РАЗДЕЛ IV. УГОЛОВНО-ПРАВОВЫЕ И КРИМИНАЛИСТИЧЕСКИЕ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Наталья Ахтырская
МЕТОДИКА ДОКАЗЫВАНИЯ ВИНЫ ПОДОЗРЕВАЕМОГО В СОВЕРШЕНИИ КОМПЬЮТЕРНОГО ПРЕСТУПЛЕНИЯ
Субъективная сторона преступления - это внутренняя сторона преступления, то есть
психическая деятельность лица, отражающая отношение его сознания и воли к общественно опасному деянию, им совершаемым, и к его последствиям. Содержание субъективной стороны состава преступления характеризуют определенные юридические признаки. Такими признаками является вина, мотив и цель совершения преступления. Они тесно связаны между собой, однако, их содержание и значение в каждом отдельном случае совершения преступления неодинаковые. Вина лица - это основа, обязательный признак любого состава преступления, она определяет само наличие субъективной стороны и, в значительной степени, ее содержание. Отсутствие вины исключает субъективную сторону и тем самым состав преступления. Однако во многих преступлениях субъективная сторона требует установления мотива и цели, которые являются ее факультативными признаками. Они имеют значение обязательных лишь в тех случаях, когда названы в диспозиции закона как обязательные признаки конкретного преступления. Особенности некоторых составов преступлений определяют необходимость установления эмоций, которые испытывает лицо во время совершения преступления. Они различаются по своему характеру, содержанию, временем возникновения. Большинство из них находятся за пределами субъективной стороны преступления, так как не влияют на формирование ее признаков (раскаивание в содеянном, страх наказания) или влияние их настолько незначительное, что не имеет существенного значения при формировании в сознании лица мотива совершения преступления.
В ст.62 Конституции Украины закреплен важный принцип, в соответствии с которым уголовная ответственность наступает только тогда, когда будет доказано вину лица в совершении преступления. Это конституционное положение нашло свое отражение и в Уголовном кодексе Украины. В соответствии со ст. 23 УК Украины вина - это психическое отношение лица к совершаемому действию или бездействию, предусмотренного этим Кодексом, и их последствиям, выраженное в форме умысла или неосторожности.
Вина - категория социальная. Этот признак находит свое проявление в негативном или пренебрежительном отношении лица, совершившего преступление, к тем интересам или социальным благам, ценностям, охраняемым уголовным законом.
Форма вины - это указанные в уголовном законе сочетание определенных признаков сознания и воли лица, совершившего преступление. Закон выделяет умысел и неосторожность.
Научно-технический прогресс невозможен без широкомасштабных внедрений в управленческую деятельность, в различные сферы науки и техники и производства электронно-вычислительной техники. Это требует развития и усовершенствования правовых средств регулирования общественных отношений в сфере компьютеризации деятельности человека. Регулирование осуществляется такими нормативными актами: Законом Украины «О защите информации в автоматизированных системах» от 5 июля 1994 года [1], Положением о технической защите информации в Украине, утвержденным Указом Президента Украины от 27 сентября 1999 г. №1229 и др.
Для объективной стороны преступлений, предусмотренных XYI разделом УК Украины, требуется не только совершение общественно опасного деяния (незаконное вмешательство в работу ЭВМ, похищение, присвоение компьютерной информации), но и наступление
106
Компьютерная преступность и кибертерроризм 2004/2
общественно опасных последствий (изменение или уничтожение компьютерной информации или ее носителей, причинение существенного вреда собственнику ЭВМ (компьютеров), систем и компьютерных сетей (ч.2 ст.361)). При этом вымогательство компьютерной информации может рассматриваться и как преступление с формальным (и усеченным) составом. Субъективная сторона этих преступлений предусматривает, как правило, умышленную вину. Хотя возможна и неосторожность — при нарушении правил эксплуатации автоматизированных электронно-вычислительных систем (ст.363). Мотивы и цели могут быть различными - месть, зависть, стремление к владению информацией. Если похищение информации совершается с корыстных мотивов и содержит признаки мошенничества, то совершенное следует квалифицировать по совокупности преступлений - по ст. 362 и ст. 190 УК Украины.
Субъективной стороной незаконного вмешательства в работу электронно-вычислительных машин (компьютеров) систем и компьютерных сетей (ст.361 УК Украины) является умысел - прямой или непрямой. При похищении, присвоении, вымогательстве компьютерной информации или завладении ею путем мошенничества или злоупотребления служебным положением (ст. 362 УК Украины) вина определяется в форме только прямого умысла. При нарушении правил эксплуатации автоматизированных электронно-вычислительных систем (ст. 363 УК Украины) допустима любая форма вины, как умысел, так и неосторожность, а в отношении общественно опасных последствий возможна только неосторожная форма вины.
Специфика установления дефиниции вины по компьютерным преступлениям состоит в том, что данный вид преступления приносит ущерб не только охраняемым уголовным законом общественным отношениям, но и отношениям, охраняемым гражданским законодательством. А поскольку данный вид преступления является международным, транснациональным, то можно с уверенностью констатировать, что причиняется ущерб и отношениям, которые охраняются и нормами международного права.
Исходя из сказанного, стоит заметить, что вина в уголовном, гражданском и международном праве определяется по-разному. Так, вина в уголовном праве - это психическое отношение лица к совершенному или совершаемому им преступлению. Принадлежит к обязательному элементу состава преступления. В зависимости от интеллектуального и волевого содержания психического отношения лица к совершаемому им деянию закон разделяет вину на умышленную и неосторожную. Умысел характеризуется тем, что лицо именно во время совершения запрещенного законом деяния сознает его общественную опасность, предвидит его опасные последствия и желает их наступления (умысел прямой); при тех же самых условиях не желает, но сознательно допускает их наступление, относится к их наступлению равнодушно (умысел косвенный). Неосторожно действует тот, кто предвидит абстрактную возможность наступления общественно опасных последствий своих действий (или бездеятельности), однако легкомысленно рассчитывает на их ненаступление или предотвращение (преступная самонадеянность). Так действует и тот, кто не представляет негативных последствий, кто должен был (юридически обязан) и мог (имел возможность) их предвидеть (преступная небрежность). Случайно причиненный ущерб характеризуется тем, что лицо не предвидело наступления общественно опасных последствий своих действий (или бездействия) и не могло или не должно было их предвидеть. В этом случае уголовная ответственность не наступает [2].
Вина в международном праве - доктрина, согласно которой международно-правовую ответственность влекут за собой только те незаконные действия государства, которые имеют вину (в виде умысла или небрежности). Отношение теории и практики к этой доктрине неоднозначное, поскольку ее содержание, как правовой категории деликта, заимствованного из внутреннего права, в определенной степени противоречит природе ответственности государства, связанной, в первую очередь, с нарушением правового обязательства. Ответственность государств базируется на том, что действия и упущения могут быть признанными незаконными ссылками на нормы, устанавливающие права и обязанности
107
Компьютерная преступность и кибертерроризм 2004/2
субъектов международного права. В соответствующих случаях последние могут также требовать компенсацию за последствия законных или «извинительных» (сатисфакционных) действий. Согласно современной доктрине, нарушение международных обязательств есть незаконным действием или международным правонарушением, которое может быть признано как действие или упущение, что не оправдывает субъект международного права и является умышленным. В доктрине международного права отражается мысль о том. что в условиях международной жизни, охватывающей отношения между общностями большой сложности, более реалистическим является применение существующей в публичном праве правовой категории ultra vires, а не поиск субъективной вины субъектов международного права в процессе установления законности или незаконности действий. Считается, что практика государств, юрисдикция арбитражных трибуналов и Международного суда ООН осуществлялись в русле теории объективной ответственности как общего принципа. Известный голландский юрист-международник Ж.Верзийл, обращаясь к доктрине ответственности государства, указал, что государство несет ответственность за все действия, порученные ее должностным лицам или органам, независимо от наличия или отсутствия вины с их стороны [3].
Вина в гражданском законодательстве является условием ответственности, как гражданина, так и юридического лица. В частности, предприятия, учреждения и организации должны возмещать причиненный ущерб их работниками во время выполнения ими своих трудовых (служебных) обязанностей.
Особенностью является то, что гражданское право как исключение предусматривает случаи наступления безвинной ответственности [4].
Таким образом, при установлении вины лица, совершившего «компьютерное» преступление необходимо учитывать:
степень общественной опасности содеянного;
способ совершения преступления;
масштабность последствий (регион, государство, международное
пространство);
сферу воздействия (финансовая, военная, техническая, технологическая);
цель (корыстная, политическая);
- характер действий (хулиганский, террористический);
статус лица (сотрудник, имеющий доступ к информации, к сетям; должностное лицо, в обязанности которого входит функция контроля; допущено ли лицо к государственной тайне; постороннее лицо, имеющее специальные познания);
- выполняются преступные действия по личному умыслу или по поручению каких-
либо органов (согласно международной доктрине).
Ввиду сложности субъективной стороны указанного вида преступления весьма сложным является и процесс доказывания вины.
Доказывание, как познавательный процесс, можно представить как процесс извлечения, накопления, переработки, передачи и использования доказательственной информации. Для характеристики информационной сущности этого процесса необходимо определить само понятие информации вообще и доказательственной информации в частности.
Ни в философии, ни в кибернетике - науках, наиболее детально исследующих вопросы теории информации и ее сущности - нет единого понимания и определения этого понятия. Один из основоположников теории информации и кибернетики Н.Винер, касаясь этого вопроса в самой общей форме, писал: «Информация - это обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших органов чувств» [5]. Несколько далее он говорит, что информация - это мера упорядоченности [6]. Развивая эту мысль и ставя вопрос о том, мерой упорядоченности чего является информация, И.Новиков приходит к выводу, что информация - это мера упорядоченности отражения, подобно тому, как шум - мера хаотичности отражения [7].
108
Компьютерная преступность и кибертерроризм ; 2004/2
По мненшо А.Р.Белкина, изменения, связанные с событием, есть доказательства, а мера связи доказательств с событием, к которому они относятся, находящаяся в прямой зависимости от количественного и качественного содержания этих изменений, есть доказательственная информация [8].
Таким образом:
доказывание есть процесс, заключающийся в получении, хранении, передаче и
переработке информации в специальных целях судопроизводства;
доказательство - сигнал (сигнал-образ) или сообщение как единство содержания,
источника и формы;
информация (доказательственная, судебная, идентификационная) - сведения о
событии как предмете доказывания.
Данные о следах совершения преступления в сфере компьютерной информации являются наиболее важными в процессе доказывания вины. Следы совершения преступления в сфере компьютерной информации в силу специфики рассматриваемого вида преступления редко рассматриваются современной трасологией, поскольку в большинстве случаев носят информационный характер, т.е.представляют собой те или иные изменения в компьютерной информации, имеющие форму ее уничтожения, модификации, копирования, блокирования [9].
Как справедливо отмечает А.В.Касаткин, «при современном развитии вычислительной техники и информационных технологий «компьютерные следы» преступной деятельности имеют широкое распространение. Это должно учитываться следователями и оперативными работниками в их деятельности по собиранию доказательств наряду с поиском уже ставших традиционными следов» [10].
На основании изложенного представляется целесообразным следы неправомерного доступа к компьютерной информации разделить на два типа: традиционные следы (следы-отображения) и нетрадиционные - информационные следы.
Новым направлением в собирании доказательственной информации, используемой для доказывания вины лица, совершившего компьютерное преступление, является разработка методики применения голографичестіх систем записи информации.
Обычные оптические системы записи информации для хранения ее в ячейках памяти ЭВМ работают следующим образом. Необходимая информация подается на модулятор, осуществляющий включение и выключение лазера. Последний - светочувствительным слоем в двоичном коде записывает необходимую информацию. Поскольку луч лазера создает пятно диаметром до микрометра, плотность записи информации оптическим методом очень высокая по сравнению с обычными запоминающими устройствами. Кроме того, скорость записи тоже высокая - до 100000000 двоичных единиц в секунду. Недостатком является невысокая надежность хранения информации. Голографические системы являются более надежными, так как каждая точка голограммы содержит информацию о записанном коде, а возможность записи в общей голограмме нескольких подголограмм с различными опорными волнами обеспечивает многоканальную структуру голографической системы.
Применяется голография для хранения и обработки информации. Информация об объекте, записанная в виде интерференционной структуры, однородно распределена на большой площади. Это обусловливает высокую плотность записи информации и ее большую надежность. Обработка записанного на голограмме массива информации световым пучком происходит одновременно по всей голограмме (с огромной скоростью). Неисчерпаемые возможности голография открывает в области вычислительных машин и других систем накопления и обработки информации. Расчеты показывают, что плоская голограмма на пластине размером 7x7 см вмещает 100 млн. единиц информации, что соответствует библиотеке из 300 книг по 200 страниц каждая. Объемная голограмма способна сосредоточить миллион миллионов единиц информации в одном кубическом сантиметре. Задача состоит в том, чтобы удобно и быстро осуществить такую запись и, что особенно сложно, быстро извлечь из этой массы нужную информацию.
109
Компьютерная преступность и кибертерррризм 2004/2
В последнее время создан ряд приборов, в основе которых лежат принципы голографии, которые могут быть приспособлены или переоборудованы для решения задач криминалистики. Такими приборами являются голоскоп и голографический дисдрометр.
Голоскоп или созданные на его основе криминалистические средства можно использовать при осмотре места происшествия, обысках и других следственных действиях и оперативно-розыскных мероприятиях, так как они позволяют обнаружить и зафиксировать скрытые от непосредственного наблюдения объекты через малые отверстия.
В настоящее время большое внимание привлекают голографические методы обработки информации, использующие интерференционную систему записи исходных данных. Это связано с возможностью их применения для создания голографических запоминающих устройств большой емкости, кодирования информации, распознавания и сравнения изображений объектов и других задач [11].
Способность кодировать информацию может быть широко использована в криминалистике, в частности в борьбе с терроризмом, компьютерными преступлениями в виду сложности фиксации следовой и информационной базы данных, подтверждающих виновность лиц.
Таким образом, с целью упрощения процедуры исследования информации, свидетельствующей о совершении преступлений в сфере высоких технологий необходимо разрабатывать новые направления высокоточной фиксации информации, в частности разрабатывать теорию криминалистической голографии - раздела криминалистической техники, представляющего собой систему научных положений и разработанных на их основе технических средств, методический и практических рекомендаций по получению объемного изображения объектов и следов преступления, их учету и исследованию, а также защите документов, товаров и платежных средств от подделки в целях предотвращения, раскрытия и расследования общественно опасных деяний.
Изготовленные голограммы могут выступать в качестве доказательства или приложения к протоколу осмотра места происшествия или осмотра сложной техники (например, компьютера).
Информацию из оперативной памяти компьютера необходимо изымать путем копирования соответствующей машиной информации на физический носитель с использованием только стандартных паспортизированных программных средств. В таких случаях они снабжаются соответствующим документальным приложением. При этом в протоколе осмотра фиксируется программа, исполняемая компьютером на момент проведения осмотра; результат действия этой программы; манипуляции со средствами компьютерной техники (включая нажатия на клавиши клавиатуры), произведенные в процессе проведения следственного действия, и их результат. В противном случае информация, содержащаяся в процессуальном документе, не будет иметь логически-доказательственного значения.
В основе перехода к информационно-технологическому обществу лежат фундаментальные достижения физики полупроводников и лазерной физики, которые определяют не только кардинальные достижения в технологиях, но и приводят к большим социально-экономическим преобразованиям в обществе. «Мы ушли вперед на целый день творения по сравнению с основной технологией» - из Нобелевской лекции Денниса Габора. Развитие «технических» преступлений требует развития и процессуального закрепления новых способов фиксации доказательственной информации, формулирования унифицированного определения вины по преступлениям, имеющим международный характер, причиняющим ущерб экономической системе, военной безопасности, информационной защищенности.
Відомості Верховної Ради України. - 1994. -№31.- Ст.286.
Юридична енциклопедія. Київ: „Українська енциклопедія" імені М.П.Бажана, 1998.
Т.1.-С.394-395.
