этот недостаток отсутствует в криминалистических информационных системах (КАИС), нацеленных на решение сравнительно узкого круга задач, а следовательно, на более детальное их информационное обеспечение. К ним относятся системы, обслуживающие ряд криминалистических учетов, в частности для учета гильз – «Гильза», поддельных денежных билетов – «Девиз-М», или поддельных рецептов на наркотические средства - «Рецепт». К этому же типу относится КАИС, предназначенные для раскрытия многоэпизодных уголовных дел, например, «Сейф», служащая для информационного обеспечения расследования и раскрытия преступлений, связанных с хищениями из металлических хранилищ. Следует, однако, отметить, что, поскольку система криминалистической регистрации существенным образом зависит

399

от особенностей преступной деятельности, необходимые виды учетов и, соответственно, КАИС в настоящее время видоизменяются. Так последние два вида учетов в настоящее время утратили свою актуальность.

Поскольку справочно-вспомогательные учеты тесно связаны с экспертными исследованиями, проблемы их автоматизации будут рассмотрены в следующем параграфе.

11.1.2. Компьютеризация судебной экспертизы

Проблемы автоматизации процесса судебно-экспертного исследования рассматривались в криминалистической литературе с середины 60-х годов. К тому же времени относится начало дискуссии о способности машины вытеснить или заменить эксперта-человека. Эта дискуссия широко велась тогда в различных областях знания, как теоретических, так и прикладных, и криминалистика, разумеется, не явилась исключением. Хотя никто из известных криминалистов не утверждал, что ЭВМ вытесняет или способна вытеснить, заменить эксперта-человека, однако ни одна работа по вопросам применения кибернетики в криминалистике и судебной экспертизе не обходилась без настойчивых утверждений, что разработанный метод или предлагаемая методика использования ЭВМ ни в коей мере не заменит человека.

Дальнейшее развитие информационных технологий, создание систем гибридного и искусственного интеллекта показало, что как единое целое проблема противопоставления человека и компьютерных интеллектуальных систем является надуманной и распадается на многочисленные подчиненные проблемы. Лидирующее положение эксперта в первую очередь связано с его неформальным знанием. В связи с этим остановимся на некоторых аспектах сопоставления человека и компьютерных интеллектуальных систем.

1. Человек – это целеполагающий субъект, в то же время в вопросах определения целей компьютерная интеллектуальная система вряд ли заменит человека в обозримом будущем.

2. Человек, пользуясь методами системного анализа, из глобальных целей выделяет подцели и ставит кон-

400

I

кретные задачи. Современные системы искусственного интеллекта в ряде случаев могут разрабатывать дерево целей при детально формализованной глобальной цели.

3. Человек разрабатывает методы решения конкретных задач. Эксплуатация компьютерных интеллектуальных систем при правильно поставленной задаче позволяет разрешать некоторые из них в автоматическом режиме, д также в ряде случаев автоматизировать разработку необходимого для этого инструментария.

4. Человек, используя вышеуказанные методы, обрабатывает конкретные данные, приходит к конкретным выводам и способен их оценить. Компьютерная система также может применять данные методы для решения вопроса. Однако, поскольку критерии оценки обычно очень плохо формализованы, а кроме того являются внешними по отношению к задаче, оценка выводов для компьютерных систем представляет особенно трудную задачу1.

В этой связи уместно отметить, что в контексте общей теории принятия решений при рассмотрении интерактивной деятельности человека и ЭВМ принято полагать принятие конкретного решения и его оценку прерогативой человека, несущего ответственность за это, поскольку принимая решение он не всегда может выделить и формализовать мотивы, по которым это делает. На долю же компьютера остается техническая поддержка принимаемых решений, оценка множества альтернатив, отбраковка заведомо непригодных решений (например, по соображениям недостаточности ресурсов или заведомо низким критериальным оценкам) и тому подобные рутинные операции.

Таким образом итогом дискуссии явился вывод, что человек и системы искусственного интеллекта должны не взаимно исключать, а взаимно дополнять друг. Человек ставит глобальную цель, разрабатывает ее решение с помощью компьютерных систем, а интеллектуальные сис-

1 Рассматривая деятельность систем искусственного интеллекта в семиотическом смысле можно показать, что оценка полученных результатов выходит за рамки синтаксиса и семантики и относится скорее к сфере прагматики, внешней по отношению к деятельности системы, поэтому ее трудно реализовать в рамках самой системы, хотя она в принципе может осуществляться системой более высокого уровня

14 Информатика и математика            ЛЛ\

для юристов              *tvJ.

темы позволяют исключить субъективные ошибки человека, сократить до минимума рутинные операции.1

В настоящее время мы переживаем второй этап информатизации судебной экспертизы, когда интеграция в нее новых информационных технологий идет по нескольким магистральным направлениям, при развитии каждого из которых возникают свои специфические проблемы. Эти проблемы носят прежде всего технологический характер и не могли быть решены на первом этапе из-за недостаточного развития средств вычислительной техники. Рассмотрим эти направления.

> Прежде всего компьютерная техника используется для автоматизации сбора и обработки экспериментальных данных, получаемых в ходе физико-химических; почвоведческих, биологических и других исследований методами хроматографии, масс-спектрометрии, молекулярной спектроскопии, рентгеноспектрального, рентгеноструктурно-го, атомного спектрального и других видов анализа2. Такое оборудование в большинстве случаев представляет собой измерительно-вычислительные комплексы, смонтированные на базе приборов и ПК, что позволяет не только освободить эксперта от утомительной рутинной работы, сокра-

1 См., например, Попов Э.В Экспертные системы: решение неформализованных задач в диалоге с ЭВМ. – М.: Наука, 1987.; Макаров ИМ. и др. Теория выбора и принятия решений. – М/ Наука, 1982.

2 См., например, Соколов ME. Использование жидкостного хроматографа с автоматизированной системой обработки информации «Милихром-1» в анализе наркотиков кустарного изготовления // Экспертная практика, 1992, № 32 - С. 53-54; Далпакян П.Б. Применение программного комплекса «ГАЗХРОМ» при исследовании материалов, веществ и изделий хромато-графическими методами // Использование математических методов и ЭВМ в экспертной практике. - Сб. науч тр. ВНИИСЭ МЮ СССР. - М., 1989; Аграфенш А.В. Определение дистанции выстрела из огнестрельного оружия методом эмиссионного спектрального анализа с помощью многоканальных оптических регистраторов на линейных приборах с зарядовой связью // Экспертная практика, 1993, № 36. - С. 34–37; Российская Е.Р. Автоматизация рентгенофазо-вого анализа минерального состава бумаги на основе пакета прикладных программ «РЕНТГЕН-ЭКС» // Экспертная практика и новые методы исследования. - М., 1991, № 2; Воскерчян Г.П., Купцов А.Х. Опыт использования микропроцессорной техники и ЭВМ при проведении физико-химических исследований // Использование математических методов и ЭВМ в экспертной практике. - Сб. науч. тр. ВНИИСЭ МЮ СССР, 1989.

402

тить время анализов, повысить их точность и достоверность, что особенно необходимо в количественных исследованиях, но и расширить возможности методов. Если раньше результаты экспериментальных анализов фиксировались самописцами на диаграммной ленте, то сейчас вся информация поступает непосредственно в ПК, далее происходит обсчет спектрограммы, определение координат пиков, вычисление их площадей, разделение пиков, которые наложились друг на друга и пр. Для анализа используются, так называемые, внутренние технологические банки данных, которые содержат либо наборы специфических физико-химических параметров, характеризующих вещества и материалы, либо спектрограммы объектов, записанные непосредственно на магнитных носителях.

> Одним из условий интенсификации процесса экспертного исследования, повышения его результативности является своевременное и полное обеспечение эксперта необходимой справочной информацией, поэтому вторым направлением внедрения компьютерных технологий в экспертную деятельность является информационное обеспечение экспертных исследований, под которым мы понимаем создание банков данных и автоматизированных информационно-поисковых систем (АИПС) по конкретным объектам экспертизы, которые функционируют в основном на базе ПК и используют возможности компьютера по накоплению, обработке и выдаче в соответствии с запросами больших массивов информации1. Помимо этого направления Л.Г. Эджубов выделяет еще одно, также связанное с информационным обеспечением судебной экспертизы, посвященное информационному обеспечению различного рода управленческой, научной, дидактической деятельности2.

В настоящее время созданы и функционируют, например, следующие АИПС и базы данных по конкретным объектам судебной экспертизы, а именно: «Метал-

1 Российская Е.Р. Использование ЭВМ для оптимизации формы и содержания заключения эксперта // Вопросы теории криминалистики и экспертно-криминалистические проблемы – Сб науч. тр. ВНИИ МВД СССР - М., 1990.

2 Эджубов Л.Г. Основные направления использования компьютерных технологий // Межд. конф. «Автоматизация правоохранительных систем» – М., 1993.

14*               403

лы» – сведения о металлах и сплавах, «Фарные рассеива-тели», «Марка» – характеристики автоэмалей, «Волокно» – признаки текстильных волокон, «Истевол» – сведения о красителях для текстильных волокон, «Бумага» – для установления вида бумаги, ее назначения, предприятия-изготовителя, «Помада» – сведения о составах различных губных помад, включая номер тона и фабрику-изготовительницу, «ТоксЛаб» – сведения о наркотических, лекарственных соединениях и их метаболитах, «Модели оружия» – описания огнестрельного оружие промышленного производства и многие, многие другие. Все эти АИПС создаются либо непосредственно в судебно-экспертных учреждениях, либо в рамках «большой науки» и приспосабливаются к нуждам судебной экспертизы1.

Названные АИПС могут работать отдельно и совестно с измерительно-вычислительными комплексами, когда процесс исследования регистрируется ПК, полученные первоначальные результаты автоматически обрабатываются с применением внутренних технологических банков данных и далее запускается АИПС с целью решения конкретной экспертной задачи. Например, банк данных «Помада» в сочетании с пакетом прикладных программ «РЕНТГЕН-ЭКС», предназначенным для сбора и обработки дифрактометриче-ских данных, позволил за три недели произвести исследование 13 000 пеналов губной помады, выделить в этой партии несколько групп: изготовленные на фабрике «Рассвет», кустарно, но с соблюдением технологии и без соблюдения рецептур, а также установить, что в последнюю группу вместо пигментов добавлялись крем для обуви и мастика для пола2.

Для решения вопросов взрывотехнической экспертизы разработаны информационно-поисковые системы по взрывчатым веществам гражданского и военного назначения (более 100 наименований), порохам и пиротехническим составам,

1 См., например, Даллакян ПБ. и др. Классификатор морфологических признаков и база данных отечественных и зарубежных лекарственных препаратов // Межд. симп. «Актуальные проблемы криминалистических исследований и использование их результатов в практике борьбы с преступностью». - М., 1994; Российская Е.Р. Рентгенострук-турный анализ в криминалистике и судебной экспертизе. - Киев, 1992.

2 Кошелева Л.И., Российская Е.Р. Экспертное исследование губных помад. - М., 1990.

404

промышленным средствам взрывания, боеприпасам.1 Данные системы позволяют быстро определить состав, марку или группу взрывчатых веществ по одному или нескольким показателям, полученным в результате физико-химического анализа, дают эксперту возможность установить полный перечень свойств как взрывчатого вещества, так и его компонентов, вид (марку) средства взрывания или боеприпаса.

В Российском Федеральном центре судебной экспертизы созданы банки данных «Модель оружия – гильзы», «Модель оружия – пули» и «Патроны – пули», содержащих информацию о более чем 1000 моделей огнестрельного оружия отечественного и зарубежного производства.2 Для решения поисковых задач по заданным параметрам в указанных банках данных разработаны программы «Установление модели оружия по следам на стреляных гильзах патрона 5,6 мм кольцевого воспламенения», «Определение модели оружия по следам на выстреленной пуле», «Идентификация нарезного оружия по следам на выстреленной пуле».

Широкое применение в экспертной практике находят банки данных, имеющиеся в смежных областях науки и техники, адаптированные для решения задач судебной экспертизы, например, система, организованная на основе комплекса программ «БИРСИ» фирмы «БРУКЕР» (Германия) и библиотеки из 5000 ИК-спектров и многие другие.

> Третье направление – это системы анализа изображений, которые позволяют осуществлять диагностические и идентификационные исследования, например, почерковедческие (сравнение подписей), дактилоскопические (сравнение следов рук между собой и следа с отпечатком на дактилокарте), трасологические (например,

1 См., например, Кондратьев В.В. Возможности автоматизации решения задач по взрывотехнической экспертизе // Межд. конф. «Информатизация правоохранительных систем». – М., 1993; Лимонов В.Н., Прозоров А.А. Информационно-методическое обеспечение экспертно-криминалистического исследования инженерных боеприпасов // Межд. конф. «Информатизация правоохранительных систем». - М., 1999 и др.

2 Горбачев И.В. и др. Автоматизированная система информационного обеспечения судебно-баллистической экспертизы «БАЛЭКС» // Межд. конф. «Информатизация правоохранительных систем». - М., 1994; Талис Л.Д. и др. Разработка автоматизированной информационно-поисковой системы «Пули» // Межд. конф. «Информатизация правоохранительных систем». – М., 1999.

405

I

по следу обуви установить ее внешний вид), баллистические, портретные (реконструкция лица по черепу или фотосовмещение изображения черепа и фотографии), составление композиционных портретов («Фоторобот») и другие. Некоторые из этих систем используются и для целей криминалистической регистрации («Узор», «Папилон» и др.)1.

В течение последних двадцати лет основные усилия по использованию вычислительной техники в экспертных исследованиях были направлены именно на развитие этого направления. Однако оно оказалось одним из наиболее сложных. В настоящее время это направление интенсивно развивается по линии использования стандартного программного обеспечения и, в первую очередь, программ редактирования изображения. Например, программа Adobe Photoshop эффективно используется для решения идентификационных задач в трасологии.2

> Четвертым направлением использования информационных технологий в экспертизах и исследованиях являются программное комплексы либо отдельные программы выполнения вспомогательных расчетов по известным формулам и алгоритмам, которые необходимы в первую очередь в инженерно-технических экспертизах, например, для моделирования условий пожара3 или взрыва4 в

1 Собко Г.М. Основы применения математических методов в су-дебно-почерковедческой экспертизе. – М.,1980; Орлова В.Ф., Сахарова Н.Г. Применение математических методов и ЭВМ - основные задачи автоматизации в судебно-почерковедческой экспертизе // Использование математических методов и ЭВМ в экспертной практике: Сб. науч. трудов ВНИИСЭ – М., 1989. Теоретические и методические основы судебно-баллистической экспертизы. - М., 1984; Викарук А.Я. Основные направления применения математических методов и ЭВМ в некоторых родах судебной экспертизы.: Тр. ВНИИСЭ. - М., 1987; Российская Е.Р. Криминалистическая регистрация: Курс лекций по криминалистике ЮИ МВД РФ. - Вып. 5. - М., 1996.

2 Швец С.В., Покровский С.В. Использование программы Adobe Photoshop при решении идентификационных задач криминалистической экспертизы // Межд. конф. «Информатизация правоохранительных систем». - М., 199<i

3 верное С.И. Расчетные оценки при решении задач пожарно-технической экспертизы. - М.: ЭКЦ МВД РФ, 1992.

4 Кондратьев В.В. Указ, работа; Таубкин И.С. и др. Автоматизированная информационно-поисковая система по пожарам и взрывам на железной дороге (АИПС-ПВЖД) // Межд. конф. «Информатизация правоохранительных систем». - М., 1999.

406

целях расчета количественных характеристик процессов их возникновения и развития, когда физическое моделирование невозможно, а математическое – сопряжено со сложными трудоемкими расчетами, производить в автотехнических, электротехнических, технологических экспертизах. В качестве примера использования расчетных систем в электротехнической экспертизе можно указать систему «Радиант», позволяющую осуществлять математическое моделирование аварийных режимов в электрических цепях1.

Специализированные пакеты прикладных программ созданы для расчетов при производстве экономических и бухгалтерских экспертиз, некоторых видов традиционных криминалистических экспертиз. Так для решения расчетных задач судебно-баллистической экспертизы разработан программный комплекс «Отнесение самодельного устройства к огнестрельному оружию». С учетом конструкции устройства производится расчет массы, скорости снаряда, количества пороха, удельной кинетической энергии, давления пороховых газов при выстреле и делается предварительный вывод о возможности производства выстрела из данного устройства. При необходимости программа обращается к банку данных о характеристиках ряда промышленных патронов.

> Пятым направлением информатизации экспертиз и исследований является разработка программных комплексов автоматизированного решения экспертных задач, включающих помимо четырех вышеуказанных позиций еще и подготовку самого экспертного заключения.

При существующем порядке производства судебных экспертиз, который сохраняется без изменения на протяжении многих лет, выполнение экспертизы и составление экспертного заключения является весьма трудоемким процессом, особенно в случаях комплексных многообъектных экспертиз, и требует больших трудозатрат. В то же время экспертная нагрузка постоянно растет, что сказывается отрицательно на качестве экспертных заключений. Экспертные ошибки субъективного характера,

1 Ростовцев А.В., Зернов С.И. Система «Радиант» // Пожарное дело, 1993, №№ 11-12.

407

возникающие при этом, связаны с профессиональной некомпетентностью эксперта, заключающейся в недостаточном владении современными методиками и некорректностью изложения. Существенно улучшают положение дел специализированные системы поддержки судебной экспертизы (СПСЭ). При посредстве систем такого рода эксперт получает возможность правильно описать, классифицировать и исследовать представленные на экспертизу вещественные доказательства, определить стратегию производства экспертизы, грамотно провести необходимые исследования в соответствии с рекомендованными методиками, подготовить и сформулировать экспертное заключение.

Освобождая эксперта от рутинной работы, СПСЭ экономят его время и силы, концентрируют внимание на интеллектуальных аспектах экспертизы. Иллюстрацией к сказанному выше может послужить производство судебных экспертиз кабельных изделий, изъятых с мест пожаров. Эти экспертизы обычно многообъектны, они требуют комплексного исследования с применением различных общеэкспертных методов. Разработанная нами СПСЭ «ЭВРИКА» (Экспертиза и Выдача Результатов Исследования Кабелей) представляет собой автоматизированное рабочее место эксперта для выполнения экспертиз и исследований кабельных изделий со следами оплавления. Система функционирует следующим образом. В процессе экспертного осмотра производится описание объектов исследования и выявленных морфологических признаков в диалоговом режиме путем выбора по меню; наряду с выбором обеспечивается ввод фрагментов текста. Аналогично производится ввод аппаратурных характеристик и условий проведения исследований. По завершении каждого этапа значимые признаки выдаются пользователю на экран для формулирования (также выбором из меню) окончательных или промежуточных выводов. Система обеспечивает строгое выполнение требований методики, с точки зрения полноты и качества исследования. Выбор методов исследования производится автоматически в зависимости от объектов. Система позволяет постоянно просматривать формируемый текст заключения. По окончании диалога полный текст заклю-

408

чения записывается в «текстовый файл и выдается на экран монитора или -на принтер.

Аналогично построены и другие интерактивные системы гибридного интеллекта такие как «КОРТИК» – в экспертизе холодного оружия, «БАЛЭКС» – в баллистике, «НАРКОЭКС» – в исследовании наркотических веществ и многие другие)1. Во всех этих системах действует единый принцип: эксперт отвечает на вопросы, задаваемые ему компьютером. Если некоторые признаки могут быть оценены количественно в автоматическом режиме, методика позволяет на этом основании решить данный промежуточный вопрос категорически и перейти к следующему этапу. Если же ответ не является однозначным, криминалистически значимые признаки выводятся на экран, и решение принимает эксперт на основании своего внутреннего убеждения. Окончательные выводы эксперта перед печатью заключения выводятся на экран.

Нами разработан базовый программный модуль «АТЭКС», на основе которого можно легко продуцировать подобные системы, наполняя их конкретным содержанием в зависимости от используемой экспертной методики2. Применение указанного модуля обеспечивает устранение наиболее распространенных экспертных ошибок субъективного характера и в то же время резкое сокращение времени, необходимого для подготовки экспертного заключения. При этом эксперту для непосредственного обращения с ЭВМ не требуется никакой специальной подготовки, поскольку вся необходимая информация (функция подсказок) содержится в программе.