110
Компьютерная преступность и кибертерроризм 2004/2
Schwarzenberger G., Brown E. A Manual of Intemacional Law. London, 1976.
Юридична енциклопедія. - Київ: „Українська енциклопедія" імені М.П.Бажана, 1998.
Т.1.-С.395.
Винер Н. Кибернетика и общество. - М., 1958. - С.31.
Там же. -С.44.
Новиков И. Кибернетика. Философские и социальные проблемы. - М., 1963. - С.60.
Белкин А.Р. Теория доказывания. - М: НОРМА, 1999. - С.76.
Гаврилина Ю.В. Преступления в сфере компьютерной информации: квалификация и
доказывание. - М: Книжный мир, 2003. - С.78.
Касаткин А.В. Тактика собирания и использования компьютерной информации при
расследовании преступлений: Автореф. дисс.... канд. юрид. наук. - М., 1997. - С.14.
Григорович В.Л., Федоров Г.В. Голография в криминалистике. - Минск: АМАЛФЕЯ,
2003.-С.124.
Наталья Ахтырская
КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ И ВОЗМОЖНОСТИ ЕЕ ИСПОЛЬЗОВАНИЯ В СИСТЕМЕ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ И СУДАХ
Одной из областей специальных познаний, граничащей с научными областями судебной компьютерно-технической экспертизы и зачастую необходимой для комплексного экспертного исследования компьютерных средств и систем, является криптология. Криптология (от греческого «криптос» - тайно и «логос» - мысль) - это наука, позволяющая делать тайное явным и наоборот. Криптология состоит из двух равновеликих областей, одна из которых - криптография - занимается собственно зашифровыванием, засекречиванием информации, а другая - криптоанализ - в противовес первой заботится о вскрытии, «взламывании» шифров. Понятно, что эти два направления находятся в тесной взаимосвязи и не могут существовать одно без другого: криптографы создают новые шифры, а криптоаналитики доказывают (или опровергают) их стойкость.
Хотя слово «криптография» в буквальном смысле означает «тайнопись», надо заметить, что в привычном понимании это далеко не одно и то же. Тайнописью является, к примеру, письмо молоком между строк книг. Применительно к компьютерным технологиям это может быть сокрытие информации в «хвосте» ЕХЕ-файле. Криптография не пытается скрыть факт наличия сообщения - она делает тайным только его смысл.
Криптографическим шифрованием называется процесс замены и/или перестановки тех или иных символов (байтов, битов) исходного сообщения по специальному алгоритму в соответствии с заданным ключом (своего рода паролем).
Причем, что немаловажно, одному и тому же символу исходного сообщения, который может встречаться там сколько угодно раз, всегда соответствуют различные и случайные символы шифровки. Иначе сам процесс назывался бы просто кодированием и не представлял бы никакого интереса для криптологической науки. Кодированные шифровки вскрываются опытными специалистами-криптографами в достаточно короткие сроки.
В криптологии различают два вида шифрования: симметричное и асимметричное.
Первое иногда называют одноключевым шифром или шифром с секретным ключом. Симметрия заключается в том, что для засекречивания и рассекречивания одного и того же сообщения применяется один и тот же ключ. Симметрические шифры идеально подходят для тех случаев, когда компьютерная информация просто хранится на винчестере, дискетах или других носителях. Одноключевые шифры очень надежны, но ими редко пользуются, когда, например, требуется переправить закрытое сообщение по e-mail. Здесь ответ в том, что если пользователь защитит свое письмо симметрическим шифром, то ключ придется
111
Компьютерная преступность и кибертерроризм 2004/2
пересылать каким-либо другим способом. Однако многие пользователи считают, что этот способ абсолютно не сможет гарантировать стопроцентную «неприкосновенность» e-maii в пути.
Именно поэтому большой экспертный интерес представляет другой вид шифров -асимметричный. Иначе его можно назвать двухключевым шифром или шифром с открытым ключом. Ключ, используемый для рассекречивания сообщений, в этом случае отличается от того, который применяется при зашифровке. Знание одного из этих ключей не дает возможности определить другой, поэтому «входной ключ делают общедоступным, но он общедоступным образом генерируется получателем сообщения. В алгоритмах асимметричного шифрования используется математическая функция произведения двух чисел. Да, зная любые два числа, легко найти их произведение. Однако однозначно определить сами эти числа по их произведению можно лишь методом перебора и последующей проверки на зашифрованном тексте.
Шифровку, сделанную при помощи хорошего алгоритма, можно раскрыть только традиционным путем подбора ключа. Если был выбран ключ достаточной длины, то можно с уверенностью утверждать о неопределенном времени экспертного исследования подобного объекта. Необходимо учитывать, что подобная процедура доступа к данным может стоить в несколько раз дороже, чем криминалистическая значимость зашифрованной информации. Следует отметить, что в практической криптографии ключ, как правило, намного короче сообщения. Поэтому именно для этой экспертной ситуации справедливо утверждать, что его можно определить подбором. Теоретически же для симметрических шифров доказана возможность создания абсолютно стойкого шифра, который невозможно «взломать». Это происходит, когда длина ключа равна длине сообщения (согласно теореме Шеннона).
В мире существует несколько десятков государственных и международных стандартов шифрования, которые прошли надежную проверку временем. Среди симметричных шифров это, непременно, DES (Data Encryption Standard), созданный в свое время фирмой IBM и являющийся ныне федеральным стандартом США. IDЕА (Improved proposed Encryption standard), RC и российский ГОСТ 28147-89 также являются наиболее яркими представителями симметричных шифров. Из шифров с открытым ключом можно упомянуть такие спецификации, как MD 20899, ISO/IEC/DIS 9594-8, Х.509. Потенциально эксперт в своей практике может встретиться со всеми указанными стандартами, поэтому знание их поможет эффективно спланировать свою исследовательскую работу.
Одной из таких программ, наиболее сложной для решения каких-либо диагностических экспертных задач, является программа PGP (Pretty GOOD Privacu). Ее производитель PGP Inc. Адрес WWW: wwww.pgp.com. Имеются версии программы для операционных систем DOS, Windows 95|98|NT, Macintosh, Unix. Это целая группа утилит, основанных на самых надежных из существующих ныне алгоритмах шифрования. Начало шифрования былс положено американским программистом Филом Зиммерманом (Phil Zimmerman) в начале 90-х годов.
Тогда в США витала угроза принятия решения о запрете массового использование
стойких криптографических алгоритмов, не дающих спецслужбам возможности
беспрепятственно читать шифровки. В ответ на это Зиммерман поместил в Интернете
бесплатную версию своей утилиты, в результате чего подвергся трехлетнему преследовании
со стороны властей, а сама PGP стала самым известным и почитаемым криптографически
средством. Сейчас она пользуется доверием более двух миллионов пользователей по всем}
миру. .
Программа PGP практикует как симметричное, так и асимметричное шифрование, чте делает ее идеальным средством для применения и на «отдельно стоящих» компьютерах, и і сетях. Кроме того, PGP дает возможность снабдить зашифрованные файлы так называемо! электронной цифровой подписью, которая аналогично традиционным подписи и печаті позволяет подтвердить авторство, оригинальность того или иного сообщения. При работе е
112
Компьютерная преступность и кибертерроризм ; 2004/2
mail это достоинство очевидно: исправная цифровая подпись гарантирует, что документ не изменялся в пути.
Оригинальная версия PGP запрещена к экспорту из США - в остальных странах доступны только несколько усеченные международные реализации. Надо отметить, оригинальная версия уже давно экспортирована незаконно и успешно проживает в сети Интернет. Кстати, в настоящее время уже появился проект русификации программы PGP. Различные версии распространяются как на коммерческой основе, так и бесплатно.
PGP - это самое надежное, эффективное, профессиональное средство, позволяющее быстро защитить компьютерную информацию. Поэтому экспертная задача по диагностированию программного обеспечения исследуемого компьютера на предмет использования средств PGP выделяется среди других частных задач. Существуют десятки не менее сильных алгоритмов шифровки, чем тот, который используется в PGP, но популярность и бесплатное распространение сделали PGP фактическим стандартом для электронной переписки во всем мире. Поэтому признаки применения этого средства эксперт СКТЭ, скорее всего, обнаружит при исследовании e-mail-информации.
Обычные средства криптографии (с одним ключом для шифровки и дешифровки) предполагали, что стороны, вступающие в переписку, должны были вначале обменяться секретным ключом или паролем, если хотите, с использованием некоего секретного канала (например, личная встреча) для того, чтобы начать обмен зашифрованными сообщениями. Получается замкнутый круг: чтобы передать секретный ключ, нужен секретный канал; чтобы создать секретный канал, нужен ключ.
Рассматриваемая программа PGP относится к классу систем с двумя ключами, публичным и секретным. Это означает, что некий пользователь может сообщить о своем публичном ключе всему свету, при этом другие пользователи программы смогут отправлять ему зашифрованные сообщения, которые никто, кроме него, расшифровать не сможет. Сам же он расшифровывает эти сообщения с помощью своего второго, секретного ключа, который, разумеется, держится в тайне. Публичный ключ выглядит как небольшой текстовый блок, его можно разместить на какой-либо Web-странице или послать его электронной почтой своему абоненту.
Отправитель зашифрует сообщение с использованием публичного ключа получателя и отправит его. Прочесть это сообщение сможет только получатель с использованием своего секретного ключа. Даже сам отправитель не сможет расшифровать адресованное получателю сообщение, хотя он сам написал его несколько минут назад.
Важно знать, что сегодня даже самым мощным компьютерам в мире требуются века, чтобы расшифровать сообщение, зашифрованное с помощью PGP. Поэтому доступ к данным, зашифрованным PGP, эффективнее осуществлять иными, не экспертными путями и приемами.
Вопросы диагностирования систем и средств защиты компьютерной информации от несанкционированного доступа постоянно возникает в нынешней практике производства СКТЭ. Типичными случаями подобных экспертных ситуаций является необходимость исследования закрытых паролем архивов и пользовательских файлов, подготовленных с использованием офисных программ, в частности пакетом MS Office. Главным экспертным методом доступа к защищенным указанными средствами данным является метод подбора.
Одним из популярных в настоящее время программ-архиваторов является программа Pkzip и WinZip, позволяющие дополнительно защищать паролем созданные архивы. Этот способ защиты значительно слабее описанных выше, однако частота появления его в экспертной практике остается все еще большой.
Специалисты по криптографии утверждают, что в методе шифрования, используемом программой Pkzip, имеются некоторые дыры, позволяющие взломать архив, не только подобрав пароль, но и другими способами. Однако эти способы не входят в предмет СКТЭ.
В настоящее время существует довольно много специальных программ «взлома», например, такие, как FZC104, PCZcrack, AZPR и другие, свободно распространяемые через
113
Компьютерная преступность и кибертерроризм 2004/2
Интернет. Все подобные программы используют один из двух подходов по выбору пользователя. Они либо подбирают пароль с использованием большого словаря, либо атакуют в лоб (brute force), перебирая все возможные комбинации.
Эксперты СКТЭ должны учитывать, что согласно исследованиям психологов, большинство мужчин в качестве пароля используют короткие слова (в том числе из ненормативной лексики), а женщины - имена любимых мужчин и детей. Однако даже простые расчеты показывают, что экспертное вскрытие пароля может стать просто неисполнимой операцией из-за своей длительности по времени. Так, для «лобовой атаки» (подбор комбинации из всех возможных) со скоростью 200 000 комбинаций в секунду (примерно соответствует возможностям PC Pentium 100) для пароля из 6 знаков будут соответствовать следующие сроки.
Время подбора пароля из шести знаков
Набор символов Максимальное время
Только цифры 5,0 секунд
Только строчные буквы 25,7 минуты
Только символы 1,8 часа
Строчные и заглавные буквы 27,5 часа
Строчные, заглавные, цифры 3,3 дня
Строчные, заглавные, цифры, символы 42,5 дня
А если длина пароля не шесть, а 24 символа, тогда получаются тысячелетия. Поэтому в данных ситуациях, при отрицательном результате диагностики паролей из небольшого количества знаков, должны также применяться иные, не экспертные методы исследования.
В то же время использование аналогичных программных средств с целью проведения экспертного исследования при соответствующей их апробации, сертификации и последующем включении в методическое обеспечение СКТЭ представляется вполне допустимым. В связи с этим рекомендуется обратить внимание экспертов на программы, аналогичные программе Advanced ZIP Password Recovery, позволяющей вскрывать ZIP-архивы. Так как программа свободно распространяется через сеть Интернет, то подробнее остановимся на ее возможностях.
Для работы с программой Advanced ZIP Password Recovery необходимо иметь: операционную систему Windows 95 (любая версия), Windows 98, Windows NT 4,0 или Windows 2000 на CPU класса Pentium; 4 Мб RAM; 1 Мб на жестком диске. Программа отличается удобным интерфейсом на русском языке. Среди установок - символы, из которых может состоять пароль (подбор только строчными латинскими, добавление заглавных букв, цифр, специальных символов), что прямо влияет на скорость перебора, максимальная и минимальная длина пароля, маска (если часть пароля известна) и так далее. Существует возможность перебора по словарю (словарь Word или какой-либо другой), по списку наиболее популярных паролей.
Исследовательская работа может вестись в фоновом режиме, кроме того, можно сохранить результаты подбора и продолжить его позже, если программу добавить в папку «Автозагрузка», то можно будет при каждом запуске ПК подбирать пароль с момента прекращения в прошлом сеансе. Такие операции становятся полезными, если учесть время обработки архива.
Скорость подбора на среднем персональном компьютере варьируется от 1 до 2 млн. паролей в секунду. При полном наборе вариантов (все печатаемые символы могут быть использованы в пароле) скорость подбора такова: 5 символов - 2 часа; 6 символов - больше 7 дней; 7 символов - больше года. А символов ZIP допускается до двадцати [1].
Примером компьютерно-технической экспертизы является исследование, проведенное в отношении представленных объектов - системный блок (4 шт.), накопитель (4 шт.) по
114
Компьютерная преступность и кибертерроризм 2004/2
уголовному делу, возбужденному в отношении сотрудников суда по факту служебного подлога по ст. 366 ч.2 УК Украины: служебный подлог, то есть внесение должностным лицом в официальные документы заведомо неправдивых сведений, иная подделка документов, а также составление и выдача заведомо неправдивых документов, если это повлекло тяжкие последствия, - наказывается лишением свободы на срок от двух до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Досудебным следствием было установлено, что судом было вынесено определение об отмене постановления о возбуждении уголовного дела и в отношении подозреваемых отменена мера пресечения. Однако в дальнейшем в определении был существенно изменен текст и копии резолютивной части направлены в следственный изолятор по месту содержания арестованных. Компьютеры в суде подключены к компьютерной сети. Для установления причин исчезновения первоначального текста была назначена экспертиза. На разрешение указанной экспертизы ставились следующие вопросы:
1.Были ли представленные на исследование компьютеры подключены к компьютерной сети, отвечает ли указанное в них время действительному, какие реквизиты характерны для этих компьютеров (пользователь, имя принтера и т д.)?
2.На чьих компьютерах выполнялся оригинал судебного решения, какова история создания и время существования указанного решения (имя файла, папка сохранения, дата создания, каким был первоначальный текст документа, сколько раз открывался, какие изменения в него вносились, какими были последние изменения и когда, в течение какого времени создавался документ, время печати. Количество экземпляров, статистика, копирование на носители информации, время и способ уничтожения?
З.На чьих компьютерах изготавливались копии судебного определения, резолютивная часть, рабочие версии, какова история их создания, время существования, переписывалось ли оно с компьютера на другой компьютер и каким образом (диски или компьютерная сеть)?
4.В какой последовательности создавались оригиналы определения суда и его копии и совпадают ли по смыслу и форматированию тексты оригинала определения и его копии?
5.Мог ли быть утрачен файл в связи с отключением света?
б.Мог ли измениться шрифт слов во время переноса файла по компьютерной сети с одного компьютера на другой в приемную суда для распечатки?
7.Не явилось ли причиной изменения шрифта сканирование текста с предыдущих версий?