Все вышеперечисленные программы используются при конструировании компьютеризированных рабочих мест экспертов различных профилей.

1 Криминалистическая экспертиза: возникновение, становление и тенденции развития. – М., 1994. Российская Е.Р., Белкин А.Р. KBS for criminology and forensic expertise (Системы поддержки принятия решений в криминалистике и судебной экспертизе) // Материалы конгресса по искусственному интеллекту в Нидерландах. – Амстердам, 1993. Российская Е.Р. Оптимизация формы и содержания заключения эксперта на основе базового программного модуля «АТЭКС». - М.,1990.

2 Российская Е.Р. Оптимизация формы и содержания заключения эксперта на основе базового программного модуля «АТЭКС». – М., 1990.

409

Какие же существуют проблемы при компьютери™ ции судебных экспертиз и возможные варианты их решения? Как мы уже указывали выше, вместо обсуждавшейся ранее проблемы «человек или машина» возник целый ряд проблем. Наиболее благополучно дело обстоит в области автоматизации сбора и обработки экспериментальных данных, т.е. создания и использования измерительно-вычислительных комплексов, а также баз данных по объектам судебной экспертизы. Если раньше приходилось осуществлять стыковку измерительной аппаратуры и ПК в экспертных учреждениях и осуществлять разработку программного обеспечения, из-за того что необходимые измерительно-вычислительные комплексы не производились, то теперь ситуация меняется. Большинство приборов и лабораторных установок комплектуются ПК и необходимыми компьютерными системами еще в заводских условиях. Для формирования баз данных применяются универсальные системы управления базами данных (СУБД) типа «Clipper», «Paradox», «FoxPro» и др. или созданные на их основе системы.

Возникающие проблемы связаны в первую очередь не с научно-методическими, а с организационными трудностями, как-то отсутствием четкой программы по компьютеризации всех классов судебных экспертиз, явная недостаточность финансирования, отсутствие подготовленных кадров и многое другое. Нельзя сказать, что организационные вопросы не решаются. И в ЭКЦ МВД РФ, и в РФЦСЭ при МЮ РФ имеются лаборатории, ответственные за автоматизацию судебно-экспертной деятельности, однако их усилий явно недостаточно при лавинообразном повсеместном внедрении компьютерной техники. К тому же основное финансирование этих исследований осуществляется не только в центре, но и на местах. Поэтому региональные экспертные учреждения часто сами выступают инициаторами разработки компьютерных систем и оплачивают эту работу из своих средств. Отсюда разнобой в существующих компьютерных системах, их дублирование и нестыковки между ними.

Определенную «дезорганизующую лепту» сюда вносит также быстрая смена вычислительной техники и совершенствование языков программирования, поскольку 410

появление компьютеров с большими возможностями, новых, более совершенных языков программирования приводит к переписыванию программ. В результате часто приходится переделывать заново целиком всю систему или создавать новое компьютерное обеспечение для измерительно-вычислительного комплекса. Эта нестабильность создает, как указывает Л.Г. Эджубов, опасную иллюзию продвижения вперед в научных исследованиях. Программисты из года в год регулярно выдают новую продукцию, а по существу происходит переписывание решения одной и той же задачи1. Однако данный программистский уклон переломить трудно, поскольку бурное развитие информационных технологий оказало сильное влияние на психологию программистов, а через них и на многих пользователей. Часто совершенствование программного обеспечения превращается у них в самоцель, усовершенствование ради самого усовершенствования и сводится к переделке АИПС, которые и без этого прекрасно выполняли свои задачи.

Решение указанных проблем лежит в плоскости создания единой межведомственной программы по компьютеризации судебно-экспертной деятельности, координирующей не только работу федеральных экспертных учреждений в этой области, но и деятельность всех разработчиков компьютерных систем для судебной экспертизы на местах. Выполнение программы должно обеспечить совместимость таких систем и возможности их функционирования в рамках компьютеризированного рабочего места эксперта, эксплуатацию в рамках единой сети экспертного учреждения (учреждений), а также учитывать дальнейшее совершенствование компьютерной техники, языков программирования, систем управления базами данных.

Другая группа проблем возникает при использовании математических и статистических методов для анализа изображений, особенно в идентификационных исследованиях. Эйфория, наблюдавшаяся пятнадцать-двадцать лет назад по поводу успехов математизации судебной экспертизы,

1 Эджубов Л.Г. Достижения и просчеты использования математических методов и ЭВМ в судебной экспертизе // Проблемы совершенствования судебных экспертиз: Сб. науч. тр ВНИИСЭ. – М., 1994

411

возможностей автоматизации процессов идентификации явно пошла на спад. Очевидно, что первоначальные прогнозы о возможности решения наиболее сложных и актуальных задач судебной экспертизы с помощью математических методов в некоторой степени не оправдались. Л. Г. Эджубов объясняет это несколькими причинами, в числе которых он называет использование индуктивных построений при решении многих идентификационных задач. Поскольку индуктивные выводы, хотя и являются строго детерминированными, все же носят вероятный характер (основаны на ограниченном числе наблюдений), постольку они могут быть оспорены. Примером является дискуссия вокруг количественной методики установления факта контактного взаимодействия преступника и жертвы по волокнам на их одежде, которая позволила повысить достоверность экспертиз, выполнявшихся ранее только на качественном уровне. Количественная методика была широко распространена в экспертных учреждениях, однако через несколько лет в построениях математика были обнаружены неточности. Замечания сводились к тому, что для конкретного использования данного количественного метода необходимо определить вероятности случайного появления всех существующих видов волокон на всех видах одежды. Формально это безусловно верно, но фактически - невозможно. Другой причиной является тот факт, что большинство объектов экспертизы являются системами диффузного характера, в которых приходится учитывать множество разнородных факторов, явлений и процессов. Изучение таких систем производится с использованием моделей, что снижает требования, предъявляемые к математическому описанию, приводит к тому, что математический язык, однозначный по своей природе, стал применяться в многозначном смысле. Поэтому многое при оценке результатов использования количественных методик зависит не от объективных факторов, а от теоретической позиции того или иного специалиста, допущений, которые он считает приемлемыми, его вкусовых пристрастий1.

1 Эджубов Л. Г. Указанная работа. 412

Существует и ряд других причин, среди которых можно выделить трудности и субъективизм в определении пороговых значений количественных характеристик, которые позволяют сделать категорический вывод о тождестве и некоторые причины субъективного характера, о которых скажем ниже.

Все вышеуказанные причины привели к тому, что начавшаяся с наиболее трудного участка (автоматизации идентификационных исследований) компьютеризация судебной экспертизы перешла сейчас в несколько иное русло. На передний план выдвинуты проблемы создания не экспертных систем, полностью заменяющих человека, а интерактивных систем гибридного интеллекта – составных частей компьютеризированного рабочего места эксперта. Мы не видим никакой трагедии в том, что на некоторое время автоматизированные количественные методики отошли в тень, поскольку им ранее уделялось неоправданно большое внимание. Очевидно это явление на данном этапе компьютеризации объективно обусловлено и связано с признанием лидирующего положения эксперта, приоритетом его неформальных знаний.

В дальнейшем именно развитие и совершенствование СПСЭ позволит, постепенно накапливая информацию, перейти к базам знаний и системам искусственного интеллекта. Хотя многие считают разработку вышеуказанных систем простой задачей, здесь имеется достаточно своих проблем. Именно создание интерактивных систем, когда производится формализация методики, попытки оценить количественно значимость различных признаков обнажили множество недостатков и разночтений в методиках, над которыми эксперты, а часто и разработчики методик, даже не задумывались. Выяснилось, что многие методики невозможно формализовать из-за их неконкретности, расплывчатости оценок, внутренней противоречивости, хотя математический аппарат для поддержания диалога очень прост. Таким образом вполне закономерно на передний план выдвинулась задача ревизии методик, устранения расхождений в разработках различных ведомств и выработки и утверждения унифицированных единых методик для использования во всех экспертных учреждениях. Эта работа уже начата в рамках

413

межведомственного совета по судебной экспертизе. Представляется, что в дальнейшем интерактивные СПСЭ должны создаваться только на основе методик, прошедших эту процедуру1.

Замена больших и средних ЭВМ персональными компьютерами привела к устранению операторов практически из всех сфер экспертных исследований. Диалог человека с компьютером поддерживается на естественном языке, интерфейсы современных программных продуктов для ПК настолько дружественные, что эксперт общается с компьютером напрямую без посредников. Поэтому использование ПК практически снимает проблему участия оператора в производстве экспертиз, которая дебатировалась в криминалистике два десятилетия назад. В тех случаях, когда оператор все же участвует во вводе данных в компьютер, его можно уподобить лаборанту, готовящему пробу для химического анализа, или фотолаборанту, выполняющему под руководством эксперта техническую работу.

Если двадцать лет назад дебатировался вопрос о принципиальной возможности для каждого эксперта работать на ЭВМ, то теперь, когда этому учат в средней общеобразовательной школе, проблема перешла в другую практическую плоскость, поскольку уровень преподавания информатики пока еще, к сожалению, весьма низок. Поэтому на стадии первоначальной подготовки эксперт должен овладеть основными навыками работы с ПК в пользовательском режиме (что теперь входит в программу средней общеобразовательной школы) и изучить существующие компьютерные системы по направлению, в котором он специализируется.

Следует заметить, что многие СПСЭ содержат специальные обучающие блоки-тренажеры, которые позволяют овладевать одновременно и методикой и ПК. В этой связи, как нам представляется, не прав Л. Г. Эджу-бов, полагающий, что поверхностное отношение экспертов к труду объясняется условиями «облегченной» работы

1 Статкус В Ф, Зернов С И Регистрационная паспортизация методик экспертных исследований // Межд. конф «Информатизация правоохранительных систем» – М , 1998

414

на ПК. Такая точка зрения часто возникает при внедрении любой новой техники. На самом деле – избавление эксперта от рутинных операций позволяет ему сосредоточиться на творческой части работы. Что касается нерадивого исполнителя, то и выполненное им в «ручном» режиме заключение будет низкого качества. Интересно, что как раз эта категория экспертов обычно противится внедрению СПСЭ, поскольку при выполнении экспертиз на ПК руководителю экспертного учреждения значительно легче контролировать их работу. У последних нет тогда возможности преувеличить объем работы и собственную занятость.

Таким образом, работа на компьютеризированном рабочем месте эксперта, включающем системы сбора и обработки экспериментальных данных, интегрированные базы данных по объектам экспертизы, программы расчетов по известным формулам и алгоритмам, не требует участия оператора ЭВМ или специалиста-программиста, и в этом как раз специфика такого рабочего места. При использовании компьютерных программ, решающих идентификационные задачи на основании количественных оценок, если эксперт детально представляет себе математический аппарат решения данного вопроса и согласен с критериями, используемыми для количественной оценки признаков (пусть даже не им предложены эти критерии), он может отвечать за экспертные выводы единолично. Программист в этом случае выступает в роли одного из разработчиков методики.

Если же эксперт воспринимает компьютерную систему как «черный» ящик, он фактически отстраняется от оценки результатов экспертизы, выполненных с помощью ЭВМ и поэтому вправе либо дать условный вывод, либо ограничится ответами на вопросы, разрешенные им лично без помощи компьютера. Комплексными, по нашему мнению, такие экспертизы быть не могут даже тогда, когда компьютерная программа составляется специально для данной экспертизы, поскольку эксперт здесь только один, а программист осуществляет создание программы по предложенному ему экспертом алгоритму. Однако, если алгоритм решения конкретной задачи составляется совместно экспертом и математиком (не пу-

415

тать с программистом) такая экспертиза обладает всеми чертами комплексной.

11.1.3. Автоматизация процесса расследования преступлений

Наиболее трудной, является задача информатизации самого процесса расследования преступления. Конечно в обозримом будущем нельзя говорить о замене следователя неким совершенным компьютером, в который на входе подаются различные данные, а на выходе печатается фамилия обвиняемого и текст обвинительного заключения. Однако следователь, анализируя меняющуюся следственную ситуацию, должен переработать огромный массив информации, вычленить из нее криминалистически значимую и не допустить при этом ошибок, связанных как с недостатком этой информации и трудностями в ее получении, так и с дефицитом времени и часто невысоким профессиональным уровнем. При этом весьма значительное время тратится на рутинную работу по составлению различных документов процессуального и непроцессуального характера: протоколов, постановлений, запросов и др.

Многие из перечисленных выше задач позволит разрешить создаваемая в настоящее время в рамках единой информационно-вычислительной сети органов внутренних дел Специализированная территориально-распределенная автоматизированная система Следственного комитета России (СТРАС-СК) со специализированными банками данных. Информационное обеспечение этой системы включает три уровня:

• для центрального аппарата Следственного комитета МВД РФ;

• для следственных управлений (отделов) МВД-УВД;

• для следственных подразделений горрайорганов внутренних дел.

Информационное обеспечение СТРАС-СК разрабатывается в виде ряда подсистем, формируемым по следующим магистральным направлениям:

416

1. Подсистема гибридного интеллекта «Расследование», предназначенная для поддержки следователя при принятии решений в процессе расследования уголовного дела, которая строится на основе элементов частных криминалистических методик расследования отдельных видов преступлений (криминалистических характеристик, типичных следственных ситуаций, типовых следственных версий). Функционирование системы осуществляется в виде АРМ (автоматизированного рабочего места) следователя.

При расследовании конкретного дела в компьютер в диалоговом режиме вводятся сведения о составе и способе преступления, предмете преступного посягательства, потерпевшем и др. После обработки на экран выдаются рекомендации, которые могут быть использованы в планировании расследования, позволяют сгруппировать данные по эпизодам и по участникам, подсказывают как осуществить конкретное следственное действие. Кроме того, система позволяет автоматизировать процесс оформления документов и анализ материалов уголовного дела – составление различных процессуальных и иных документов и их фрагментов в диалоговом режиме, как-то: протоколов, постановлений, запросов, справок и др.; систематизровать материалы уголовного дела; поиск и сопоставление в имеющихся материалах уголовных дел эпизодов, фамилий, кличек, дат и пр.

2. Система «Контроль» для автоматизации учетно-контрольной и вспомогательной деятельности следователя, накопления и использования информации о делах, находящихся в производстве и на контроле, ведение «записных книжек», что предусматривает, каталогизацию дел, контрольно-наблюдательную информацию по ним (дела, взятые на контроль до окончания расследования, контроль планирования тактических операций, соблюдения сроков производства по делам и др.) и прочее.

3. Система «Статистика» для автоматизации формирования и анализа статистических данных, осуществляющая накопление данных о преступлениях (лицах, их совершивших; информации о подготовке, совершении и сокрытии преступлений, мотивах, месте, времени совершения преступления, ущербе от него; лицах, ведущих

417

расследование; его сроках, результатах) и использование этих данных в целях получения информации статистического характера, например, обзорных и аналитических справок о расследовании определенного вида преступлений, о работе конкретного следователя и др.

4. Справочная подсистема правовой и методической информации по действующему законодательству Российской Федерации, Постановлениям Пленума Верховного Суда РФ, ведомственным нормативным актам МВД, МЮ, Прокуратуры и других ведомств, затрагивающих деятельность следственных подразделений.

5. Федеральные, централизованные и региональные банки данных по уголовным делам некоторых категорий (хищениям денежных средств по подложным авизо, фальшивомонетничестве и другие).

6. Подсистема связи с ФБКИ и РЕКИ для получения информации из оперативно-справочных и криминалистических учетов.

7. Вспомогательные подсистемы для автоматизации работы секретариатов и канцелярий, учета кадров следственных аппаратов и другие.

Большую помощь следователю при расследовании сложных уголовных дел, связанных с пожарами, взрывами, дорожно-транспортными происшествиями оказывают программы, позволяющие моделировать развитие криминальной ситуации в зависимости от условий. Средствами мультипликации достигается высокая наглядность, которая позволяет лучше разобраться в ситуации, выдвинуть все возможные следственные версии, составить подробный план расследования.1

Современные компьютерные технологии достаточно широко используются и в процессе преподавания криминалистики в высших учебных заведениях, а также повышения квалификации следователей и оперативных работников. С этой целью создан ряд имитационных обучающих систем, в которых моделируются как отдельные следственные действия (например, осмотр места проис-

1 Емышев B.C., Виноградов Д.С., Чайковский А.В. Использование средств компьютерной графики для реконструкции ДТП // Межд. конф. «Информатизация правоохранительных систем». – М., 1998.

418

шествия), так и процесс расследования в целом. Примерами их являются программы-тренажеры «Убийство», «Следователь», «Мираж» и др., которые предназначены для формирования умений и навыков принятия решений при расследовании конкретного преступления на основании полученной вводной.

Другая группа программ предназначена для обучения и контроля знаний по различным темам криминалистической техники. Сначала в интерактивном режиме производится обучение, а затем постановкой контрольных вопросов проверяется качество знаний студента с выставлением ему оценки в виде суммы баллов.

11.2. Особенности методики расследования преступлений в сфере движения компьютерной информации

11.2.1. Криминалистическая характеристика преступлений в сфере движения компьютерной информации

В конце 80-х – первой половине 90-х годов массовая компьютеризация, привела к развитию рынка компьютеров и программного обеспечения, повышению профессиональной подготовки пользователей, увеличению потребностей организаций в совершенствовании технологий обработки данных, значительно расширила сферу применения ЭВМ, которые все чаще организуются в локальные сети, подключаются к сетям широкого доступа. Все активнее внедряется автоматизированная обработка бухгалтерской и иной производственной документации, «безбумажные» технологии. Информация, содержащаяся в компьютере, зачастую на бумаге вообще не хранится. Компьютер стал практически обязательным элементом рабочего стола не только руководителей, но и рядовых сотрудников практически во всех сферах человеческой деятельности.

Одним из следствий компьютеризации в странах СНГ (как это произошло ранее и в других странах) явилась криминализация сферы оборота компьютерной информации, что вызвало необходимость законодательной регламентации уголовной ответственности за совершение

419

преступлений в сфере компьютерной информации. Так, например, УК РФ определяет как преступления:

• неправомерный доступ к компьютерной информации, повлекший за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272);

• создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами (ст. 273);

• нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред (ст. 274).

Большинство таких преступлений совершается в кредитно-финансовой сфере, однако эта уголовно-правовая категория далеко не охватывает всего спектра применения ЭВМ в преступных целях. Современное состояние преступности и следственной практики заставляют акцентировать внимание на возможностях использования компьютерной информации при расследовании таких «традиционных» преступлений, как: присвоение, мошенничество, фальшивомонетничество, лжепредпринимательство и др., например для фальсификации платежных документов; хищения наличных и безналичных денежных средств путем перечисления на фиктивные счета; «отмывания» денег; вторичного получения уже произведенных выплат; совершения покупок с использованием фальсифицированных или похищенных электронных платежных средств (кредитных карт); продажи секретной информации и пр.

Изучение криминалистической характеристики преступлений в сфере компьютерной информации невозможно без конкретизации понятия компьютерной ин-

420

формации. «Федеральный Закон об информации, информатизации и защите информации» определяет информацию как «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления». Документированная информация – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать).1 В свою очередь в криминалистике под криминалистически значимой понимается информация – совокупность знаний о совершенном преступлении».

Компьютерная информация – это информация на машинном носителе, в ЭВМ, системе ЭВМ или сети также может быть криминалистически значимой, как при расследовании компьютерных преступлений, так и преступлений, где ЭВМ выступает как объект (кража компьютера, незаконное использование машинного времени) или средство совершения преступления (использование ЭВМ для накопления информации, подделки документов и пр.). Программные продукты могут использоваться как в качестве объекта преступления (незаконное копирование, причинение ущерба применением разрушающих программ – вирусов), так и – инструмента совершения преступления (несанкционированное проникновение в компьютерную систему, искажения и подлоги информации).

Компьютерная информация применительно к процессу доказывания может быть определена как фактические данные, обработанные компьютером и полученные на его выходе в форме, доступной восприятию ЭВМ либо человека или передающиеся по телекоммуникационным каналам, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения дела2.

Источниками компьютерной информации могут служить: машинная распечатка, накопители на магнитных, оптических и иных носителях, информация, содер-

1 Федеральный Закон «Об информации, информатизации и защите информации» Комментарий. – М.: 1996.

2 Касаткина А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений. – Дисс.... канд. юрид. наук. – М., 1997.