8.Имели ли место сбои в работе компьютеров в течение указанного времени, если да, то по каким причинам, и не исчезали ли в указанный период из компьютера текстовые документы?
9.Могли бы исчезнуть файлы с информацией по указанному факту вследствие проведения экспертизы?
Для проведения экспертизы были созданы копии жестких дисков, на которых производилось восстановление утраченной информации средствами специального программного обеспечения, а поиск файлов осуществлялся средствами операционной системы.
В результате проведенных исследований установлено, что сбоев в работе компьютеров в течение указанных дней не зафиксировано, что указывает на отсутствие случайного исчезновения с этих компьютеров файлов с текстовыми документами.
Информационная безопасность в сфере правоохранительной деятельности и в судах становится новой сферой, требующей правового и технического обеспечения.
С учетом положений, предусмотренных Законом Украины «Об электронной цифровой подписи», принятом 22 мая 2003 года, электронная цифровая подпись - это вид электронной подписи, полученной в результате криптографического преобразования набора электронных данных, которая прилагается к этому набору или логически с ним сочетается и дает
■
115
Компьютерная преступность и кибертеррррнзм 2004/2
возможность подтвердить ее целостность и идентифицировать подписавшееся лицо (ст. 1 Закона).
В соответствии со ст.4, электронная подпись используется физическими и юридическими лицами - субъектами электронного документооборота для идентификации подписавшегося лица и подтверждения целостности данных в электронной форме. В утвержденной Главой Государственной судебной администрации Украины Инструкции по использованию компьютерной техники в судах речь идет о необходимости соблюдения конфиденциальности и сохранности судебной информации, содержащейся в компьютерах судебных органов.
В целях реализации п.6 ст. 18 Закона «Об электронной цифровой подписи», предусматривающего необходимость разработки и внесения на рассмотрение Верховной Рады Украины программы мероприятий по внедрению электронного документа, электронного документооборота и электронной цифровой подписи, целесообразно:
Разработать методику использования в судах закрытой системы документооборота
(судья-судья-канцелярия) с использованием личного ключа - параметра криптографического
алгоритма формирования электронной цифровой подписи, доступного только для
подписавшегося лица».
Разработать методику использования в судах в рамках закрытой системы
документооборота открытого ключа - параметра криптографического алгоритма проверки
электронной цифровой подписи, доступной субъектам отношений в сфере использования
электронной цифровой подписи.
Разработать Инструкцию об использовании в судах электронной цифровой
подписи.
В методику расследования преступлений, связанных с использованием
компьютерной информации, в качестве одного из элементов ^криминалистической
характеристики включить исследование использования электронной цифровой подписи
(особенности сферы деятельности, в которой совершено преступление, правовое
обеспечение ее использования данным физическим или юридическим лицом, степень
овладения методикой ее применения, подтверждение проведения инструктажа, семинара по
обучению физических лиц использованию цифровой электронной подписи, законодательное
закрепление ответственности за нарушение конфиденциальности информации о
криптографическом ключе, условия блокирования сертификата ключа и т д.).
1. Усов А.И. Судебно-экспертное исследование компьютерных средств и систем. Основы методического обеспечения. - М.: Экзамен, 2003. - С.262-263.
. Виталий Вехов
О НЕОБХОДИМОСТИ РАЗРАБОТКИ КРИМИНАЛИСТИЧЕСКОГО УЧЕНИЯ ОБ ИССЛЕДОВАНИИ И ИСПОЛЬЗОВАНИИ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ И
СРЕДСТВ ЕЕ ОБРАБОТКИ
Известно, что в последние годы произошло значительное ухудшение криминальной обстановки, которая оценивается как сложная и напряженная. Резко повысился профессионализм преступников, множатся дерзкие по замыслу и квалифицированные по исполнению преступления.
Произошла существенная консолидация организованной преступности, в том числе с крупнейшими транснациональными экономическими структурами. Углубились процессы перерастания общеуголовных групп в организованные преступные сообщества. Их деятельность носит характер открытого противостояния мировым правоохранительным
116
Компьютерная преступность и кибертерроризм 2004/2
системам и обществу в целом. Возрос уровень вооруженности, технической оснащенности и тяжести совершаемых ими общественно опасных деяний. Указанные факторы стали представлять реальную угрозу для национальной безопасности государств.
Процесс информатизации общества привел к тому, что компьютерная информация превратилась в основной товар, обладающий значительной ценностью, в своеобразный стратегический ресурс. Многие субъекты общественных отношений уже не могут существовать и нормально функционировать без взаимного информационного обмена и использования в своих технологических процессах разнообразных компьютерных устройств.
Возрастает число учреждений, предприятий и организаций, применяющих разнообразные автоматизированные сети и системы управления, обработки и электронной передачи различных данных, от сохранности которых зависит нормальная жизнедеятельность и безопасность государства. Не вызывает сомнений тот факт, что электронные документы все активнее вытесняют из оборота традиционные - бумажные.
Автоматизированные системы управления, электросвязи, мониторинга (контроля), прогнозирования (моделирования), охраны объектов и имущества, а также средства их обеспечения, конструктивно выполненные на базе разнообразных микропроцессорных устройств (интегральных микросхем), стали неотъемлемой частью высокодоходных и денежноемких технологий, используемых в стратегических сферах хозяйства и обороны многих государств. Все это, в совокупности с широкими возможностями и доступностью средств электронно-вычислительной техники и электросвязи, обезличенностью основной части содержащейся в них компьютерной информации привлекает внимание криминальных структур и лиц, входящих в состав международных террористических организаций.
Анализ состояния дел в различных отраслях мировой экономики свидетельствует о том, что за последние 20 лет в числе выявленных корыстных преступлений, отличающихся повышенной общественной опасностью, широкое распространение получили посягательства, которые объединены одним общим криминалистическим признаком -предметом или орудием их совершения стала компьютерная информация. Такие преступления стали называться компьютерными (computer crime). Массовый характер приобрели электронные хищения денежных средств в крупных и особо крупных размерах (computer fraud), причинение имущественного ущерба в сфере телекоммуникаций, неправомерный доступ к охраняемой законом компьютерной информации, подделка электронных и обычных документов (в т.ч. валюты), распространение порнографических материалов, незаконная деятельность в сфере предоставления услуг Интернет и цифровой электросвязи. Продолжает расти количество незаконного использования программ для ЭВМ, других объектов авторского и смежного права, находящихся в виде электронных документов на машинных носителях (так называемое «компьютерное пиратство»).
В последнее время количество компьютерных преступлений неуклонно увеличивается, возрастает их удельный вес по размерам похищаемых сумм и другим видам ущерба в общей доле материальных потерь от обычных видов преступлений. О динамике и масштабах этих преступных посягательств наглядно свидетельствуют следующие данные [1]:
1) за последние 10 лет их количество возросло в 22,3 раза и продолжает увеличиваться,
в среднем, в 3,5 раза ежегодно;
2) ежегодный размер материального ущерба от рассматриваемых преступных
посягательств составляет 613,7 млн. рублей;
средний ущерб, причиняемый потерпевшему от 1 компьютерного преступления,
равен 1,7 млн. рублей;
с определенной долей успеха расследуется лишь около 49% преступлений;
5) обвинительные приговоры выносятся лишь в 25,5% случаев от общего числа
возбужденных уголовных дел;
6) средний показатель количества уголовных дел, по которым производство
приостановлено, составляет 43,5% и ярко отражает низкую степень профессионализма
117
Компьютерная преступиость и кибертерроризм 2004/2
сотрудников правоохранительных органов в деятельности по раскрытию, расследованию и предупреждению указанных преступных посягательств.
Особую тревогу вызывает факт расширения масштабов и появления новых форм компьютерных преступлений, вышедших на стыке двух тысячелетий за рамки национальных законодательств.
Последнее десятилетие вопросы защиты охраняемой законом компьютерной информации, прав субъектов, участвующих в информационных процессах и информатизации, от преступных посягательств стали острейшей международной проблемой. Усилия по борьбе с компьютерными преступлениями предпринимаются как на национальном, так и на межгосударственном уровнях. Об этом свидетельствует ряд международных документов, из которых выделяются следующие: Конвенция о киберпреступности, принятая 27 апреля 2000 года Советом Европы [2]; Руководство по предотвращению и контролю над преступлениями, связанными с использованием компьютерной сети, для стран-членов ООН, в котором компьютерные преступления признаны глобальной международной проблемой [3]; Окинавская Хартия глобального информационного общества, принятая 23 июля 2000 года на Окинаве (Япония) на совещании руководителей Глав государств и правительств стран «Группы Восьми» [4]. В масштабе стран-участников Содружества Независимых Государств (СНГ) 17 февраля 1996 года на VII пленарном заседании Межпарламентской Ассамблеи был принят Модельный уголовный кодекс, в котором регламентируется ответственность за компьютерные преступления (11 статей) [5]; в 2001 году подписано Соглашение о сотрудничестве стран-участников СНГ в борьбе с преступлениями в сфере компьютерной информации [6]. В Российской Федерации рассматриваемая проблема потребовала от законодателя принятия срочных адекватных правовых мер противодействия данным преступным посягательствам - разработку новых, унификацию и совершенствование ранее принятых законов, иных правовых актов. Так, например, уже в 1999 году потребовалось срочное перераспределение бюджетных средств, выделенных всем правоохранительным органам на борьбу с преступностью в рамках соответствующей Федеральной программы, «для усиления борьбы с преступлениями в сфере компьютерной информации и с правонарушениями, связанными с использованием электронно- вычислительных машин, их систем и сетей» [7].
На основании изложенного, представляется обоснованным вывод о том, что в современных условиях компьютерные преступления представляют собой серьезную угрозу национальной безопасности каждого государства и борьба с ними является приоритетной, чрезвычайно сложной задачей.
В то же время следует отметить, что профилактика компьютерных преступлений осталась на прежнем уровне; методическое, технико-криминалистическое и информационное обеспечение организации их раскрытия и расследования находятся в стадии разработки; уголовно-правовая квалификация содеянного по-прежнему проблематична; системы взаимодействия следствия с профильными подразделениями дознания, другими участниками расследования и предупреждения компьютерных преступлений, в том числе зарубежными правоохранительными органами, только начинают образовываться; подготовка кадров по специализации для указанной деятельности, далека от совершенства.
Все сказанное в своей совокупности диктует необходимость перейти к более интенсивным формам изучения криминалистически значимой компьютерной информации и средств ее обработки, а также усилению роли научных знаний, основанных на мировом опыте использования компьютерных технологий в борьбе с киберпреступностью. Очевидно, что без фундаментальных исследований объективных закономерностей в этой предметной области, разработки теоретических основ единой криминалистической концепции исследования и использования компьютерной информации и средств ее обработки, деятельность правоохранительных органов будет оставаться мало результативной.
Вопросам криминалистического исследования компьютерной информации, средств ее обработки и защиты, было уделено определенное внимание в отечественных и зарубежных
118
Компьютерная преступность и кибертерроризм 2004/2
монографиях, учебниках и учебных пособиях, научных статьях, выступлениях на различных конференциях и семинарах, сообщениях средств массовой информации. Эти предметы рассматривались и изучались в рамках частных методик расследования компьютерных преступлений, обшей теории судебной экспертизы, криминалистической тактики и техники.
За последние 5-10 лет активизировались научные исследования проблем применения компьютерной информации и средств ее обработки в раскрытии, расследовании и предупреждении преступлений. В связи с этим важно подчеркнуть, что такой раздел учебного курса по криминалистике как «Использование средств компьютерной техники в деятельности следователей» (он же - «Основные направления использования современных компьютерных технологий в раскрытии и расследовании преступлений», он же «Информационно-компьютерное обеспечение криминалистической деятельности» и т.д., и т.п.) еще не обрел себя в рамках какой-либо теории или учения. Его относят к различным разделам криминалистики, с чем, естественно, нельзя согласиться.
Анализ содержания большинства научных работ по рассматриваемой проблематике, а также следственной, экспертной и судебной практики, показывает, что существуют общие криминалистические проблемы исследования и использования компьютерной информации и средств ее обработки, которые не могут быть решены в рамках какой-то одной из уже существующих частных криминалистических теорий (учений). Видимо, поэтому, несмотря на обилие разноплановых работ, вышедших в свет за последние 10 лет, науке и практике по-прежнему не хватает глубокой теоретической базы для уголовно-правовой, криминологической и криминалистической оценки новых и видоизменившихся старых компьютерных преступлений.
Во всех имеющихся в настоящее время научных изысканиях их авторами рассматриваются, как правило, лишь отдельные стороны сложного комплексного явления объективной действительности.
В то же время, анализ норм действующих национальных уголовных, уголовно-процессуальных и административных законодательств в рамках даже одной отдельно взятой страны показывает большую терминологическую насыщенность, неточность и противоречивость нормативной базы, регулирующей отношения в рассматриваемой области. Эти же тенденции прослеживаются и в ряде научных, методических и учебных работ различных авторов по уголовному праву, криминалистике, судебной экспертизе, оперативно-розыскной деятельности и информатике.
Одним из вариантов выхода из сложившейся ситуации может стать переоценка путей развития научных криминалистических изысканий в области исследования и использования компьютерной информации и средств ее обработки в целях борьбы с компьютерными преступлениями. Объективно пришло то время, когда следует упорядочить накопленный наукой в рамках различных теорий и учений обширный материал, подвести определенную черту, скоординировать научно-теоретические и практические силы и средства, направить их по интенсивному пути развития в рамках одного криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки -криминалистического компьютероведения.
Очевидно, что экстенсивный путь развития научного знания по обозначенной проблематике себя изжил и уже не поспевает за развитием прогрессирующих форм компьютерной преступности и возрастающими потребностями практики в деле борьбы с нею. Поэтому, логичен вывод о том, что количество накопленных наукой знаний должно перейти в качество, создав при этом новые знания и обозначив перспективные направления их дальнейшего развития. Это позволит комплексно и целенаправленно подходить к разработке многих проблем, оптимизировать процесс подготовки научно-обоснованных методических рекомендаций по различным направлениям, сократить время с начала их разработки до внедрения. Необходимость такого подхода диктуется как потребностью практики, так и задачами дальнейшего совершенствования общей теории криминалистики и усиления ее влияния на результативность борьбы с преступностью.
119
Компьютерная преступность и кибертерроризм 2004/2
Предметом криминалистического компьютероведения, видимо, должны стать общие объективные закономерности исследования и использования компьютерной информации, средств ее обработки в целях раскрытия, расследования и предотвращения преступлений, а объектом - общественные отношения, возникающие в ходе раскрытия, расследования и предупреждения преступлений при исследовании и использовании компьютерной информации, а также средств ее обработки.
В рамках предлагаемой криминалистической теории должны решаться следующие общие и частные научно-практические задачи:
1) выявление объективных закономерностей криминалистического исследования и
использования компьютерной информации и средств ее обработки;
2) изучение теоретических и методических проблем криминалистического
исследования компьютерной информации и средств ее обработки, определение направлений
его дальнейшего развития как первого раздела рассматриваемой теории;
3) определение основных направлений развития учения о криминалистическом
использовании компьютерной информации и средств ее обработки как второго раздела
теории;
совершенствование родовой методики расследования компьютерных преступлений
на основе разработанных и научно обоснованных положений нового криминалистического
учения;
разработка практических предложений по совершенствованию системы частных
криминалистических теорий, действующего национального законодательства и иных
нормативно-правовых актов в области компьютерной информации и ее защиты.
Криминалистическое компьютероведение должно базироваться на основных положениях ряда научных дисциплин, а именно: уголовного права и процесса, криминалистики, судебной экспертизы, информатики, кибернетики, науки управления, физики, математики, электросвязи, радиоэлектроники, микросхемотехники, теории защиты информации и ряда других наук.
Практический выход данной теории в учебный процесс по юридическим специальностям будет заключаться в разработке основных положений нового раздела криминалистической техники, который уместно назвать «Криминалистическим исследованием и использованием компьютерной информации и средств ее обработки» -«Криминалистическим компьютероведением». По этому вопросу возможно отметить следующее.
Криминалистическое компьютероведение - это отрасль криминалистической техники, которая представляет собой систему научных положений и основанных на них методических рекомендаций по исследованию и использованию компьютерной информации, а также средств ее создания, обработки и передачи в целях выявления, раскрытия, расследования и предотвращения преступлений.
Структура криминалистического компьютероведения должна включать в себя общую и особенную части. Общую часть будут составлять теоретические основы предлагаемого криминалистического учения, а именно: его понятие, содержание, структура и назначение; место учения в системе криминалистики; понятие, виды и формы компьютерной информации, ее общие признаки; понятие, виды и общие признаки средств создания, обработки и передачи компьютерной информации; криминалистическая систематизация и классификация компьютерной информации, а также средств ее создания, обработки и передачи. Особенная часть будет состоять из следующих двух разделов:
I. Криминалистическое исследование компьютерной информации, средств ее создания, обработки и передачи как вещественных доказательств.
П. Криминалистическое использование компьютерной информации, средств ее создания, обработки и передачи в целях выявления, раскрытия, расследования и предотвращения преступлений.
В первом разделе можно выделить такие виды криминалистического исследования, как:
120
Компьютерная преступность и кибертерроризм 2004У2
Криминалистическое исследование аппаратных средств обеспечения
автоматизированных информационных систем и их технологий.
Криминалистическое исследование программных средств обеспечения
автоматизированных информационных систем и их технологий.
Криминалистическое исследование средств электросвязи системы или сети ЭВМ.
Криминалистическое исследование документов на машинных носителях:
1) криминалистическое исследование электронных документов и программных
средств их создания, обработки и подделки;
2) криминалистическое исследование пластиковых карт [8] и других
комбинированных документов на машинном носителе, средств их создания, обработки и
подделки;
3) криминалистическое исследование электронной цифровой подписи и других
электронных аналогов собственноручной подписи, средств их создания, обработки и
подделки;
4) криминалистическое исследование машинных носителей информации.
5. Криминалистическое исследование средств защиты информации - технических,
криптографических и программных средств, предназначенных для защиты информации,
средств, в которых они реализованы, а также средств контроля эффективности защиты
информации.
Криминалистическое исследование специальных технических средств,
предназначенных (разработанных, приспособленных, запрограммированных) для негласного
получения (изменения, уничтожения) компьютерной информации.
Криминалистическое исследование автоматизированных информационных
систем и их технологий, в том числе управления боевыми единицами и вооружением:
пилотируемыми и беспилотными транспортными средствами, системами навигации и
наведения снарядов оружия, взрывными устройствами и другими.
Второй раздел должен включать в себя теоретические положения и основанные на них методические рекомендации по правовому использованию компьютерной информации, средств ее создания, обработки и передачи в целях выявления, раскрытия, расследования и предотвращения преступлений. Представляется, что его структура будет состоять из следующих направлений.
Криминалистическое использование компьютерной информации и средств ее
создания, обработки и передачи как доказательств.
Криминалистическое использование компьютерных технологий для собирания
доказательств.
Криминалистическое использование компьютерных технологий для исследования
доказательств.
Криминалистическое использование компьютерных технологий для принятия
тактических решений сотрудниками правоохранительных органов и судебных решений
судьями, осуществления контроля за соблюдением процессуальных сроков.
Использование компьютерных технологий для подготовки процессуальных и
организационных документов по уголовным, гражданским, арбитражным делам.
6. Использование компьютерных технологий с целью криминалистической
регистрации.
1. Получены путем анализа и обобщения статистической информации, полученной из ГИЦ
МВД России.
Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы
международного сотрудничества. - М., 2002. - Приложение №. 6.
Эффективное предупреждение преступности: в ногу с новейшими достижениями /
Материалы Десятого Конгресса Организации Объединенных Наций по предупреждению
121
Компьютерная преступность и кибертерроризм 2004/2
преступности и обращению с правонарушителями: A/CONF. 187/10. - Вена, 10-17 апреля 2000 года. - П. 5.
4. Окинавская Хартия глобального информационного общества (принята 23.07.2000 г. на
Окинаве (Япония) на совещании руководителей Глав государств и правительств стран
«Группы Восьми») / Волеводз А.Г. Противодействие компьютерным преступлениям:
правовые основы международного сотрудничества. - М., 2002. - Приложение № 10.
Панфилова Е.И., Попов А.Н. Компьютерные преступления: Серия «Современные
стандарты в уголовном праве и уголовном процессе» / Науч. ред. проф. Б.В. Волженкин. -
СПб, 1998.- С.20-21.
Постановление Правительства Российской Федерации № 428 от 31.05.01 г. «О
представлении Президенту Российской Федерации предложения о подписании Соглашения о
сотрудничестве государств - участников Содружества Независимых Государств в борьбе с
преступлениями в сфере компьютерной информации» // СЗ РФ. - 2001. - № 23. - Ст. 2385.
Распоряжение Правительства Российской Федерации № 1701-р от 22.10.99 г. «Об
усилении борьбы с преступлениями в сфере высоких технологий и реализации
международных договоренностей и обязательств Российской Федерации»» // СЗ РФ. - 1999. -
№ 44. - Ст. 5335.
Обобщающее понятие комбинированного документа, выполненного на основе металла,
бумаги (картона) или полимерного (синтетического) материала - пластика стандартной
прямоугольной формы, хотя бы один из реквизитов которого создан с использованием
способа записи, обеспечивающего обработку содержащейся в нем информации средствами
электронно-вычислительной техники и электросвязи. Пластиковая карта имеет стандартные
размеры 85.595x53.975x0.76x3.18 мм (ширина х высота х толщина х радиус окружности в
углах).
Виталий Вехов
ЭЛЕКТРОННЫЕ ДОКУМЕНТЫ КАК ДОКАЗАТЕЛЬСТВА ПО УГОЛОВНЫМ ДЕЛАМ
Под воздействием стремительного процесса компьютеризации мирового сообщества неуклонно возрастает число физических и юридических лиц, применяющих разнообразные электронные технические устройства, автоматизированные сети и системы для создания, обработки и передачи документированной информации. На смену бумажным технологиям приходят так называемые «безбумажные», основанные на использовании средств электронно-вычислительной техники и электросвязи, одним из продуктов которых являются электронные документы. Они стали повсеместно и широко применяться во многих сферах деятельности.
Сегодня очень трудно найти человека, который бы не слышал об электронной почте, электронном переводе денег, электронной странице в сети Интернет, SMS-сообщении, SIM-карте, электронной записной книжке, файле, электронной цифровой подписи, программе для ЭВМ, базе данных, бездокументарной ценной бумаге, а также цифровой фотосъемке, видео-и аудиозаписи. Электронные документы прочно вошли в нашу жизнь. Наряду с ними с каждым годом возрастает число и так называемых «комбинированных документов», созданных с использованием компьютерных технологий и содержащих одновременно машинописные, рукописные и электронные реквизиты. Эти документы стали все активнее вытеснять из оборота обычные - бумажные, начиная от гражданских паспортов, удостоверений личности, пропусков, санкционирующих доступ на охраняемый объект либо в хранилище, и заканчивая денежными билетами и документами, подтверждающими имущественные права. Например, по данным Центрального Банка Российской Федерации, на начало 2002 г. в обращении на территории России находилось свыше 10 млн. банковских
122
Компьютерная преступность и кибертерроризм 2004/2
карт [1]. При этом, что характерно, для совершения многих операций используются не сами карты в натуре, а лишь их электронные реквизиты, вводимые в компьютерное терминальное устройство. Одновременно, они являются средствами защиты документа от подделки и по действующему законодательству относятся к категории конфиденциальных, то есть к различного вида тайнам (банковской, служебной, коммерческой, персональной и др.).
Документы выделенного вида все чаще становятся предметом и средством совершения различных преступлений, являются доказательствами по уголовным делам. Например, за период с 1999 по 2003 г., с 325 до 1740 (в 5.4 раза) увеличилось количество изготовления или сбыта поддельных кредитных либо расчетных карт (ст. 187 УК РФ); с 423 до 2321 (в 5.5 раза) - причинение имущественного ущерба, совершенное с использованием электронных реквизитов (логинов и паролей) доступа к компьютерной сети Интернет (ст. 165 и 272 УК РФ); средний размер причиненного материального ущерба от одного мошенничества, совершенного с использованием электронных документов, составил 423.9 тыс. рублей [2].
Первое упоминание о возможности использования электронных документов в качестве доказательств по уголовным делам мы находим в докторской диссертации В.К.Лисиченко «Криминалистическое исследование документов (правовые и методологические проблемы)», вышедшую в свет в 1973 г. Проанализировав существующие на тот момент времени определения понятия «документ», он выделяет отсутствие в них указаний на возможность изготовления документов с помощью искусственных знаковых систем и используемых в этих целях технических средств (телеграфных аппаратов, электронно-вычислительных машин (ЭВМ) и т.п.), а также разграничение содержания документов, закрепленных письменными знаками естественного языка, от фотоснимков, кинофильмов, магнитных лент и др. При этом ученый делает вывод о том, что широкое внедрение в сферы хозяйства и управления страны вычислительной техники «создает объективные основания для того, чтобы сведения о фактах и практической деятельности людей, закрепленные знаками искусственных языковых систем (машинных языков), рассматривались в общенаучном и правовом смысле как самостоятельная разновидность документов» [3].
В 1975 г. Э.М.Мурадьян поддержал эту идею и дал развернутое представление исследуемой дефиниции. «В связи с автоматизированной обработкой разного рода информации, - пишет он, - появились новые виды документов. В них, как и в обычных, зафиксирована определенная информация, на основе которой судом устанавливаются те или иные обстоятельства, имеющие значение для рассматриваемого дела» [4]. Эти документы он назвал «машинными» и определил их как выданные электронно-вычислительной машиной справки, табуляграммы, накопительные ведомости и другие документы, подтверждающие определенные факты и отношения, которые в случае судебного спора применяются как доказательства. В качестве основных признаков отличия машинного документа от обычного, им были выделены исполнение документа на отличных от бумаги носителях (перфокартах, перфолентах, магнитных дисках, магнитной ленте и др.); специфический процесс формирования документа; определенный образ организации информации, обусловленный требованиями унификации и стандартизации; форма и способы удостоверения документа; возможность использования для записи информации искусственного языка; необходимость принятия правовых и технических мер защиты в ходе преобразования информации. Далее он отмечает, что эти особенности должны быть учтены при решении вопроса о допустимости машинных документов как доказательств, поскольку в них «отсутствует подпись и печать, без которых обычный документ теряет юридическую значимость» [4]. Таким образом, во главу угла ставится проблема определения и оценки дополнительных реквизитов документа, по которым с требуемой степенью достоверности можно было бы идентифицировать источник его происхождения и правомерность способа удостоверения содержащейся в нем информации.
Впервые машинный документ как вещественное доказательство был использован в 1979 г. в Вильнюсе при расследовании уголовного дела о компьютерном хищении 78 тыс. 584 рублей. Данный факт был занесен в международный реестр компьютерных
123
Компьютерная преступность и кибертерроризм 2004/2
преступлений. Второй аналогичный случай произошел в 1982 г. в городе Горьком (ныне Нижний Новгород), когда все отделения связи переводились на централизованную автоматическую обработку принимаемых и отправляемых денежных переводов на основе машинных документов с использованием электронно-вычислительного комплекса «Онега». Одновременно применялся и обычный - ручной способ обработки бумажных документов. Эти обстоятельства позволили группе мошенников путем внесения соответствующих логически взаимосвязанных изменений (интеллектуальной подделки) машинных и рукописных документов совершить хищение денежных средств в крупном размере [5].
Несмотря на то, что электронные документы стали использоваться в качестве доказательств по уголовным делам уже с конца 70-х годов, их развернутое понятие и классификация впервые были предложены лишь в 1991 г. В.ИЛершиковым и В.М.Савинковым:
Электронный документ (electronic document) - совокупность данных в памяти ЭВМ,
предназначенная для восприятия человеком с помощью соответствующих программных и
аппаратных средств.
Машинный документ (hard copy) - документ, подготовленный и выданный ЭВМ.
Форма документа подготавливается заранее или генерируется программой для ЭВМ.
Печатный документ (printed document) - твердая копия машинного документа,
полученная на печатающем устройстве ЭВТ [6].
Через год А.Б.Борковский уточняет понятие электронного документа, определяя его как «совокупность данных в памяти вычислительной системы, предназначенная для восприятия человеком с помощью соответствующих программных и аппаратных средств», и вводит в обиход термин электронная почта (electronic mail - «Е: mail») - средства пересылки и хранения сообщений между пользователями сети ЭВМ [7].
В конце 80-х начале 90-х годов XX века в связи со сменой поколений электронно-вычислительной техники, появлением персональных электронно-вычислительных машин (ПЭВМ) - персональных компьютеров и мобильных аппаратов цифровой электросвязи, произошло резкое увеличение числа договорных отношений, связанных с изготовлением, передачей и использованием программ для ЭВМ, баз данных и иных разновидностей электронных документов. Адекватно этому процессу возросло и количество преступных посягательств в сфере их оборота. Данные обстоятельства потребовали от законодателя принятия срочных мер по урегулированию общественных отношений в этой сфере и установлению норм правовой охраны электронных документов как объектов права собственности, что и было сделано в течение нескольких лет.
Так, 23 сентября 1992 г. в свет выходит Закон РФ № 3523-1 «О правовой охране электронных вычислительных машин и баз данных», определяющий программу для ЭВМ как объективную форму представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата, а базу данных как объективную форму представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ. Закон урегулировал общественные отношения, возникающие в связи с правовой охраной и использованием программ для ЭВМ и баз данных, которые были отнесены к объектам авторского права: программам для ЭВМ предоставлена правовая охрана как произведениям литературы, а базам данных - как сборникам. В последующем, эти положения были подтверждены и конкретизированы в Законе РФ от 9 июля 1993 г. № 5351-1 «Об авторском праве и смежных правах».
В соответствии со ст. 1 Закона РФ от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов» электронные издания, программы для ЭВМ и базы данных были выделены в качестве отдельных видов документов (ч. 1 ст. 5).
Принятый 20 февраля 1995 г. Закон РФ № 24-ФЗ «Об информации, информатизации и защите информации» определил документ как документированную информацию - сведения
124
Компьютерная преступность и кибертерроризм 2004/2
о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, зафиксированные на материальном носителе с реквизитами, позволяющими их идентифицировать. Как правильно отметил О.А. Городов, это понятие, в отличие от терминов, приведенных в других Федеральных законах, лишено просчетов методологического характера, поскольку оно учитывает базовые представления о феномене информации. «Во-первых, - пишет он, - при смене носителей информация остается инвариантной своему носителю, а не наоборот. Во-вторых, информация циркулирует между материальными носителями, меняя их, но не материальные носители циркулируют между сведениями о лицах, предметах, фактах, событиях, явлениях и процессах. В игнорировании этих аксиом лежат истоки «проприетаризации» информации, когда во главу угла ставится материальный носитель сведений, а не сами сведения» [8]. Проведя детальное исследование содержания понятия «документированная информация», он выделил три следующих основных признака, которым должен отвечать любой, в т.ч. электронный документ:
Наличие материального носителя информации. В качестве такого могут выступать
любые объекты материального мира, включая вещи и физические поля, в которых
находят свое отображение определенные сведения. Причем, одни и те же сведения
могут быть зафиксированы на различных материальных носителях.
Наличие реквизитов, позволяющих идентифицировать зафиксированные на
материальном носителе сведения. Эти реквизиты присовокупляются к основной
содержательной стороне сведений, составляющих суть документа, и позволяют
установить источник происхождения информации, её назначение, время
документирования, а в ряде случаев - обеспечить защиту документа от подделки.
Идентификационные реквизиты должны быть зафиксированы на том же
материальном носителе, что и идентифицируемые сведения.
Возможность изменения формы фиксации документированной информации. Данный
признак проявляется в том, что информация, зафиксированная на материальном
носителе одного вида, может быть одновременно представлена и на других видах
носителей без угрозы утраты своего содержания и реквизитов. По существу, это
признак, характеризующий возможность копирования информации.