421

жащаяся в оперативной памяти ЭВМ, информация, содержащаяся в постоянном запоминающем устройстве. Информация в ЭВМ вводится через клавиатуру и накопители - на гибких магнитных дисках или на жестких магнитных дисках, нестандартные (мышь, модем, дигитайзер, сканер, аналого-цифровой преобразователь и др.) устройства ввода. Блок устройств вывода информации позволяет пользователю получить результаты работы компьютера в привычном для него виде с помощью монитора (дисплея), накопителей на гибких или жестких магнитных дисках, принтера, модема, графопостроителя и др.

Одним из основных элементов криминалистической характеристики, особенно важным при расследовании преступлений в сфере движения компьютерной информации является способ совершения и сокрытия преступлений.

11.2.2. Способы использования вычислительной техники для достижения преступной цели

1. Создание преступником компьютерной базы данных, содержащей информацию о преступлении. Наиболее типичным являются, например, базы данных о девушках, занимающихся проституцией, учета поступивших заказов, а также доходов от сводничества, которые ведутся в диспетчерских соответствующих подпольных фирм.

2. Использование ЭВМ и периферийных устройств в качестве полиграфической базы для проектирования и изготовления фальсифицированных (подложных) документов, денежных знаков, кредитных карточек и т.д.

3. Использование электронных средств доступа (компьютерные, телекоммуникационные системы, кредитные карточки и т.д.) для совершения хищений путем присвоения и краж. Наиболее остро эта проблема встала в связи с переходом банковских и финансовых структур на расчеты с использованием компьютерных сетей, которыми в настоящее время оснащены около 2500 коммерческих банков и их филиалов.

По оценкам отечественных и зарубежных исследователей уровень латентности компьютерных преступлений составляет около 90%, а из оставшихся 10% выявленных компьютерных преступлений, раскрывается только 1%.

422

Как показывает практика расследования других видов преступлений, компьютерная информация позволила в 52% случаев предъявить обвинение, в 35% – оказала существенную помощь в розыске преступников, позволила достоверно установить механизм совершение преступления1.

11.3. Способы совершения компьютерных преступлений

11.3.1. Методы перехвата

Согласно классификации Ю.М. Батурина и В. Б. Ве-хова, основанной на переведенной с английского американской классификации, методы перехвата можно подразделить:

> Непосредственный перехват. Старейший из используемых способов. Требующееся оборудование можно приобрести в магазинах: микрофон, радиоприемник, кассетный диктофон, модем, принтер. Перехват данных осуществляется либо непосредственно через телефонный канал системы, либо подключением к компьютерным сетям. Вся информация записывается. Объектами подслушивания являются различные системы – кабельные и проводные, наземные микроволновые, спутниковой и правительственной связи.

> Электромагнитный перехват. Используются перехватывающие устройства, работающие без прямого контакта. Можно уловить излучение, центральным процессором, дисплеем, телефоном, принтером, линиями микроволновой связи, считывать данные с дисплейных терминалов при помощи доступных каждому простейших» технических средств (дипольной антенны, телевизора). Преступники, находясь в легковой или грузовой автомашине, или просто имея приемник в портфеле, на некотором расстоянии от здания, могут, не привлекая к себе внимания, легко узнавать данные, хранящиеся в памяти ЭВМ или используемые в процессе работы. Во время экспериментов удавалось получать данные, которые выводились одновременно на 25 дисплейных терминалах,

Касаткина А В. Указанная работа.

423

расположенных в непосредственной близости друг от друга, и отделять выведенные на каждый экран данные друг от друга. Если к телевизору подключить видеомагнитофон, то информацию можно не только накопить, но и спокойно проанализировать позднее.

> Использование «жучков» («клопов»). Заключается в установке микрофона в компьютере с целью прослушивания разговоров персонала. Простой прием, обычно используемый как вспомогательный для получения информации о работе компьютерной системы, о персонале, о мерах безопасности и т.д.

> «Уборка мусора» – поиск данных, оставленных пользователем после работы с компьютером. Включает физический вариант – осмотр содержимого мусорных корзин и сбор оставленных за ненадобностью распечаток, ненужной деловой переписки и т.п. Электронный вариант – исследование данных, оставленных в памяти компьютера. Последние из сохраненных данных обычно не стираются после завершения работы. Другой пользователь записывает только небольшую часть своей информации, а затем спокойно считывает предыдущие записи, выбирая нужную ему информацию. Таким способом могут быть обнаружены пароли, имена пользователей и т.п.

11.3.2. Методы несанкционированного доступа

Методы несанкционированного доступа:

> «За дураком» используется для проникновения в закрытые для доступа помещения или терминалы. Физический вариант состоит в том, чтобы взяв в руки как можно больше предметов, связанных с работой на компьютере, прохаживаться с деловым видом возле запертой двери, за которой находится терминал, и когда появится законный пользователь уверенно пройти в дверь вместе с ним.

Электронный вариант проходит, когда компьютерный терминал незаконного пользователя подключается к линии законного пользователя через телефонные каналы (Интернет) или когда пользователь выходит ненадолго, оставляя терминал в активном режиме. Вариантом является прием «за хвост», когда незаконный пользователь тоже подключается к линии связи, а затем дожидается

424

сигнала, обозначающего конец работы, перехватывает его и осуществляет доступ к системе, когда законный пользователь заканчивает активный режим.

> Компьютерный «абордаж» - хакеры1, набирая на удачу один номер за другим, дожидаются, пока на другом конце провода не отзовется чужой компьютер. После этого телефон подключается к приемнику сигналов в собственной ПЭВМ, и связь установлена. Остается угадать код (а слова, которые служат паролем часто банальны и обычно берутся из руководства по использованию компьютера) и можно внедриться в чужую компьютерную систему.

> Неспешный выбор – несанкционированный доступ к файлам законного пользователя осуществляется нахождением слабых мест в защите системы. Однажды обнаружив их, нарушитель может не спеша исследовать содержащуюся в системе информацию, копировать ее, возвращаться к ней много раз.

> «Маскарад» или «самозванство» – некто проникает в компьютерную систему, выдавая себя за законного пользователя. Системы, которые не обладают средствами аутентичной идентификации (например, по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т.п.), оказываются без защиты против этого приема. Самый простейший путь его осуществления – получить коды и другие идентифицирующие шифры законных пользователей.

Группа студентов послала всем пользователям университетского компьютера сообщение, что изменили телефонный номер компьютера, в качестве нового номера назвали тот, который был запрограммирован так, чтобы отвечать в точности, как университетская ЭВМ Пользователь, посылая вызов, набирал свой личный код и студенты смогли составить перечень кодов и использовать его в своих целях.

> Мистификация – пользователь с удаленного терминала случайно подключается к чьей-то системе, будучи абсолютно уверенным, что он работает с той системой, с какой и намеревался. Владелец системы, к которой произошло фактическое подключение, формируя прав-

1 Об этом ниже.

425

доподобные отклики, может поддерживать это заблуждение в течение • определенного времени, получая одновременно некоторую информацию, в частности коды.

> «Аварийный метод» использует тот факт, что в любом компьютерном центре имеется особая программа, применяемая в случае возникновения сбоев или других отклонений в работе ЭВМ. Такая программа – мощный и опасный инструмент в руках злоумышленника. Этим способом была совершена крупная кража на 128 тыс. долл. в банке Нью-Джерси.

> «Склад без стен». Несанкционированный доступ осуществляется в результате системной поломки. Например, если некоторые файлы пользователя остаются открытыми, он может получить доступ к не принадлежащим ему частям банка данных.

11.3.3. Методы манипуляции

Методами манипуляции являются:

> Подмена данных – изменение или введение новых данных осуществляется, как правило, при вводе или выводе данных с ЭВМ. Например, служащий одного нью-йоркского банка, изменяя входные данные, похитил за 3 года 1,5 млн долл.

В Пенсильвании (США) клерк и несколько рабочих крупного мебельного магазина, введя с терминала фальшивые данные, украли товаров на 200 тыс. долл.

> Манипуляция с пультом управления компьютера – механическое воздействие на технические средства машины создает возможности манипулирования данными.

> «Троянский конь» – тайное введение в чужую программу таких команд, позволяющих не изменяя работоспособность программы, осуществить, не планировавшиеся ее владельцем функции. Этим способом преступники обычно отчисляют на свой счет определенную сумму с каждой операции. Вариантом является «Салями», когда отчисляемые суммы малы и их потери практически незаметны (например, по 1 тыс. рублей с операции), а накопление осуществляется за счет большого количества операций. Это один из простейших и безопасных способов, особенно, если отчисляются небольшие дробные

426

суммы, поскольку в этих случаях обычно все равно делается округление. Успех метода основывается на том, что при каждой проверке счета клиент теряет так мало, что это практически не замечается, а если и замечается, то, вряд ли повлечет какие-либо последствия. Но когда сумму считают малой в процентном отношении от денежных переводов, вероятность раскрытия значительно повышается.

Служащий американского банка, решив накопить деньги побыстрее, начал отчислять сразу по 100 долларов, но с очень крупных счетов и был раскрыт всего после 41 такой операции.

> «Временная бомба» – тайное встраивание в программу набора команд, которые должны сработать (или каждый раз срабатывать) при определенных условиях или в определенный момент времени.

Например, в США получила распространение форма компьютерного вандализма, при которой «-троянский конь» разрушает через какой-то промежуток времени все программы, хранящиеся в памяти машины. Во многих поступивших в продажу компьютерах оказалась «временная бомба», которая «взрывается» в самый неожиданный момент, разрушая всю библиотеку данных.

> Моделирование процессов, в которые преступники хотят вмешаться и планируемые методы совершения и сокрытия преступления для оптимизация способа преступления. Одним из вариантов является реверсивная модель, когда создается модель конкретной системы, в которую вводятся реальные исходные данные и учитываются планируемые действия. Исходя из полученных правильных результатов, подбираются правдоподобные желательные результаты. Затем путем прогона модели назад, к исходной точке, выясняют результаты и устанавливают, какие манипуляции с исходными данными нужно проводить. Таких итераций может быть несколько. После чего остается только осуществить задуманное.

Бухгалтер пароходной компании в Калифорнии (США) в целях подготовки хищения смоделировал всю бухгалтерскую систему компании и установил, сколько фальшивых счетов ему необходимо и какие операции следует проводить. Модель бухгалтерского баланса подсказала ему, что при имеющихся пробелах в ревизионной службе, 5% искажения не будут заметны. Для создания видимости реальности ситуации он организовал 17 подставных компаний, обеспечил каждую из них своим счетом и начал денежные операции, которые оказались настолько успешными, что в первый год он похитил 250 тыс. долларов без какого-либо нарушения финансовой

427

деятельности компании. К тому времени, когда увеличенные выплаты вызвали подозрение - даже не у самой компании, а у ее банка, сумма хищения составила миллион долларов

> «Воздушный змей» – способ, который весьма часто используется в России, Украине и других странах СНГ. В двух банках (но можно и в нескольких) открывают по небольшому счету и переводятся деньги из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так, чтобы общая сумма покрывала требование о первом переводе. Цикл повторяется много раз до тех пор, пока на счете не оказывается приличная сумма (фактически, она постоянно переходит с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются и владелец счетов исчезает. На практике в такую игру включают большое число банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Этим способом служащий банка в Лос-Анджелесе со своими сообщниками, которые давали поручения о переводе, похитил 21,3 млн долларов.

Как правило, компьютерные преступления совершаются с помощью того или иного сочетания приемов.

11.3.4. Особенности личности преступника

В литературе уже можно считать устоявшимся деление лиц, совершающих преступления в сфере компьютерной информации на три группы.

1. Появление компьютерной преступности тесно связано с так называемыми «хакерами» (от англ, hack – разрубать) – программистами или квалифицированными пользователями ЭВМ, занимающимися поиском способов получения несанкционированного (самовольного) доступа к компьютерной информации и техническим средствам. Их целью может быть сначала чисто спортивный интерес, связанный с решением трудной задачи «взлома» защиты программного продукта или создание компьютерных ви-

428

русов только для того, чтобы потешить свое самолюбие, пошутить. Однако впоследствии (а некоторые и сразу) начинают преследовать корыстные цели, а вирусы, уже не столь безобидные, перестают быть подконтрольны. Хакеры и составляют первую группу. Они отличаются высоким профессионализмом в сочетании со специфическим компьютерным фанатизмом, практическим отсутствием других интересов, просиживанием за компьютером большей части суток. Следует подчеркнуть, что характерной особенностью преступников этой группы является отсутствие у них четко выраженных противоправных намерений. Практически все действия совершаются ими с целью проявления своих интеллектуальных и профессиональных способностей. К этой же группе примыкают профессиональные программисты, многие из которых обладают незаурядным интеллектом и умственными способностями, отличаются нестандартным мышлением. Разработка мер безопасности для собственных компьютерных систем и «взлом» чужих средств защиты являются для них двуединой задачей и интересны сами по себе. Постепенно некоторые их них, переориентируются на извлечение из своей работы некоторой материальной выгоды (в России этому нередко способствует тяжелое материальное положение научных работников), которая может быть даже сопряжена с разработкой новых вирусов и одновременно борющихся с ними программ, которые иначе не будут находить сбыта. К числу особенностей, указывающих на совершение компьютерного преступления лицами рассматриваемой категории можно отнести следующие1:

• отсутствие целеустремленной, продуманной подготовки к преступлению;

• оригинальность способа совершения преступления;

• использование в качестве орудий преступления бытовых технических средств и предметов;

• непринятие мер к сокрытию преступления;

1 Здесь и далее использованы данные из монографии В.Б. Вехова, Компьютерные преступления: способы совершения, методики расследования. - М, 1996.

429

I

• факты немотивированного озорства на месте происшествия.

В последние годы распространилось мнение, что хакеры образуют некую молодежную субкультуру, наподобие рокеров, панков, металлистов и пр.1, носители которой со временем претерпевают существенную психологическую трансформацию. Реальная жизнь делается для них серой и скучной, а все интересы сосредотачиваются в виртуальном мире. Как правило, хакеры создают устойчивые команды, в которых имеется разделение функций. Лидер осуществляет общее руководство. У него есть заместители по направлениям деятельности и рядовые исполнители2.

2. Психически больные лица, страдающие так называемыми компьютерными фобиями (информационными болезнями). Эта категория заболеваний связана с нарушениями в информационном режиме человека под воздействием внешних или внутренних дестабилизирующих факторов как врожденного, так и приобретенного свойства. Вследствие ускоряющегося ритма жизни, информационного взрыва, к которому многие люди оказались неподготовлены, интенсификации труда за счет компьютеризации многие служащие попадают в различные стрессовые ситуации, некоторые из которых заканчиваются формированием компьютерных фобий и неврозов (страха перед потерей контроля над своими действиями). По существу, это есть не что иное, как профессиональное заболевание. Основные симптомы его проявления: быстрая утомляемость, резкие скачкообразные изменения артериального давления при контакте с компьютерной техникой, повышенное потоотделение, головокружение и головные боли, дрожь в конечностях, затрудненность дыхания, обмороки и т.д. Действия, совершаемые лицами этой категории, в основном, направлены на физическое уничтожение либо повреждение средств компьютерной техники без наличия преступного умысла с час-

1 Букин Д. Хакеры. О тех, кто это делает // Рынок ценных бумаг, 1997, № 23. - С. 54-57.       I

2 Расследование неправомерного доступа к компьютерной ин« J формации // Под ред. Н.Г. Шурухнова. - М: Щит - М, 1999.

430

тичной или полной потерей контроля над своими действиями.

3. Профессиональные преступники, в деяниях которых ярко выражены корыстные цели. Обладают устойчивыми преступными навыками, совершают серийные, многократно компьютерные преступления. Преступления, которые носят серийный, многоэпизодный характер, совершают многократно, обязательно предпринимают действия по сокрытию. Это обычно высококвалифицированные специалисты с высшим математическим, инженерно-техническим или экономическим образованием, входящие в организованные преступные группы и сообщества и прекрасно оснащенные технически (нередко специальной оперативной техникой). На долю этой группы приходится большинство особо опасных должностных преступлений, совершаемых с использованием средств компьютерной техники, – присвоения денежных средств в особо крупных размерах, мошенничества и пр.

Обобщая вышеизложенное можно охарактеризовать лицо, совершающее преступления в сфере движения компьютерной информации. Большинство из них составляют мужчины (примерно 80%), но доля женщин быстро увеличивается в связи с овладением компьютерной техникой секретарями, делопроизводителями, бухгалтерами, кассирами и пр. Размер ущерба от преступлений, совершенных мужчинами пока в четыре раза больше, чем от преступлений, совершенных женщинами. Возраст большинства правонарушителей составляет 15-45 лет (возраст 33% преступников не превышает 20 лет). Специальное образование не является обязательным атрибутом (по американским данным только семь из тысячи компьютерных преступлений совершаются профессиональными программистами).

Среди мотивов и целей совершения преступлений в сфере движения компьютерной информации можно выделить: корыстные (присвоение денежных средств и имущества), политические (шпионаж, деяния, направленные на подрыв финансовой и денежно кредитной политики, валютной системы страны), исследовательский

431

интерес, хулиганские побуждения и озорство, месть и иные побуждения.

В заключение исследования этого вопроса отметим, что все действия компьютерного преступника обычно отличаются, изощренностью и сопровождаются квалифицированной маскировкой. Однако заботятся о ней больше те преступники, чьи устремления направлены на обогащение или носят политический характер. Остальные же – рассматривают средства компьютерной техники как «игрушку», как предмет исследования, и поэтому не ставят перед собой на первоначальном этапе своих действий преступных целей. Их больше всего заботит познавательная сторона дела – поиск эффективного способа нападения на средства компьютерной техники как на условного интеллектуального противника. Именно эти люди изобретают в большинстве своем новые способы совершения компьютерных преступлений, которыми затем на практике пользуются преступники третьей группы. Близко к этим «разработчикам» примыкают преступники второй группы, характеризующиеся эмоциональной неустойчивостью и нарушением психики, вызываемых работой с использованием средств вычислительной техники, и страдающие информационными болезнями. Их основной целью становится физическое, полное или частичное, уничтожение средств компьютерной техники, которая является для них объектом психического раздражения (условным раздражителем). Именно на его устранение и направлены действия преступника, нередко находящегося при этом в состоянии аффекта или невменяемости.

11.3.5. Обобщенные сведения о потерпевшей стороне

Криминалистически значимая информация подобного рода позволяет полнее охарактеризовать личность преступника, мотивы совершения преступления, рассмотренные нами выше, и соответственно помогает точнее очертить круг лиц, среди которых следует искать преступника, и планировать поисковые мероприятия по розыску важнейших доказательств по делу. В частности, выявление и изучение криминалистически значимых

432

особенностей.потерпевшей стороны и ее поведения (до, в момент и после совершения преступления) дают возможность глубже разобраться во многих обстоятельствах преступления, особенно указывающих на своеобразие, направленность и мотивы поведения преступника, его общие (типовые) и индивидуальные свойства. Это объясняется тем, что между преступником и потерпевшей стороной чаще всего прослеживается определенная взаимосвязь, в силу чего преступники обычно не случайно избирают ее объектом своего преступного посягательства. Поэтому и неудивительно, что в преступлениях выявление преступника в значительной мере идет по цепи: потерпевший – подозреваемый – обвиняемый. Особенно важно выявление и изучение этой связи в" начале расследования. Согласно данным международного комитета по компьютерной преступности, занимающегося исследованиями масштабов и видов компьютерных преступлений, а также правовыми аспектами борьбы с этим видом преступности, компьютерные преступления представляют собой серьезную угрозу для любой, располагающей компьютерной техникой организации, при этом наряду с высокой степенью риска, ей наносится и значительный материальный ущерб. По существующим подсчетам, вывод из строя электронно-вычислительной системы в результате возникновения нештатной технической ситуации или преступления может привести даже самый крупный банк к полному разорению за четверо суток, а более мелкое учреждение - за сутки.

В виду того, что функционирование многих организаций и предприятий все в большей степени ставится в зависимость от компьютерных систем, преступления в сфере движения компьютерной информации могут иметь серьезные последствия, вплоть до того, что деятельность этих предприятий и организаций становится невозможной.