Указанную точку зрения относительно первичности сведений и вторичности их материального носителя в определении понятия документа (документированной информации) как доказательства в разные годы поддержали Т.В. Аверьянова, Р.С. Белкин, А.З. Бецуков, Г.Ф. Горский, В.А. Камышин, В.А. Козловцев, Л.Д. Кокорев, Ю.Г. Корухов, СВ. Маликов, Е.Р. Российская, П.С. Элькинд и другие.
«Существенными признаками электронного документа, - пишет А.П. Вершинин, -являются его содержание (информация) и форма (технический электронный носитель информации). Электронным документом является информация, зафиксированная на электронных носителях и содержащая реквизиты, позволяющие ее идентифицировать. Информация, сведения, данные являются терминами-синонимами» [9].
В.А. Мещеряков, в свою очередь, ввел понятие «виртуальный документ» и определил его как «совокупность информационных объектов, создаваемую в результате взаимодействия пользователя с электронной информационной системой» [10].
Д.Б. Игнатьев разделил документы-доказательства по форме их представления, указав на то, что они «могут содержать сведения, зафиксированные как в письменной, так и в иной форме: в виде фото- и киносъемки, звуко- и видеозаписи, кодов, шифров, электронных документов, автоматической самозаписи и других носителей информации, фиксируемой с помощью всевозможных научно-технических средств» [11].
П. Зайцев определил электронный документ как источник судебного доказательства и предложил понимать под ним «сведения об обстоятельствах, подлежащих установлению по делу, записанные на перфокарту, перфоленту, магнитный, оптический, магнитооптический
125
Компьютерная преступность и кибертерроризм 2004/2
накопитель, карту флэш-памяти или иной подобный носитель, полученные с соблюдением процессуального порядка их собирания» [12].
Более конкретно относительно исследуемой дефиниции высказался И.Н. Подволоцкий: «Электронный документ, - пишет он, - это любые сведения, хранимые, обрабатываемые и передаваемые с помощью автоматизированных информационных и телекоммуникационных систем, на основе которых суд, прокурор, следователь, дознаватель в порядке, определенном уголовно-процессуальным законодательством, устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию при производстве по уголовному делу, а также иных обстоятельств, имеющих значение для уголовного дела, полученные с соблюдением процессуального порядка их собирания и приобщенные к уголовному делу специальным постановлением (определением)» [13].
Противоположную позицию по рассматриваемому вопросу очень четко сформулировала Е.Ю.Сабитова. В своей диссертационной работе она подробно исследовала понятие и признаки документа, изложенные в части юридической литературы и отдельных федеральных законах, и с уголовно-правовой точки зрения определила документ сначала как «созданный человеком материальный носитель, на котором информация отображена в виде символов и сигналов и который предназначен для ее хранения и передачи во времени и пространстве» [14, с.11], а затем, видимо, так до конца и не определившись, как «созданный человеком материальный носитель, с зафиксированной на нем информацией, имеющей юридическое значение, составленный по установленной нормативным актом форме и обладающий необходимыми реквизитами» [14, с.12]. Похожие определения мы находим в работах и других авторов, приверженных данному течению научной мысли, например: Б.Т. Безлепкина, П.М. Зуева, Л.М. Карнеевой, А.Н. Копьевой, А.А. Кузнецова, Н.А. Кузнецовой, Т.Э. Кукарниковой, В.А. Образцова, Ю.Н. Прокофьева, Н.П. Царевой, Н.П. Яблокова и А.Н. Яковлева. Определение документа-доказательства как материального носителя, содержащего сведения, представляется в корне неправильной, поскольку оно входит в противоречие с действующим уголовно-процессуальным законодательством: «доказательствами по уголовному делу являются любые сведения, на основе которых суд, прокурор, следователь, дознаватель в определенном УПК порядке, устанавливает наличие или отсутствие обстоятельств, имеющих значение для уголовного дела» (ст. 74 ч. 1 УПК РФ). Данные сведения могут быть зафиксированы на любом материальном носителе как человеком -являться продуктом (отражением) мысленной деятельности конкретного лица, так и автоматом (без участия человека по установленному алгоритму) - быть результатом (отражением) работы программы для ЭВМ. В качестве примера можно привести документы, созданные следующими автоматическими регистрирующими устройствами и системами: бортовым самописцем транспортного средства («черным ящиком»); банкоматом; системой охранного видеонаблюдения; системой учета соединений абонентов в сети Интернет или электросвязи; системой контроля и мониторинга окружающей среды.
Более конкретно по исследуемому вопросу высказал А.С. Кобликов: «В документах как доказательствах, - пишет он, - важно их содержание, и не имеет существенного значения материал, на котором они исполнены, внешний вид, если он более или менее обычен. В документах - вещественных доказательствах важны их признаки как индивидуально определенных, уникальных предметов, вещей» [15].
Анализ части 2 статьи 74 УПК РФ и смежных с ней статей показывает, что электронные документы допускаются в качестве доказательств лишь как вещественные доказательства (ст. 81 УПК РФ) и иные документы (ст. 84 УПК РФ).
На основании вышеизложенного представляется возможным заключить следующее:
1. Электронный документ - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах в электронно-цифровой форме, зафиксированные на машинном носителе с помощью электромагнитных взаимодействий либо передающиеся по каналам электросвязи посредством электромагнитных сигналов с реквизитами, позволяющими идентифицировать данные сведения.
126
Компьютерная преступность и кибертерроризм 2004/2
2. Электронный документ будет признаваться доказательством по уголовному делу при наличии хотя бы одного из следующих условий:
если он служил орудием преступления;
сохранил на себе следы преступления;
является предметом преступления;
является имуществом, ценной бумагой и иной ценностью, полученной в результате преступных действий либо нажитой преступным путем;
может служить средством для обнаружения преступления и установления
обстоятельств уголовного дела;
если изложенные в нем сведения имеют значение для установления
обстоятельств, подлежащих доказыванию по уголовному делу.
Пластиковые карты. 4-е изд. перераб. и доп. - М., 2002. - С. 179.
По данным ГИЦ МВД России.
Подробнее см.: Лисиченко В.К. Криминалистическое исследование документов (правовые
и методологические проблемы): Дис. ... докт. юрид. наук. - Киев, 1973. - С. 49-56.
Мурадьян Э. Машинный документ как доказательство в гражданском процессе // Сов. юст.
-1975.-№22.-С.12.
НТР: проблемы и решения. - М., 1987. - № 19. - С.4-5.
Першиков В.И., Савинков В.М. Толковый словарь по информатике. - М., 1991. - С.89.
Борковский А.Б. Англо-русский словарь по программированию и информатике (с
толкованиями): Ок. 6000 терминов. - М., 1992. - С.95.
Городов О.А. Комментарий к ФЗ «Об информации, информатизации и защите
информации». - СПб., 2003. - С. 25-26.
9. Вершинин А.П. Электронный документ: правовая форма и доказательство в суде. - М.,
2000.-С.40-41.
Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере
компьютерной информации // Известия тульского государственного университета. Серия:
Современные проблемы законодательства России, юридических наук и правоохранительной
деятельности. Вып. 3. - Тула, 2000. - С. 167.
Игнатьев Д.Б. Документы как доказательства по делам о налоговых преступлениях:
Автореф. дис. ... канд. юрид. наук. - Волгоград, 2001. - С. 13.
Зайцев П. Электронный документ как источник доказательств // Законность. - 2002. - №
4.-С.44. .
Подволоцкий И.Н. Правовые и криминалистические аспекты понятия «документ» //
«Черные дыры» в российском законодательстве. - 2003. - № 2. - С.125.
Сабитова Е.Ю. Документы как признак преступлений в сфере экономики: Автореф. дис^
... канд. юрид. наук. - Челябинск, 2003. - 23 с.
Кобликов А.С. Виды доказательств // Уголовный процесс: Учебник для вузов / Под ред.
В.П. Божьева. 2-е изд., испр. и доп. - М., 2000. - С. 189.
А.В.Горбачев
ОСОБЕННОСТИ ВЫЯВЛЕНИЯ ДОКАЗАТЕЛЬСТВЕННОЙ ИНФОРМАЦИИ ПРИ РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ
Оценивая сложившуюся научно-техническую ситуацию в мире, можно утверждать, что человечество вступило в эпоху информационного общества. В последние годы информация,
127
Компьютерная преступность н кибертеррорнзм 2004/2
становясь одним из определяющих факторов развития современного общества, приобретает все большее значение.
Процессы создания, накопления, хранения, передачи, обработки информации стимулировали быстрый прогресс в области информационных технологий. С их помощью информация приобретает более привычную для нас форму - материальную. Можно сказать, что информационные технологии - это совокупность взаимосвязанных высокотехнологических устройств, приемов и способов, которые позволяют использовать информацию в объеме, необходимом для полноценного развития как общества в целом, так и для развития его отдельных составляющих, с наиболее рациональным использованием имеющихся средств и времени.
Основным инструментом управления электронной информацией и ее обработки является компьютерная техника Сегодня компьютер становится необходимостью не только крупных предприятий и организаций, но и отдельных людей. Подключаясь к компьютерным сетям, в настоящее время можно получить доступ к большому количеству информационных ресурсов.
Закономерно, что при расширении сферы использования информационных технологий и различных технологических процессов возрастает и количество правонарушений, связанных с компьютерными технологиями. Использование достижений науки и техники при совершении преступлений всегда создавало немало проблем правоохранительным органам в раскрытии преступлений.
Расследование «киберпреступлений» требует не только особой тактики производства следственных действий и организационных мероприятий, но и, прежде всего, наличия специальных знаний в области компьютерной техники и программного обеспечения. Поэтому недостаточным является знание работниками правоохранительных органов только уголовного и уголовно-процессуального законодательства, общих правил сбора доказательств.
Одним из главных условий успешного расследования киберпреступлений является оперативность проведения неотложных следственных действий [1]. Однако оперативное привлечение следователями специалистов к проведению следственных действий не всегда является возможным. В связи с этим особую значимость приобретают знания следователей в области компьютерных технологий. А отсутствие у следователя таких знаний влечет промедление в сборе доказательственной информации, и как результат - во многих случаях правонарушители остаются безнаказанными.
Существующая статистика выявленных киберпреступлений подтверждает, что получение и оценка доказательств по делам о преступлениях в сфере компьютерной информации (компьютерных преступлений) - одна из трудно решаемых на практике задач. Основным видом таких доказательств являются так называемые «электронные доказательства».
«Электронные доказательства» - совокупность информации, которая хранится в электронном виде на любых типах электронных носителей и в электронных устройствах. Их особенность заключается в том, что они могут быть должным образом интерпретированы и проанализированы только с помощью специальных технических устройств и программного обеспечения [2].
Существует два вида следовой информации: идеальные следы и материальные следы. Материальные следы, в свою очередь, можно разделить на механические и логические. Механические следы возникают вследствие механического воздействия на объект и могут быть зафиксированными общими трасологическими методами. Логические следы - следы, возникающие вследствие взаимодействия на электронном уровне электромагнитных сигналов, с помощью которых осуществляется запись, изменение или удаление информации. При этом внешнего изменения носителей этой информации не происходит, за исключением определенного логического упорядочивания электромагнитной структуры носителя.
128
Компьютерная преступность и кибертерроризм 2004/2
Особые сложности при производстве следственных действий по делам рассматриваемой категории характерны для распределенных компьютерных систем обработки информации. В этом случае место совершения преступления часто не совпадает с местом происшествия и наступления преступного результата, и как следствие - трудности при сборе доказательственной информации из-за отсутствия непосредственного контакта с исследуемым объектом.
Логические следы могут находиться на локальной машине и на удаленном терминале (хосте). Под локальной машиной понимается обособленная единица электронно-вычислительной техники, комплектующие которой, находятся на незначительном расстоянии друг от друга (до 5-10 метров). Удаленный терминал - электронно-вычислительная техника, находящаяся на значительном расстоянии от исследуемого объекта и соединенная с ним посредствам существующих средств связи (телефонных линий связи, сетевого кабеля, радиосвязи и других). Например, при соединении компьютеров в локальную сеть организации для каждого отдельно взятого компьютера остальные являются удаленными хостами (терминалами).
Рассмотрим более детально вопрос о возможном местонахождении на локальном компьютере информации, которая может иметь доказательственное значение.
Носителями информации, входящими в состав локальной машины, являются:
Магнитные носители - устройства долговременного хранения данных в электронном
виде. К ним относятся: накопитель на жестких магнитных дисках («жесткий» диск,
винчестер), компактные диски (CD ROM), гибкие диски (floppy диск, дискета), магнитные
ленты и другие носители. Особый интерес в данной группе представляет винчестер, так как
это устройство может вмещать в себя самое большое количество информации и на нем
находится почти все программное обеспечение компьютера [3].
Встроенные компьютерные чипы энергозависимой памяти - устройства, которые
могут содержать информацию только при включенном компьютере. К таковым относятся
оперативное запоминающее устройство, чипы памяти на видеоадаптере, аудио плате и т.п.
Особенностью таких носителей является то, что, сразу после отключения от них питания,
содержащаяся на них информация уничтожается или хранится на протяжении очень
непродолжительного отрезка времени.
Чипы памяти внешних периферийных устройств. Современные принтеры и другие
устройства обладают встроенной оперативной памятью, которая предназначена только для
выполнения определенных задач данного устройства и не влияет на работоспособность
системы в целом.
При исследовании компьютерного терминала получить информацию с вышеописанных энергозависимых носителей можно только с помощью специальных технических и программных средств и только при определенных условиях (если терминал включен), поэтому они представляют интерес лишь в некоторых случаях.
Как правило, наибольший интерес при осмотре компьютерного терминала представляют магнитные носители, а точнее - программное обеспечение и информация, которые на них находятся. Необходимо отметить, что все действия с информацией на носителе необходимо производить, по возможности с его полной копией (а не с оригиналом), т.к. на нем могут находиться программы, которые автоматически, без команд, производят различные действия с информацией.
Прежде всего, следует определить количество и тип установленных операционных систем (ОС). Если установлены системы семейства Microsoft Windows , то необходимо установить серийный номер каждой и имена зарегистрировавших их лиц. Это можно сделать двумя способами:
С помощью специализированных программ. При их использовании необходимо
зафиксировать полученные данные, сохранив их в отдельный файл.
Используя данные реестра. Реестр - база данных операционной системы,
содержащая конфигурационные сведения. Физически вся информация реестра разбита на
129
Компьютерная преступность и кибертерроризм 2004/2
несколько файлов. Реестры Windows 9х и NT, ХР частично различаются. В Windows 95;98
реестр содержится в двух файлах SYSTEM.DAT и USER.DAT, находящихся в каталоге
Windows. В Windows Me был добавлен еще один файл CLASSES.DAT. Основным средством
для просмотра и редактирования записей реестра служит специализированная утилита
"Редактор реестра". Для ее запуска необходимо набрать в запуске программы (Пуск-
>Выполнить) команду regedit или запустить файл regedit.exe из каталога Windows. В
появившемся окне редактора найти и зафиксировать необходимую информацию в ветви
реестра HKEY_LOCAL_MACfflNE\Software\Microsoft\Wmdows(Windows NT)\
CurrentVersion, в которой значение строкового параметра ProductKey (ProductED) серийный номер ОС, RegisteredOrganization, RegisteredOwner - данные лица и организации, зарегистрировавших данную копию ОС, PathName - рабочий каталог Windows и т.п.
Все зафиксированные данные [4] об ОС могут способствовать установлению таких фактов как правомерность использования исследуемых ОС, причинная связь между установкой ОС и субъектом, который ее произвел и т.п.
После окончания исследования данных ОС, необходимо определить и зафиксировать все программные настройки аппаратных средств. Так, например, каждая сетевая плата имеет «вшитый» производителем MAC - адрес (уникальный числовой номер, состоящий из набора символов, характерных только для данной платы). Многие аппаратные устройства имеют свой уникальный идентификатор, фиксация которого необходима для установления его подлинности при дальнейшем использовании. При осмотре терминала необходимо зафиксировать все индивидуальные сведения и настройки аппаратных средств, входящих в состав ЭВМ.