Как показывает практика, в качестве потерпевшей стороны от компьютерных преступлений чаще всего выступает юридическое лицо, поскольку по причине достаточно высокой продажной цены средств компьютерной техники они пока недоступны большинству населения страны. Однако уже явственно наметилась тенденция к лавинообразной компьютеризации населения страны и

IS Hndmm«™v» » и.™..™–

15 Информатика и математика для юристов

433

i

широкого распространения компьютерной техники в быту россиян. Поэтому очевидно, что в скором времени доля физических лиц выступающих в качестве потерпевшей стороны от компьютерного преступления будет неуклонно возрастать.

Степень риска стать потерпевшей стороной от компьютерного преступления достаточно высока для всех организаций, использующих средства компьютерной техники в своих технологических процессах. В то же время необходимо отметить, что она различна у отдельных видов компьютерных преступлений: например, внедрение компьютерного вируса и незаконное пользование компьютерными системами более вероятны, чем различного рода «компьютерные» хищения или мошенничества. Эта возможность, в основном, зависит от рода деятельности данного конкретного учреждения и от типов используемых им компьютерных систем. Так организации, широко применяющие персональные компьютеры, отличающиеся от остальных типов своей мобильностью, доступностью и наиболее развитой периферией, имеют больше шансов стать объектом преступления, совершенного путем внедрения компьютерного вируса, чем организации, работающие исключительно на стационарной компьютерной аппаратуре с терминалами. С другой стороны, учреждения, основными видами деятельности которых являются финансовый контроль и административное управление, в большей степени рискуют подвергнуться злоупотреблениям или должностным преступлениям, чем промышленные и финансовые предприятия, на которых в основном совершаются хищения денежных средств путем различного рода манипуляций с ценными данными и их фальсификацией, и т.д.

Ю.М. Батурин, исходя из прав собственности на компьютерную систему, выделяет три основные группы потерпевших1:

• собственники компьютерной системы составляют - 79%;

• клиенты, пользующиеся их услугами - 13%;

• третьи лица – 8%.

1 Батурин Ю.М., Жодзишскш A.M. Компьютерная преступность и компьютерная безопасность. - М., 1991.

434

Примечателен тот факт, что потерпевшая сторона первой группы, являющаяся собственником системы, неохотно сообщает (если сообщает вообще) в правоохранительные органы о фактах совершения компьютерного преступления. А поскольку они составляют большинство», а следовательно, большинство и самих фактов совершения таких преступлений, то, очевидно, именно этим и можно объяснить высокий уровень латентности компьютерных преступлений. При этом зарегистрированные компьютерные преступления обнаруживают:

• в результате регулярных проверок доступа к данным службами коммерческой безопасности – 31%;

• с помощью агентурной работы, а также при проведения оперативных мероприятий по проверкам заявлений граждан (жалобам клиентов) – 28%;

• случайно – 19%;

• в ходе проведения бухгалтерских ревизий – 13%;

• попутно при расследовании других видов преступлений - 10%.

На принятие решения потерпевшей стороной об обращении в правоохранительные органы по факту совершения компьютерного преступления влияют следующие факторы:

1. Некомпетентность сотрудников правоохранительных органов в вопросе установления самого факта совершения компьютерного преступления, не говоря уже о процессе его раскрытия и расследования. Это утверждение в равной мере относится к сотрудникам как российских, так и зарубежных правоохранительных органов.

2. Учитывая, что в случае уголовного расследования убытки от расследования могут оказаться выше суммы причиненного ущерба, возмещаемого в судебном порядке, многие организации предпочитают ограничиваться разрешением конфликта своими силами, которые нередко завершаются принятием мер, не исключающих рецидив компьютерных преступлений. Обычно к лицам, допустившим совершение компьютерного преступления (а иногда ими являются и сами преступники) применяются меры дисциплинарного воздействия: их увольняют, переводят на нижеоплачиваемую работу, отказывают в пре-

435

доставлении различных льгот и очередности на них, переводят в другие структурные подразделения, не связанные с доступом к средствам компьютерной техники, иногда это сопровождается взысканием причиненного материального ущерба с должностных лиц. Отказ от уголовного преследования свидетельствует о непонимании социальной опасности данных преступных деяний, что порождает ощущение безнаказанности и позволяет преступникам уходить от уголовной ответственности.

3. Боязнь подрыва собственного авторитета в деловых кругах и как результат этого – потеря значительного числа клиентов. Это обстоятельство особенно характерно для банков и крупных финансово-промышленных организаций, занимающихся широкой автоматизацией своих производственных процессов.

4. Неминуемое раскрытие в ходе судебного разбирательства системы безопасности организации – нежелательно для нее.

5. Боязнь возможности выявления в ходе расследования преступления собственного незаконного механизма осуществления отдельных видов деятельности и проведения финансово-экономических операций.

6. Выявление в ходе расследования компьютерного преступления причин, способствующих его совершению, может поставить под сомнение профессиональную пригодность (компетентность) отдельных должностных лиц, что в конечном итоге приведет к негативным для них последствиям.

7. Правовая и законодательная неграмотность по.-давляющего большинства должностных лиц в вопросах рассматриваемой нами категории понятий.

8. Часто организации не имеют представления о реальной ценности информации, содержащейся в их компьютерных системах. Обычно, ценность определяется стоимостью ее создания или ее конкурентоспособностью, причем все чаще предпочтение отдается последнему. Диапазон содержащихся в ней данных простирается от производственных секретов и планов до конфиденциальной информации и списков клиентов, которые преступник может использовать с целью шантажа или в других преступных целях. Эта информация имеет различную

436

ценность для собственника и того лица, которое пытается ее получить. Непосредственная стоимость информации оценивается и с учетом затрат на ее сбор, обработку и хранение, а также рыночной ценой. В то же время на нее влияют и некоторые обстоятельства, связанные с совершением компьютерных преступлений. Если данные похищены или уничтожены (частично или полностью), убытки будут включать в себя неполученные доходы и услуги, стоимость восстановления информации, потери от взаимных ошибок при этом и т.д. В дальнейшем похищенная информация может использоваться для различных целей, в том числе и против собственника, например, с целью понижения его конкурентоспособности (что приводит к еще большему возрастанию общих убытков) либо с целью совершения вымогательства.

9. Там, где средства компьютерной техники используются для осуществления финансовых и экономических операций, перед правонарушителями открываются широкие возможности для совершения различных преступных посягательств.

11.4. Особенности тактики обнаружения, фиксации изъятия компьютерной информации при производстве некоторых следственных действий

Основными следственными действиями в ходе которых собирается компьютерная информация являются осмотр места происшествия, включая компьютер и его периферийные устройства, обыск и выемка. При всех этих действиях производится поиск информации в компьютере, тактика которого, прежде всего, должна исключать уничтожение или повреждение искомой информации, помочь следователю правильно разобраться в сложном информационном массиве, найти требуемое и зафиксировать изъятую информацию.

На подготовительном этапе следователю необходимо оценить всю имеющуюся у него информацию о расследуемом преступлении. На необходимость изъятия криминалистически значимой компьютерной информации помимо совершения компьютерного преступления могут

437

указывать также наличие у подозреваемого (обвиняемого), потерпевших в личном пользовании компьютерной техники, специальное образование в области вычислительной техники и информатики; увлеченность этих лиц информатикой и пр.

Компьютерная информация может находиться (а, следовательно, и быть обнаружена) в системном блоке компьютера, его конструктивных элементах, периферийных устройствах и иных носителях машинной информации.

На подготовительном этапе осмотра или обыска важно получить достоверные данные о виде и конфигурации используемой ЭВМ; возможной организации локальной сети или подключении компьютера к глобальной сети (типа Internet); наличии службы информационной безопасности, защите данных от несанкционированного доступа; состоянии системы электропитания помещений, где установлена вычислительная техника; квалификации пользователей, а также о взаимоотношениях в коллективе сотрудников, обслуживающих технику.

Владение такой информацией позволит следователю получить всю криминалистически значимую информацию, хранящуюся в компьютере; максимально повысить ее доказательственное значение.

Внезапность проведения осмотра или обыска имеет важное значение для его успешного проведения. В противном случае подозреваемый (обвиняемый) может быстро уничтожить изобличающие его материалы, находящиеся в ЭВМ или на магнитных носителях. Если получены сведения о том, что компьютеры организованы в локальную сеть, следует установить местонахождение всех средств компьютерной техники, подключенных к этой сети. При этом обязательно проводится групповой обыск или осмотр одновременно во всех помещениях, где установлены ЭВМ.

Перед началом осмотра или обыска необходимо в первую очередь принять меры к предотвращению возможного повреждения или уничтожения информации. Принять меры к контролю за бесперебойным электроснабжением ЭВМ для предупреждения случайного выключения машины в момент осмотра.

438

Удалить всех посторонних лиц с территории, на которой производится осмотр или обыск, и прекратить дальнейший доступ на нее. Исключить возможность контакта с компьютерами и их периферийными устройствами всех пользователей ЭВМ. Если на объекте находятся взрывчатые, легковоспламеняющиеся, едкие вещества, посторонние источники электромагнитного излучения и другие вещества и аппаратура, способные привести к аварии электронно-вычислительной техники – эвакуировать их.

К участию в осмотре или обыске необходимо привлечь специалистов в области информатики и вычислительной техники. Кроме того, к участию в осмотре места происшествия или компьютера желательно привлечь специалиста-криминалиста, поскольку на аппаратных средствах зачастую оказываются следы рук, металлообрабатывающих инструментов, ручной пайки на внутренних элементах компьютерных средств.

А.В. Касаткин высказал интересное предложение приглашать в качестве понятых квалифицированных пользователей компьютерной техники. Теперь таких понятых найти не так уж трудно, а польза очевидна, поскольку специфичность и сложность для непосвященного человека манипуляций с компьютерной техникой могут существенно понизить в дальнейшем доказательственное значение результатов следственного действия.

Не следует ограничиваться поиском информации только в компьютере, но следует внимательно осмотреть имеющуюся в помещении документацию – записи, даже на клочках бумаги, могут иметь значение для успешного достижения цели. Сделать это необходимо ввиду того, что программисты часто не надеются на свою память и оставляют записи о паролях, изменениях конфигурации системы, особенностях построения информационной базы компьютера. Многие пользователи хранят копии своих файлов на дискетах для избежания утраты их при выходе компьютера из строя. Поэтому обнаружение любых носителей информации должно побуждать следователя к их изъятию, изучению и использованию.