Следующим этапом исследования компьютера является исследование всего вспомогательного программного обеспечения (ПО), находящегося на имеющихся магнитных носителях [5]. Существует несколько способов отыскания имеющегося ПО.
Одним из них является использование раздела панели управления Windows «Установка и удаление программ». В нем отображается все корректно установленное из Windows ПО. Во всех версиях Windows на базе NT таким способом можно установить почти все данные о ПО. В Windows 9x можно установить только его наименование, а для установления остальных данных необходимо воспользоваться информацией соответствующих ветвей реестра. Данные о количестве и наименовании ПО, полученные таким способом, нельзя в полной мере рассматривать как исчерпывающую информацию, т.к. при наличии специальных знаний фальсифицировать данные раздела «Установка и удаление программ» не составляет труда.
Вторым способом установления наличия ПО и его данных является непосредственный осмотр каталогов имеющихся логических разделов. Этот способ может потребовать много времени, но вероятность установить наличие и данные всего имеющегося ПО очень велика.
После исследования всего имеющегося программного обеспечения особый интерес представляют так называемые log-файлы. Они представляют собой, как правило, текстосодержащие документы, в которых может быть отображена информация о действиях, совершаемых определенной программой, о времени, количестве совершения этих действий и т.п. Существуют специализированные программы, которые могут вести log-файлы обо всех совершаемых на компьютере действиях (запуске программ, совершении различных операций с файлами и даже об открывающихся окнах и т.п.) с точностью до секунды. По умолчанию ОС ведет файлы журналов только некоторых встроенных приложений (Internet Explorer и
ДР-)-
Существуют также прикладные программы, которые по умолчанию ведут файлы отчета, например DR.WEB и т.п. Все эти файлы должны быть использованы для получения полезной информации, т.к. очень часто пользователь терминала не знает о существовании всех программ, которые ведут журналирование своей работы.
130
Компьютерная преступность и кибертерроризм 2004/2
Наличие специальных знаний в области программного обеспечения способствует (после определения всего имеющегося ПО) процессу более быстрого «узнавания» тех программ, которые ведут log-файлы, что во многом ускоряет процесс сбора информации.
При проведении следственных действий не стоит забывать о том, что каждый человек, работающий с информацией в электронном виде, старается ее защитить от неправомерных действий со стороны других субъектов. При работе с электронной информацией необходимо помнить, что одним из важных ее недостатков является простота и быстрота ее уничтожения. Одним нажатием клавиши можно уничтожить всю информацию с носителя. Вот почему именно фактор внезапности и оперативности очень важен при расследовании преступлений в сфере информационных технологий. Более того, каждый обладатель электронной информации по-своему индивидуален, у каждого свои методы защиты имеющихся данных, которые невозможно перечислить. Можно привести лишь основные направления преодоления препятствий, которые создают правонарушители для защиты информации.
Во-первых, после входа в помещение, в котором находится объект осмотра, необходимо зафиксировать положение всех находящихся в нем лиц, не допуская при этом никаких действий с их стороны по отношению к любым имеющимся поблизости техническим устройствам (клавиатуре, брелокам с кнопками, телефонам, различным пультам ДУ и т.п.) [6]. Известны случаи, когда работники фирмы при обнаружении сотрудников милиции нажимали заранее определенные клавиши на клавиатуре и тем самым либо уничтожали всю имеющуюся информацию, либо блокировали доступ к ней (активация паролей специальных защитных программ).
Во-вторых, если компьютер, подлежащий исследованию, выключен, то по мере возможностей сохранить его положение до прибытия специалиста. Необходимо помнить, что при включении компьютера могут активироваться «программы - детонаторы», которые могут производить действия с информацией по заранее установленному алгоритму. Например, настоящий владелец может установить пароль (комбинацию клавиш), который необходим для правильного запуска системы, и на введение которого отведено определенное время и т.п. Без наличия специальных знаний процесса включения компьютера и загрузки ОС проведение каких-либо действия с машиной может повлечь непреднамеренную модификацию или уничтожения данных. К тому же специалисту намного удобнее исследовать выключенный компьютер, т.к. в этом случае появляется возможность сделать копию всех носителей информации и продолжать работу именно с копией, а не с оригиналом, что повышает эффективность исследования и снижает возможность модификации или уничтожения информации вследствие непредвиденных ситуаций.
В-третьих, необходимо помнить, что наряду с программными средствами модификации и уничтожения информации существуют также аппаратные способы. Для разрушения магнитных носителей может использоваться метод воздействия на них сильного магнитного поля, которое создается с помощью специальных устройств (генераторов магнитных полей и др.). Так, например, известный хакер Кевин Митник вмонтировал такие устройства в дверной проем комнаты, в которой находился его компьютер. При проносе его агентами ФБР через проем, вся информация на магнитных носителях уничтожалась [7].
Также известны случаи наличия подобных устройств внутри корпуса компьютера. При попытке открыть корпус посторонними лицами срабатывала ловушка, которая активизировала устройство внутри, и магнитные носители уничтожались. Эти случаи еще раз говорят о том, что не следует производить никаких действий с компьютером без наличия специальных знаний его аппаратного и программного устройства.
Как отмечено выше, существует много способов, с помощью которых преступники могут противодействовать правоохранительным органам. Снизить последствия этого противодействия возможно только квалифицированными действиями лиц, производящих расследование. А для этого необходимо осуществлять дополнительную подготовку уже
131
Компьютерная преступность и кибертерроризм 2004/2
имеющихся кадров или обучать специалистов по новой программе, включающей получение необходимых знаний в области информационных технологий.
Таким образом, стремительное развитие сферы высоких технологий, наряду с положительными тенденциями развития мирового сообщества, открывает также новые возможности для развития и совершенствования преступного мира. Сфера высоких технологий позволяет совершенствовать традиционные виды преступлений, например: хищение, мошенничество, «отмывание денег», подделка документов, а также создает совершенно новые виды преступлений, такие как: несанкционированное использование компьютерной информации, компьютерное мошенничество, компьютерный подлог и т.д. [8]. Появляются такие понятия как «компьютерная информация», «компьютерные преступления», «компьютерный терроризм», «киберпреступность», «информационное оружие». Для эффективной борьбы с ними необходимо совершенствование имеющегося законодательства и создание условий для приобретения практическими работниками правоохранительных органов знаний, необходимых для эффективного противодействия «киберпреступности».
Владимир Голубев, выступление 26 февраля 2003 г. на Southeast Cybercrime Summit в
Атланте, США, Crime-esearch.org.
Голубев В.О., Гавловський В.Д., Цимбалюк B.C. Проблеми боротьби зі злочинами у
сфері використання комп'ютерних технологій: Навч. посібник / За заг. ред. доктора
юридичних наук, професора Р.А. Калюжного. - Запоріжжя: ГУ „ЗІДМУ", 2002. -
С.203.
Крылов В.В. Расследование преступлений в сфере информации. - М.: Издательство
«Городец», 1998.- С. 174-175.
В дальнейшем под термином «данные о программе или ОС» следует понимать их
наименование, версию, регистрационный номер, имя лица и организации, на которые
зарегистрирован продукт, место его расположения и т.п.
Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия / Под
ред. акад. Б.П. Смагоринского - М.: Право и Закон, 1996. - С.26-27.
Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.
Шурухнова. - М.: Издательство «Щит-М», 1999. - С.130.
Голубев В.О., Гавловський В.Д., Цимбалюк B.C. Проблеми боротьби зі злочинами у
сфері використання комп'ютерних технологій: Навч. посібник / За заг. ред. доктора
юридичних наук, професора Р.А. Калюжного. - Запоріжжя: ГУ „ЗІДМУ", 2002. -
С.202.
Основи методики розслідування злочинів, скоєних з використанням ЕОМ / М.В.
Салтевський. - Навч. Посібник. - Харків: Нац. юрид.акад. України, 2000. - С.7-9.
Сергій Дрьомов
ФОРМИ І СПОСОБИ ПРОТИПРАВНОГО ЗАВОЛОДІННЯ КОМП'ЮТЕРНОЮ ІНФОРМАЦІЄЮ ЗА КРИМІНАЛЬНИМ КОДЕКСОМ УКРАЇНИ
Об'єктивна сторона є одним з елементів складу злочину, який охоплює ознаки, що характеризують злочин з точки зору його зовнішнього прояву. На відміну від інших структурних частин складу злочину він містить більше інформації, необхідної для кваліфікації діяння. Зміст ознак цього елементу часто є критерієм розмежування суміжних складів злочинів.
Ретельне дослідження ознак об'єктивної сторони складу злочину допомагає дати точну правову оцінку суспільно небезпечних діянь, що, в свою чергу, зумовлює забезпечення
132
Компьютерная преступность и кибертерроризм 2004/2
законності у процесі боротьби зі злочинністю. Правильне встановлення ознак об'єктивної сторони важливе з багатьох причин. Воно нерідко дає можливість визначити ознаки об'єкта і суб'єкта злочинного посягання [1].
Ознаки об'єктивної сторони мають велике самостійне значення для розмежування злочинів. Розмежовувати злочини за об'єктивною стороною, як правило, доводиться у тих випадках, коли встановлено, що обидва діяння посягають на одну й ту ж саму область суспільних відносин, тобто коли вже в загальних рисах з'ясовано об'єкт злочинного посягання та встановлено, що ці діяння відносяться до однієї групи злочинів [2]. Крім того, встановлення способу вчинення злочину у ряді випадків дозволяє зробити висновок щодо форми вини.
Порушення об'єкта, що охороняється законом, може бути вчинене не будь-якими, а тільки певними діями, характер яких визначається, в першу чергу, властивостями самого об'єкта [3].
Критично розглядаючи статтю 362 КК України (у її теперішній редакції), яка передбачає кримінальну відповідальність за викрадення, привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем, видається доречним звернути увагу на ряд недоліків, які, на наш погляд, можуть призвести до неоднозначного тлумачення вказаної кримінально-правової норми та негативно вплинути на практику її застосування.
Диспозиція ст.362 КК України передбачає наступні альтернативні діяння щодо протиправного заволодіння комп'ютерною інформацією, кожне з яких може самостійно утворювати об'єктивну сторону складу злочину:
викрадення;
привласнення;
вимагання;
заволодіння комп'ютерною інформацією шляхом шахрайства чи зловживання
службовим становищем.
На наш погляд, таке перевантаження диспозиції є недоречним. З першого погляду об'єктивна сторона злочину, передбаченого ст.362 КК України, представлена всього чотирма формами протиправного заволодіння комп'ютерною інформацією. Однак, більш детальний аналіз дає підстави стверджувати дещо інше.
У першу чергу, зазначимо, що видається доцільним на законодавчому рівні визначити зміст поняття „викрадення". До набрання чинності Кримінальним кодексом України 2001 року у КК 1960 року використовувався термін „розкрадання".
Під розкраданням у кримінальному праві розуміється корисливе, протиправне і неоплатне заволодіння чужим майном або іншими предметами з метою звернути їх у свою власність [4]. Розкрадання - поняття родове, таке, що дає уявлення про характерні ознаки, притаманні ряду конкретних злочинів проти власності. Щодо форм розкрадання єдиної позиції не існує. Г.А.Крігер зазначає, що законодавством СРСР виділялись розкрадання у формі: 1) крадіжки; 2) грабежу; 3) розбою, 4) привласнення, розтрати або зловживання службовим становищем; 5) шахрайства. Інші фахівці, зокрема, П.С.Матишевський поряд з вказаними формами розглядають вимагання.
Поняття „викрадення" не слід змішувати з поняттям „розкрадання", через те, що перше відноситься до другого як частина до цілого. Викрадення охоплює лише декілька форм розкрадання (крадіжку, шахрайство, грабіж, розбій), при яких злочинне заволодіння майном відбувається шляхом вилучення його з володіння окремих осіб [5].
Іншої думки притримується А.М.Ришелюк, котрий у коментарі до ст.362 КК України пропонує розуміти викраденням лише крадіжку і грабіж [6]. Така позиція видається не зовсім виправданою, адже за способом заволодіння комп'ютерною інформацією грабіж дуже близький до розбою. Однак, А.МРишелюк розбій не вважає формою викрадення.
Послідовно розвиваючи позицію Г.А.Крігера, який, на наш погляд, найбільш повно і зважено визначає форми викрадення, можна зробити висновок про те, що чинна редакція
133
Компьютерная преступность н кибертерроризм 2004/2
ст.362 КК України має ряд суттєвих недоліків. Так, якщо виходити з того, що заволодіння комп'ютерною інформацією шляхом шахрайства є однією з форм викрадення, то видається недоречним виділяти її окремо у диспозиції статті.
Отже диспозиція ст.362 КК України передбачає сім форм протиправного заволодіння комп'ютерною інформацією; 1) крадіжка; 2) грабіж; 3) розбій; 4) заволодіння шляхом шахрайства; 5) вимагання; 6) привласнення; 7) заволодіння шляхом зловживання службовим становищем.
Діяння грає роль способу вчинення злочину тоді, коли перебуває з ним в ідеальній сукупності, будучи невід'ємною частиною його об'єктивної сторони [7]. Спосіб викрадення визначає форму цього злочину і являє собою сукупність прийомів та методів, направлених на заволодіння комп'ютерною інформацію.
Аналіз ст.362 КК України дозволяє зробити висновок про те, що вказана кримінально-правова норма передбачає наступні способи вчинення злочину:
крадіжка - таємно;
грабіж - відкрито та із застосуванням насильства;
розбій - шляхом нападу;
шахрайство - шляхом обману чи зловживання довірою;
привласнення - шляхом зловживання довірою чи зловживання службовим
становищем;
вимагання - шляхом психічного насильства чи шантажу.
Таке розмаїття способів протиправного заволодіння комп'ютерною інформацією, передбачене однією статтею КК, може свідчити про намагання законодавця вирішити проблему адекватності об'єму та змісту кримінально-правової норми завданням, які вона має вирішувати. Важко не погодитися з тим, що діяння, передбачені ст.362 КК України, становлять велику суспільну небезпеку і вимагають вжиття відповідних заходів кримінально-правового характеру. Однак, вбачається недоречним об'єднувати в рамках однієї статті різні за способом форми заволодіння комп'ютерною інформацією.
Як зазначав В.М.Кудрявцев, створюючи будь-яку кримінально-правову норму, законодавець змушений вирішувати проблему співвідношення між абстрактністю та конкретністю формулювання статті; між імперативністю (категоричністю) і диспозитивністю (гнучкістю) [8].
У процесі створення кримінально-правової норми, поряд з протиріччями суто правового характеру, доводиться долати протиріччя суспільної свідомості учасників правовідносин. Дія кримінального законодавства тим ефективніша, чим більше воно враховує соціально-психологічні категорії правової суспільної свідомості [9]. Вирішення цієї проблеми більшою мірою лежить у площині конструювання диспозиції статей кримінального закону. Створюючи кримінально-правову норму, правотворчий орган має спиратися на глибоке дослідження правової дійсності, тобто правового аспекту соціальних процесів. Законодавець повинен враховувати різний рівень правосвідомості працівників правозастосовних органів та пересічних громадян. Абстрактна диспозиція краще вписується в існуючу правову систему та більш зручна для застосування уповноваженими на те органами. З іншого боку, вона може бути не завжди зрозумілою пересічним громадянам. Так, диспозиція ст.362 КК України у чинній редакції, незважаючи на її обсяг, має абстрактний вигляд. На це, у першу чергу, вказує те, що вона є відсильною. Для того, щоб встановити юридичний зміст привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем потрібно звертатись до кримінально-правових норм, що містяться у інших статтях (189, 190,191) Особливої частини КК України. Крім того, як зазначалося раніше, чинний КК не дає визначення поняття викрадення. А це, у свою чергу, створює додаткові проблеми для вірного розуміння змісту об'єктивної сторони складу злочину, передбаченого ст.362 КК України.
Процес створення кримінально-правової норми поряд з вирішенням інших завдань передбачає визначення об'єму та змісту нового складу злочину. Тобто кримінально-правова
134
Компьютерная преступность и кибертерроризм 2004/2
норма повинна викладатись у лаконічній формі, але бути змістовною та зрозумілою не тільки для фахівців у галузі кримінального права. Навіть поверхневий аналіз диспозиції ст.362 КК України дозволяє дійти висновку, що вирішити це завдання поки що не вдалося. На наш погляд, оптимальне рішення потрібно шукати у проміжку між узагальнюючою та казуїстичною конструкцією диспозиції статті (або скоріше за все статей).
Як зазначалося раніше, диспозиція статті 362 КК України є відсильною, адже вона не розкриває змісту форм протиправного заволодіння комп'ютерною інформацією, а примушує звертатися до інших кримінально-правових норм, передбачених Особливою частиною КК України. Об'єктивні ознаки викрадення, привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем подібні об'єктивним ознакам злочинів проти власності, передбачених статтями 185, 186, 187, 189, 190, 191 КК України. Однак, кожна із форм протиправного заволодіння чужим майном представлена окремою статтею у Розділі VI КК України. Тому тим більш незрозумілим видається рішення законодавця про створення ст.362 КК саме у чинній редакції.
Підводячи деякі підсумки, вкотре зазначимо, що чинна редакція ст.362 КК України має ряд суттєвих недоліків. У першу чергу, це зайве перевантаження формами протиправного заволодіння комп'ютерною інформацією. По-друге, у диспозиції статті представлено занадто широкий спектр способів вчинення злочину. По-третє, потребує чіткого законодавчого визначення поняття „викрадення комп'ютерної інформації"". В-четверте, за формами протиправного заволодіння комп'ютерною інформацією злочин, передбачений ст.362 КК України, подібний злочинам проти власності і різниться лише предметом. У зв'язку з цим, виникають сумніви щодо доречності внесення зазначеного складу злочину до Розділу XVI КК України.
На наш погляд, існує декілька шляхів усунення вказаних недоліків. При цьому кожен з них має свої позитивні та негативні моменти. Однак, спільним для них є те, що для прийняття рішення про обрання того чи іншого шляху удосконалення чинного законодавства про кримінальну відповідальність за злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж і мереж електрозв'язку необхідно врахувати цілу низку аргументів, які, на думку В.М.Кудрявцева, слід поділяти на наступні чотири групи: 1) аргументи, що базуються на загальних ідеях -принципах юридичної політики, а також на тій системі цінностей, якою керується сам дослідник (або практичний працівник); 2) аргументи, що визначаються практикою сьогодення; 3) аргументи, які базуються на даних порівняльного правознавства, тобто на досвіді вирішення подібної проблеми у зарубіжному законодавстві; 4) аргументи, що формуються в ході наукових досліджень, що спеціально проводяться під час розробки нового закону [10].
Ґрунтуючись на аргументах кожної групи, законодавець повинен напрацювати моделі майбутнього закону. Зрозуміло, що на процес створення будь-якої правової норми суттєво впливає система цінностей і загальних теоретичних положень у державі. Тому аргументи першої групи відіграють важливу роль під час напрацювання моделей майбутньої кримінально-правової норми.
З огляду на те, що злочини в сфері інформаційних технологій - явище в Україні досить нове, друга група аргументів не може суттєво впливати на формування найбільш оптимальної моделі. Для цього необхідна достатня кількість матеріалів практичної діяльності правозастосовних органів. Однак, у даний час таких матеріалів обмаль.
Третя група аргументів відіграє важливу роль у напрацюванні моделей майбутньої кримінально-правової норми. Однак, слід мати на увазі відмінності правових систем держав, досвід кримінально-правової боротьби яких вивчається. Крім того, необхідно враховувати можливу різницю у підходах до вирішення тих чи інших проблем кримінально-правового значення.
Зазначене дає підстави стверджувати, що вирішальну роль у напрацюванні моделей майбутньої кримінально-правової норми повинні відігравати аргументи четвертої групи. Це,
135
Компьютерная преступность н кибертерроризм 2004/2
головним чином, спеціально організовані статистичні спостереження, які позбавлені як надмірної абстрактності, так і зайвого прагматизму.
І.Кудрявцев В.Н. Общая теория квалификации преступлений. - М.: Юрид. лит., 1972. - С.161.
Там само. - С. 162.
Никифоров Б.С., Объект преступления по советскому уголовному праву. - М.: 1960. -
С, 137.
Коржанський М.Й. Кваліфікація злочинів. - К.: Юрінком Інтер, 1998. - С.172.
Кригер Г.А. Квалификация хищений социалистического имущества. Изд-е 2-е с испр. и
доп. - М.: Юрид. лит., 1974. - С.99.
Науково-практичний коментар Кримінального кодексу України. 3-е вид., переробл. та
доповн. / За ред. Мельника М.І. та Хавронюка М.І. - К.: Атіка, 2003. - С.162.
Кудрявцев В.Н. Способ совершения преступления и его уголовно-правовое значение //
Советское государство и право. -1957 г. - № 8. - С.67,68.
Кудрявцев В.Н.. Закон, поступок, ответственность. - Москва, "Наука", 1986. - С.112.
Яковлев A.M. Преступность и социальная психология. - М., 1971. - С.112.
10. Кудрявцев В.Н. Закон, поступок, ответственность. - Москва, "Наука", 1986. - С.118.
Микола Карчевський
ПРОБЛЕМИ КВАЛІФІКАЦІЇ НЕЗАКОННОГО ВТРУЧАННЯ В РОБОТУ МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ (НОВА РЕДАКЦІЯ СТ.361 КК УКРАЇНИ)
5 червня 2003 року було прийнято Закон України "Про внесення змін до Кримінального кодексу України щодо відповідальності за незаконне втручання в роботу мереж електрозв'язку". Цим законом доповнено назву розділу XVI КК України та змінено статтю 361 КК України. Аналіз вказаного закону дозволяє зробити наступні висновки:
розширено обсяг суспільних відносин, які охороняються розділом XVI та ст. 361 КК
України;
передбачено новий вид предмета незаконного втручання - інформацію, що
передається мережами зв'язку;
передбачено нову форму об'єктивної сторони незаконного втручання;
доповнено альтернативне покарання за вчинення кваліфікованого незаконного
втручання;
визначено поняття "істотна шкода", яке у попередній редакції було оціночним.
Нова редакція назви розділу дозволяє зробити висновок, що тепер до родового об'єкту
злочинів в сфері використання комп'ютерної техніки відносяться й інформаційні суспільні
відносини засобом забезпечення яких є мережі електрозв'язку. Зміст цих відносин
полягає у наданні та отриманні послуг зв'язку, тобто використанні мереж електрозв'язку для
передачі або прийому інформації.
Аналіз таких суспільних відносин, перш за все, вимагає визначення поняття "мережа електрозв'язку". Слід зауважити, що воно не визначається в законодавстві України, однак його можна визначити шляхом тлумачення Закону України "Про зв'язок" від 16 травня 1995 року. Так, у статті 1 цього закону зазначено, що мережа зв'язку - це "сукупність засобів та споруд зв'язку, поєднаних в єдиному технологічному процесі для забезпечення інформаційного обміну". До засобів зв'язку цей закон відносить технічне обладнання, що використовується для організації зв'язку [1]; споруди зв'язку визначаються наступним чином: "будівлі, вежі, антени, повітряні і кабельні лінії, проміжні та кінцеві пристрої ліній зв'язку, поштові шафи та інші пристрої, що використовуються для організації поштового або електричного зв'язку" [2]. В свою чергу, електричний зв'язок представляє собою
136
Компьютерная преступность и кибертерроризм 2004/2
передачу, випромінювання або прийом знаків, сигналів, письмового тексту, зображень та звуків або повідомлень будь-якого роду по радіо, проводових, оптичних або інших електромагнітних системах [3].
Виходячи з цього цілком обґрунтованим представляється наступне визначення мережі електрозв'язку: сукупність технічного обладнання (засоби зв'язку) та будівель, веж, антен, повітряних і кабельних ліній, проміжних та кінцевих пристроїв ліній зв'язку, та інших пристроїв (споруди зв'язку), що використовуються для організації передачі, випромінювання або прийому знаків, сигналів, письмового тексту, зображень та звуків або повідомлень будь-якого роду по радіо, проводових, оптичних або інших електромагнітних системах, поєднаних в єдиному технологічному процесі для забезпечення інформаційного обміну.
Зміни у редакції статті 361 КК обумовили також появу нових характеристик безпосереднього об'єкта незаконного втручання. Таким у попередній редакції ст.361 була структурно організована та нормативно врегульована система соціально значущих відносин власності на комп'ютерну інформацію, яка забезпечує свободу реалізації права кожного учасника на задоволення інформаційної потреби і знаходиться під охороною кримінального закону [4]. Нова редакція аналізованої статті дає підстави стверджувати, що крім права власності на комп'ютерну інформацію нею охороняються й суспільні відносини надання та отримання послуг електричного зв'язку.
Предметом цих суспільних відносин є інформація, яка передається за допомогою мереж електрозв'язку. Така інформація, як витікає з нової редакції ст.361, є одним з видів предметів незаконного втручання. Співвідношення категорій "інформація, що передається мережами електрозв'язку" та "комп'ютерна інформація", яка теж відноситься до предметів незаконного втручання, можна визначити наступним чином: якщо комп'ютерна інформація -це відомості, представлені у формі, яка дозволяє їх обробку за допомогою ЕОМ, то інформацією, що передається мережами електрозв'язку, є відомості, представлені у формі, що дозволяє їх прийом або передачу засобами електрозв'язку. Інформація в цих мережах передається за допомогою сигналів, які є матеріальними носіями передачі інформації. Слід зауважити, що електричні сигнали в мережах електрозв'язку можуть бути носіями комп'ютерної інформації. Наприклад, у комп'ютерних мережах телефонні лінії використовуються для зв'язку між ЕОМ, що знаходяться в мережі. В такому разі інформація, що передається мережею електрозв'язку, буде комп'ютерною, а її знищення чи перекручення необхідно буде розглядати як незаконне втручання в роботу комп'ютерної мережі.
Нова редакція ст.361 КК України передбачає й нову форму об'єктивної сторони: незаконне втручання в роботу мереж електрозв'язку, що призвело до знищення, перекручення, блокування інформації або до порушення встановленого порядку її маршрутизації.
Незаконне втручання у цій формі є злочином з матеріальним складом, тобто його об'єктивна сторона складається з трьох обов'язкових елементів: діяння (незаконне втручання в роботу мереж електрозв'язку); причинного зв'язку та суспільно-небезпечних наслідків (знищення, перекручення, блокування інформації або порушення встановленого порядку її маршрутизації). Незаконне втручання в роботу мереж електрозв'язку буде закінченим із моменту настання вказаних суспільно небезпечних наслідків.
Діяння. Оскільки за своєю суттю втручання в роботу мережі електрозв'язку - це зміна режиму її роботи [5] та, як уже було зазначено, до складу мережі електрозв'язку входять засоби та споруди зв'язку, фізичну властивість незаконного втручання в роботу мережі електрозв'язку можна визначити наступним чином: зміна режиму роботи мережі, вчинена шляхом впливу на засоби або споруди зв'язку.
Суспільна небезпечність такого діяння, його соціальна ознака, полягає в тому, що воно ставить під загрозу суспільні відносини щодо надання та отримання послуг електрозв'язку.
137
Компьютерная преступность и кибертерроризм 2004/2
Протиправність, як обов'язкова ознака незаконного втручання в роботу мереж електрозв'язку, полягає в тому, що це діяння є порушенням установленого нормативно-правовими актами режиму користування мережами електрозв'язку.
Викладене дозволяє дати таке визначення діяння як обов'язкової ознаки аналізованої форми об'єктивної сторони складу злочину, передбаченого статтею 361 КК України: незаконне втручання в роботу мереж електрозв'язку - порушення встановленого нормативно-правовими актами режиму роботи мережі, вчинене шляхом впливу на засоби або споруди зв'язку, що ставить під загрозу суспільні відносини щодо надання та отримання послуг електрозв'язку.
До наслідків при вчиненні незаконного втручання в роботу мереж електрозв'язку відносяться: знищення, перекручення, блокування та порушення порядку маршрутизації інформації. Виходячи з визначення безпосереднього об'єкта цього злочину як відносин щодо надання послуг електрозв'язку вказані наслідки слід розглядати як форми порушення електрозв'язку.
Отже, знищення інформації, що передається мережами електрозв'язку - це порушення електрозв'язку у вигляді неотримання абонентом мережі інформації, якому вона надсилається.
Перекрученням такої інформації буде порушення електрозв'язку у вигляді отримання абонентом відомостей, що не співпадають з тими, які йому було надіслано.
Порушення порядку маршрутизації матиме місце коли певні відомості отримує абонент мережі, який не є їх адресатом.
Блокування інформації є більш складною категорією. В державному стандарті ДСТУ 2617-94 "Електрозв'язок. Мережі та канали передавання даних. Терміни та визначення" від 1 липня 1995 року блокування визначається як "непрацездатність ресурсу мережі, яка виникає внаслідок одночасних вимог користувачів на використання цього ресурсу, що перевищують його пропускну здатність" (С.18). Під ресурсом мережі розуміється "організаційне, інформаційне, програмне та технічне забезпечення мережі з пакетною комутацією, призначене для виконання як окремих, так і всіх функцій мережі" (СІ7). У свою чергу, мережа з пакетною комутацією - це "мережа передачі даних, яка призначена чи використовується для обміну даними між абонентами (ЕОМ, ПЕОМ та ін.) за методом пакетної комутації" (С.14). Пакет (даних) розуміється як "сукупність певного формату повідомлення даних (чи його частини) з додатковою інформацією щодо процесу передавання даних за призначенням" (С.4). Виходячи з наведеного, блокування інформації представляє собою неможливість користування інформаційним ресурсом мережі з пакетною комутацією. Такою мережею, як це можна побачити з визначення, є комп'ютерна. Отже такий термін як блокування може бути застосований тільки до комп'ютерної інформації, саме відносно неї він матиме сенс (дійсно, важко уявити блокування інформації, що передається мережею телефонного зв'язку).
Таким чином, блокування інформації, що передається мережами електрозв'язку - це порушення електрозв'язку у вигляді відсутності у осіб, які мають на це право можливості користування інформаційним ресурсом комп'ютерної мережі.
Оскільки блокування завжди стосується комп'ютерної інформації і за своєю суттю є порушенням права власності на неї, в подальшій роботі щодо вдосконалення кримінального законодавства більш правильним було б віднесення блокування до наслідків незаконного втручання в роботу ЕОМ, систем чи комп'ютерних мереж.
Причинний зв'язок як обов'язкова ознака об'єктивної сторони аналізованої форми незаконного втручання полягає в тому, що незаконне втручання з необхідністю спричиняє знищення, перекручення, блокування чи порушення порядку маршрутизації інформації, що передається каналами зв'язку, воно передує настанню зазначених суспільно небезпечних наслідків, містить у собі реальну можливість їх настання та в конкретному випадку є необхідною умовою, без якої ці наслідки не настали б.
138
Компьютерная преступность и кибертерроиизм 2004/2
Таким чином, аналіз об'єктивних ознак незаконного втручання в роботу мереж електрозв'язку свідчить про те, що посягання, передбачене попередньою редакцією ст.361 КК, та посягання, передбачене законом про доповнення цієї, не співпадають, як це можна було побачити, за ознаками об'єкта, предмета та об'єктивної сторони. Цілком обґрунтованим буде й висновок про те, що не співпадають і ознаки суб'єктивної сторони цих посягань. Отже, доповнивши ст.361 КК, законодавець фактично передбачив кримінальну відповідальність за абсолютно самостійні склади злочинів в одній нормі. У зв'язку з цим, видається доцільним кримінальну відповідальність за незаконне втручання в роботу мереж електрозв'язку передбачити окремо, доповнивши КК статтею 361' .