Тактика поиска компьютерной информации должна избираться исходя из степени защищенности данных, функ-

439

ционального состояния компьютера и периферийных устройств на момент проведения следственного действия.

В первом случае тактические особенности собирания доказательств в компьютере зависят от того, насколько сложно организована защита ЭВМ от несанкционированного доступа. Для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые, при определенных условиях автоматически производят полное или частичное стирание информации.

Под высокой степенью защищенности компьютерной информации понимают такую организацию защиты, при которой применяются специальные программные и технические средства, лица, ее устанавливающие, имеют высокую специальную профессиональную квалификацию в области информатики, требуются относительно большие временные и материальные затраты.

Также обычно осуществляется физическая охрана, предусматривающая постоянное наличие охраны территории и здания, где размещается компьютерная система, использование строгого пропускного режима, специальное оборудование помещений.

Низкая степень защищенности определяется наличием простого алгоритма ограничения доступа (например, данные защищены только паролем), получением достоверных данных о его преодолении. При этом нет необходимости применения специальных средств для доступа к данным.

Деятельность следователя по преодолению защиты компьютера от несанкционированного доступа одна из самых ответственных. Именно при некорректном обращении к защищенным данным последние могут быть самоуничтожены, искажены, спрятаны с помощью специальных программ. Включать и выключать компьютеры, производить с ними какие-то манипуляции может только специалист в области вычислительной техники, участвующий в производстве данного следственного действия. Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, до его включения следует проверить, находятся ли все компьютеры и периферийные устройства в отключенном состоянии. 440

Тактические особенности поиска компьютерной информации зависят от функционального состояния ЭВМ и ее периферийных устройств на момент осмотра или обыска. Признаками работающего компьютера могут быть подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на передней панели системного блока, наличие на экране монитора изображения.

В случае, если компьютер на момент начала осмотра оказался включен, необходимо оценить информацию, изображенную на дисплее. Прежде всего, определить, какая программа исполняется на данный момент. В случае работы стандартного программного продукта (например на экране изображены стандартные окна операционных оболочек Norton Commander или Windows) не приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран дисплея необходимо сфотографировать. Отключить все телефонные линии, подключенные к компьютеру (если таковые соединения имеются). Описать все соединения на задней стенке системного блока. Если необходимо, – вскрыть кожух системного блока и визуально определить конфигурацию ЭВМ, описать месторасположение электронных плат. Следование данной рекомендации позволит обезопасить поиск информации от различного рода устройств повреждения или уничтожения как аппаратных средств, так и информационной базы. Этими устройствами могут быть электронные ключи, радиозакладки-шумоподавители и др. В случае, если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства (платы расширения, нестандартные соединения и т.д.), компьютер необходимо сразу выключить. При этом следует не отключать тумблер блока питания, а вынимать вилку из розетки.

Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены. Промаркировать все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств.

441

Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы, либо дождаться завершения ее работы для получения дополнительных, возможно искомых, данных. Присутствующим при следственном действии необходимо разъяснять все действия следователя и специалиста в ходе манипуляций с ЭВМ. Недопустимо проводить какие-либо действия с информационной базой без наглядного и доступного комментария своих действий. Объяснено должно быть любое нажатие на клавишу клавиатуры, передвижение мыши и т.д. Это в дальнейшем позволит обезопасить добытые доказательства от негативной оценки их допустимости судом.

Если для поиска информации задействуются программные продукты, не находящиеся в компьютере, а используемые следователем, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль за их работой – нагляден, т.е. все ключевые этапы работы программы должны изображаться на экране дисплея и следователь либо специалист должны комментировать происходящее. Максимально активное участие понятых при поиске информации важно еще и потому, что результатом выполнения искомой программы может явиться не текстовый или графический документ, а аудио- или видеоролик. Такой итог работы программы будет уникальным (неповторимым) и зафиксировать эту информацию можно только запротоколировав ее, а также использовав фото- и видеосъемку.

В случае обнаружения искомой информации, текущее изображение экрана дисплея также необходимо сфотографировать, после чего стандартными средствами переписать информацию на постоянный носитель (обычно -магнитный диск) либо распечатать ее.

В протоколе следственного действия следователь описывает основные физические характеристики изымаемых устройств, магнитных и других постоянных носителей информации, серийные номера аппаратуры, их видимые индивидуальные признаки. Машинная распечатка оформляется как приложение к протоколу.

При расследовании уголовных дел обычно изымаются все имеющиеся на объекте компьютеры (или хотя бы 442

блоки памяти) и магнитные носители. Компьютеры и их комплектующие опечатываются путем наклеивания на разъемы листа бумаги и закрепления его краев на боковых стенках компьютера густым клеем или клейкой лентой, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. Магнитные носители упаковываются, хранятся и перевозятся в специальных экранированных контейнерах или в стандартных дискет-ных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и наводок, направленных излучений. Опечатываются только контейнеры или футляры. Пояснительные надписи могут наноситься только на специальные самоклеящиеся этикетки для дискет, причем сначала делается надпись, а потом этикетка наклеивается на предназначенный для этого участок на дискете. Если на дискете уже имеется этикетка с какой-либо надписью, проставляется только порядковый номер, а пояснительные надписи под этим номером делаются на отдельном листе, который вкладывается в коробку. Недопустимо приклеивать что-либо непосредственно к' магнитным носителям, пропускать через них бечеву, пробивать отверстия, наносить подписи, пометки, печати и т.д.

Перевозка и хранение компьютерной техники должны осуществляться в условиях, исключающих ее повреждение, в том числе в результате воздействия металлоде-текторов, используемых для проверки багажа в аэропортах. При перевозке и складировании недопустимо ставить компьютеры один на другой, размещать на них какие-либо другие предметы. Хранят компьютеры и комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов (мышей и крыс), которые часто являются причиной неисправности аппаратуры.

11.5. Особенности назначения судебных экспертиз

Для исследования компьютеров, их комплектующих и содержащейся в них компьютерной информации назначается компьютерно-техническая экспертиза – новый род инженерно-технических экспертиз предметом науч-

443

ных основ которой, являются закономерности формирования и исследования компьютерных систем и движения компьютерной информации. Исследование фактов и обстоятельств, связанных с проявлением этих закономерностей, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляет предмет компьютерно-технической экспертизы (КТЭ)1.

В рамках КТЭ мы выделяем два вида: техническую экспертизу компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования; экспертизу программного обеспечения, осуществляемую в целях изучения информации, хранящейся в компьютере и на магнитных носителях. КТЭ позволяет разрешать как диагностические, так и идентификационные задачи2.

Объектами КТЭ являются компьютеры в сборке, их системные блоки; периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатуры, сканеры, манипуляторы типа «мышь», джойстики и пр.), коммуникационные устройства компьютеров и вычислительных сетей; магнитные носители информации (жесткие и флоппи-дне1™, оптические диски, ленты); распечатки программных и текстовых файлов; словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например, технические задания и отчеты; электронные записные книжки, пейджеры, иные электронные носители текстовой или цифровой информации, техническая документация к ним.

Вопросы, выносимые на разрешение компьютерно-технической экспертизы, в зависимости от вида экспертизы можно также подразделить на две группы.

1 Российская Е.Р. Предмет и практические приложения компьютерно-технической экспертизы // Межд. конф. «Информатизация правоохранительных систем». - М., 1998.

2 Российская ЕР. Судебная экспертиза в уголовном, гражданском, арбитражном процессе. - М.: Право и закон, 1996.

444

Вопросы, разрешаемые технической экспертизой компьютеров и их комплектующих (диагностические):

1. Компьютер какой модели представлен на исследование? Каковы технические характеристики его системного блока и периферийных устройств? Каковы технические характеристики данной вычислительной сети?

2. Где и когда изготовлен и собран данный компьютер и его комплектующие? Осуществлялась ли сборка компьютера в заводских условиях или кустарно?

3. Соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации? Не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации)?

4. Исправен ли компьютер и его комплектующие? Каков их износ? Каковы причины неисправности компьютера и периферийных устройств? Не содержат ли физических дефектов магнитные носители информации?

5. Не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)

6. Каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер)? Исправны ли эти средства? Каковы причины неисправностей?

Диагностические вопросы, разрешаемые экспертизой данных и программного обеспечения:

1. Какая операционная система использована в компьютере?

2. Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся? Каково назначение программных продуктов? Каков алгоритм их функционирования, способы ввода и вывода информации? Какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной

. программы, базы данных?

445

1

3. Являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками?

4. Не вносились ли в программы данного системного продукта какие-либо коррективы (какие), изменяющие выполнение некоторых операций (каких)?

5. Соответствует ли данный оригинальный компьютерный продукт техническому заданию? Обеспечивается ли при его работе выполнение всех предусмотренных функций?

6. Использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.? Каково содержание скрытой информации? Не

' предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа?

7. Возможно ли восстановление стертых файлов? Возможно ли восстановление дефектных магнитных носителей информации? Каково содержание восстановленных файлов?

8. Каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?

9. Имеются ли сбои в функционировании компьютера, работе отдельных программ? Каковы причины этих сбоев?

10. Не вызваны ли сбои в работе компьютера влиянием вируса (какого)? Распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы? Возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденной вирусом?

11. Каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.? Имеется ли в книжке скрытая информация и каково ее содержание?

12. Когда производилась последняя корректировка данного файла или инсталляция данного лрограммного продукта?

13. Каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия с компьютером и программным обеспечением?

446

С помощью компьютерно-технических экспертиз возможно разрешение и некоторых вопросов идентификационного характера:

1. Имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения?

2. Не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютерно-технической и автороведческой экспертиз)?

При расследовании преступлений, в которых вычислительная техника используется для достижения преступной цели и в том числе преступлений в сфере движения компьютерной информации, могут назначаться и традиционные криминалистические экспертизы. Например, с помощью дактилоскопической экспертизы могут быть идентифицированы следы рук на клавиатуре.

Использование компьютерных технологии для проектирования и изготовления подложных документов, денежных знаков, кредитных карточек и т.д. требует назначения технико-криминалистической экспертизы документов. Расследование преступлений в сфере экономики, совершаемых с использованием компьютерных, телекоммуникационных систем, кредитных карточек и т.д. связано с назначением судебно-экономических экспертиз.