Ще однією новелою чинної редакції ст. 361 КК України є визначення поняття істотної шкоди, яке раніше було оціночним. Необхідно відмітити, що незаконне втручання, яке заподіяло істотну шкоду, відноситься до так званих злочинів, що кваліфікуються за наслідками. Аналізуючи такі злочини, М.І.Бажанов відзначав: "...у всіх злочинах, що кваліфікуються за наслідками, є два наслідки - основний (проміжний) і додатковий (похідний). Ці наслідки настають хронологічно (послідовно) один за одним, у результаті вчинення особою діяння. ...Причому основний (проміжний) наслідок тягне за собою додатковий (похідний), оскільки приховує в собі реальну можливість настання цього похідного наслідку. Діяння безпосередньої "участі" у настанні додаткового наслідку не бере. Воно породжує проміжний наслідок, який, у свою чергу, викликає наслідок похідний" [6].
В аналізованому злочині основний наслідок полягає у знищенні або перекрученні комп'ютерної інформації та знищенні, перекрученні, блокуванні інформації, що передається мережами електрозв'язку, чи порушенні порядку її маршрутизації, а додатковий - у заподіянні істотної шкоди.
Зазвичай істотна шкода полягає в заподіянні позитивних матеріальних збитків. У такому випадку істотну шкоду необхідно оцінювати, виходячи з витрат власника на придбання комп'ютерної інформації. Але стосовно істотної шкоди, як кваліфікуючої ознаки незаконного втручання, слід зауважити, що іноді вона може виражатися і в упущеній вигоді. Це пояснюється тим, що на сучасному етапі будь-яка діяльність як необхідний елемент включає інформаційне забезпечення. Ефективність діяльності багато в чому залежить від кількості та якості вхідної інформації [7], тому перекручення або знищення інформації, що має порівняно невелику ціну, здатне заподіяти значних матеріальних збитків у вигляді упущеної вигоди. Саме тому видається правильним, крім втрати або зменшення обсягу інформації, якою володіє потерпілий, у розмір матеріальних збитків від комп'ютерного злочину включати також і упущену вигоду. При вчиненні незаконного втручання упущена вигода може полягати в укладанні невигідних договорів, падінні авторитету, невиконанні умов договорів тощо.
Для підтвердження обгрунтованості висновку про необхідність включення в розмір істотної шкоди упущеної вигоди варто навести випадок, що мав місце в практиці правоохоронних органів СІЛА. Один із співробітників американської компанії, яка працює у сфері високих технологій, був звільнений. Бажаючи помститися адміністрації, він розробив комп'ютерну програму, яка через два тижні після звільнення винного знищила комп'ютерну інформацію, що стосувалася новітніх розробок компанії. Збитки від втрачених контрактів і вартість відновлення знищеної інформації становили 10 мільйонів доларів [8]. Тут слід зауважити, що значне розширення сфери застосування комп'ютерної техніки та її використання для виконання все більш відповідальних робіт, дає підстави спрогнозувати, що матеріальні збитки від вчинення незаконного втручання можуть бути набагато більші ніж триста неоподаткованих мінімумів доходів громадян (критерій істотної шкоди у примітці до ст.361 КК).
Крім матеріальної шкоди, суспільно небезпечні наслідки при вчиненні незаконного втручання можуть виражатися і в нематеріальних видах шкоди, що зумовлено використанням ЕОМ, систем та комп'ютерних мереж для контролю над складними технологічними процесами, об'єктами і керування ними. Це така шкода, як порушення
139
Компьютерная преступность и кибертерроризм 2004/2
нормальної роботи підприємств, зупинення або порушення складних технологічних процесів, погіршення обороноздатності держави, підрив авторитету державних органів, підприємств, установ або організацій, створення загрози або заподіяння шкоди життю та здоров'ю громадян, порушення безпеки руху транспорту тощо.
Так, у практиці правоохоронних органів мали місце випадки, коли в результаті незаконного втручання в роботу автоматизованих систем управління порушувався виробничий процес, створювалася загроза життю багатьох осіб. Наприклад, у 1992 році мало місце умисне порушення роботи автоматизованої системи управління Італійської АЕС [9].
Поширення комп'ютерних технологій у Збройних силах дозволяє дійти висновку, що одним із можливих наслідків незаконного втручання може бути порушення обороноздатності держави. Наприклад, внаслідок знищення або перекручення комп'ютерної інформації в автоматизованій системі, яка забезпечує управління системами протиповітряної оборони. Знищення або перекручення комп'ютерної інформації в автоматизованих системах, які забезпечують безпеку дорожнього, повітряного або водяного руху, здатне призвести до аварій або катастроф. Незаконне втручання може завдати шкоди авторитету держави, підприємств, установ або організацій. Наприклад, восени 1999 року американський хакер Ерік Барнс у дні, коли НАТО бомбило Югославію, перекрутив інформацію, що знаходилася на офіційному сайті Біла Клінтона. Барнс змінив фотографії, які були на сайті, і замінив державний прапор США піратським. Фахівцям президентської адміністрації було потрібно дві доби для того, щоби відновити інформацію, перекручену хакером [10].
Слід зауважити, що визначити вичерпний перелік можливих наслідків незаконного втручання надзвичайно важко, оскільки в кожному випадку ці наслідки залежать, насамперед, від змісту знищуваної або перекручуваної комп'ютерної інформації, який може бути різним.
Таким чином, суспільно небезпечні наслідки при вчиненні незаконного втручання залежать від змісту комп'ютерної інформації, яка знищується або перекручується, і можуть виражатися як у матеріальній, так і в нематеріальній шкоді, що, як правило, є більш тяжким наслідком, ніж матеріальна. В той же час, виходячи з аналізу примітки до ст.361, однаковими в плані кваліфікації будуть, наприклад, незаконне втручання, що спричинило матеріальні збитки у розмірі шести тисяч гривень та незаконне втручання, що спричинило збитки в розмірі шістдесяти тисяч гривень, або незаконне втручання, що спричинило порушення роботи світлофорів у певному мікрорайоні, та незаконне втручання, що спричинило порушення роботи системи радіаційної безпеки АЕС. Саме це при дослідженні даного складу порушує питання про відбиття диференціації тяжкості заподіяної шкоди в конструкції складу незаконного втручання.
Не можна не звернути уваги на те, що законодавець у нормах Особливої частини КК по-різному визначає шкоду, заподіяну тим чи іншим злочином: в одних випадках він говорить про істотну шкоду, а в інших - про тяжкі наслідки. При цьому аналіз даних норм дозволяє зробити висновок, що законодавець (у переважній більшості складів) пов'язує істотну шкоду саме з матеріальними збитками. Що ж стосується інших видів шкоди, то, здебільшого, їх характеризують як тяжкі наслідки.
Так, у ряді складів законодавець прямо вказує на це в примітках до статей (наприклад, СТ.185 "Крадіжка"), або, виходячи з аналізу об'єкта й об'єктивної сторони конкретного складу, можна зробити висновок, що істотна шкода виражається саме в матеріальних збитках (наприклад, ст.222 "Шахрайство з фінансовими ресурсами", ст.223 "Порушення порядку випуску (емісії) та обігу цінних паперів").
Що ж стосується "тяжких наслідків", то це, як витікає з аналізу Особливої частини КК, більш широке поняття, що охоплює не тільки заподіяння матеріальних збитків. Про це може свідчити те, що в ряді випадків законодавець визнає завдання істотної чи значної шкоди кваліфікуючою ознакою, а настання тяжких наслідків - особливо кваліфікуючою ознакою (наприклад, ст.424 "Перевищення військовою службовою особою влади чи службових повноважень"). Крім того, у ряді статей (наприклад, ст.294 "Масові заворушення", ст.414
140
Компьютерная преступность и кибертерроризм 2004/2
"Порушення правил поводження зі зброєю, а також із речовинами і предметами, що становлять підвищену небезпеку для оточення") законодавець формулює досліджувану ознаку в такий спосіб: "спричинення загибелі людей або настання інших тяжких наслідків". Це також підтверджує висновок про те, що "тяжкі наслідки" - це більш широке поняття, яке містить у собі не тільки завдання матеріальних збитків.
Отже, характеристика можливих наслідків незаконного втручання дозволяє зробити висновок, що доцільним, обгрунтованим та таким, що відповідає специфіці об'єкта й об'єктивної сторони цього складу злочину, було б доповнення статті 361 частиною 3, яка б передбачала відповідальність за вчинення незаконного втручання, що спричинило тяжкі наслідки, та примітки до цієї статті частиною другою, яка б встановлювала, що під істотною шкодою, якщо вона полягає в завданні матеріальних збитків, слід розуміти таку шкоду, яка в шістсот і більше разів перевищує неоподаткований мінімум доходів громадян.
Таким чином, прийняття нової редакції ст.361 КК України значно підвищує ступень правової захищеності інформаційних відносин. Дозволяє захистити таку їх важливу складову як суспільні відносини щодо надання послуг електрозв'язку, що, з огляду на стрімкий розвиток телекомунікаційних систем, є доцільним та своєчасним. Разом з тим, аналіз нового закону дозволяє дійти таких висновків:
диспозицією статті 361 КК передбачено два самостійні склади злочинів; необхідною є диференціація тяжкості шкоди, спричиненої незаконним втручанням, в межах складу злочину.
Враховуючи це, при подальшому вдосконаленні кримінального законодавства про комп'ютерні злочини доцільним було б: виключити зі статті 361 КК України таку форму об'єктивної сторони як незаконне втручання в роботу мереж електрозв'язку; передбачити блокування комп'ютерної інформації як самостійний наслідок незаконного втручання в роботу ЕОМ, систем та комп'ютерних мереж; доповнити КК статтею 361!, яка б передбачала відповідальність за незаконне втручання в роботу мереж електрозв'язку.
Стаття 1 Закону України "Про зв'язок" від 16 травня 1995 року.
Там само.
Там само.
Карчевський М.В. Кримінальна відповідальність за незаконне втручання в роботу
електронно-обчислювальних машин, систем та комп'ютерних мереж: Монографія. -
Луганськ: РВВ ЛАВС, 2002. - СІ51-52.
У Тлумачному словникові С.І.Ожегова та Н.Ю.Шведової термін "втрутитися" подається
так: "узяти участь у якій-небудь справі з метою зміни її ходу".
Бажанов М.И. Множественность преступлений по уголовному праву Украины. - X.:
Право, 2000. - С.23.
Семухин И.Ю. Информация - фактор общественного воспроизводства // Матеріали II
звітної науково-практичної конференції професорсько-викладацького та курсантського
складу Кримського факультету Університету внутрішніх справ. - Сімферополь: Доля, - 2000.
-С.105-110.
8. Former Computer Network Administrator Guilty of Unleashing $10 Million Programming
"Timebomb" (May 9,2000), http://www.usdoj.gov/criminal/cybercrime/njtime.php.
9. Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления // Законность.
-1997.-Xol-C.45.
10. Кабанников А. Личный хакер Клинтона отправляется в тюрьму // Комсомольская правда.
-1999. - 24 ноября. - С.З.
141
Компьютерная преступность и кибертерроризм 2004/2
Виталий Козлов
ТЕОРЕТИКО-ПРИКЛАДНОЕ ОСМЫСЛЕНИЕ ИСПОЛЬЗОВАНИЯ ТЕРМИНА «КОМПЬЮТЕРНАЯ ИНФОРМАЦИЯ» В КРИМИНАЛИСТИКЕ
При раскрытии компьютерных преступлений возникают проблемные вопросы относительно криминалистического понимания компьютерной информации, процессов ее получения при проведении оперативно-розыскных мероприятий и производстве следственных действий, в целом - использования в процессе доказывания по уголовным делам.
Под «информацией» К.Шеннон понимал «то, что снимает, уменьшает неопределенность», Дж.Батерсон - «то, что изменяет нас», Н.Винер рассматривал информацию как «обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему наших чувств», отмечая, что «процесс получения и использования информации является процессом нашего приспособления к случайностям внешней среды и нашей жизнедеятельности в этой среде» [1, 67]. Множественность аспектов информации как объективного явления отмечал С.С. Овчинский [2, 19]:
теоретико-отражательный, раскрывающий роль информации в процессах
отображения объективной действительности;
гносеологический, раскрывающий представление об информации как средстве
познания;
отологический, формирующий концепции ценности информации для различных сфер
деятельности;
количественный, приобретающий значение для принятия решений при определении,
например, емкости памяти информационно-поисковых систем;
коммуникативный, раскрывающий сложную организационно-техническую природу
информационной связи;
иные.
Представителям физико-технических отраслей науки информация интересна своими количественными аспектами, а также возможностями передачи ее между некоторыми объектами, независимо от качественных характеристик, так, например, возможно определение информации, как «отражение предметов мира, выражаемого в виде сигналов и знаков» [3, 3]. Для юридических отраслей науки определяющим является положение о регулировании общественных отношений в области информации. Основным объектом правоотношений в информационной сфере является информация, которая находится в общественном гражданском обороте, и по поводу которой возникают общественные отношения, подлежащие правовому регулированию. При этом информационные отношения, как объект правового регулирования, могут обладать следующими признаками, например [4, 10]:
объектом являются те отношения, которые на данный момент развития общества
нуждаются в правовом опосредовании;
это общественные отношения, возникающие по поводу информации;
это информационные отношения, связанные с волевой деятельностью человека;
регулируются правом те информационные отношения, которые возможно
организовать с помощью средств правового регулирования.
В современных законодательствах стран СНГ категория «информация» практически считается аксиомой, при этом, под информацией понимают «сведения», «данные», «события», «обстоятельства», «факты». Например, законодатели Российской Федерации и Республики Беларусь под информацией понимают «сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления» [5] и «сведения о лицах, предметах, фактах, событиях, явлениях и процессах» [6] соответственно. Дальнейшим развитием такого подхода к определению рассматриваемого
142
Компьютерная преступность н кибертерроризм 2004/2
термина, с учетом идущих процессов информатизации общества, можно считать трактовку информации как «сведения о таких объектах, как факты, события, явления, предметы. процессы, а также понятия или команды» [7, 450-462], либо - «сведения о таких объектах, как факты, события, явления, предметы, процессы, представления, включающие понятия, которые в определенном контексте имеют конкретный смысл» [8], или «совокупность знаний, фактов, сведений, представляющих интерес и подлежащих хранению и обработке» [9, 341], либо «пригодные для обеспечения активных действий результаты процесса отражения, протекающих при любом взаимодействии любых объектов, сведения о ком-нибудь, о чем-нибудь» [9, 341].
Информацию можно создавать, хранить, передавать, запоминать, копировать, принимать, обрабатывать, разрушать. Она может создаваться и переноситься при помощи волн, имеющих акустическую или электромагнитную природу, электрического напряжения, знаков на бумаге и т.д. Т.е. переносить информацию может в принципе любая материальная структура или поток энергии. Информация, выраженная физическим полем или процессом представляет нематериальную сущность информационных объектов. Не являясь собственно материальным объектом, информация неразрывно связана с материальным носителем (материальный носитель информации - материал с определенными физическими свойствами, который может быть использован для записи и хранения информации [6]): это -отчужденные от человека материальные носители, такие, как книга, дискета, жесткие диски (HDD), CD-ROM и другие виды запоминающих устройств. Материальный носитель с зафиксированной и непосредственно воспринимаемой информацией выделяет любой документ (например, электронный, представляющий собой информацию, зафиксированную на машинном носителе и соответствующая требованиям, установленным законом [10]) как обособленный цельный материальный объект, который может быть использован в правоотношениях. Как в естественных, так и в искусственных процессах, в которых участвует информация, одни формы информации переходят в другие. При этом сама информация всегда проявляет себя в материально-энергетической форме. Как объект права информация отличается от материальных вещей - объектов права, по ряду существенных признаков: нематериальная сущность информации; ценность объекта определяет содержательная сущность информации; одна и та же информация как объект права может одновременно находится у неограниченного круга субъектов права; многовариантность форм представления информации; одновременная виртуальная доступность информации неограниченному числу субъектов (пользователей) независимо от их места геопространственного и государственного нахождения; информация может быть мгновенно скопирована и воспроизведена неограниченное количество раз; производство, копирование, публичное представление, распространение, накопление, доступность и использование информации практически не требуют затрат материальных ресурсов; возможность применения к информации как объекту права, института залога собственности [1, 70].
В рассматриваемом нами криминалистическом аспекте важнейшими формами информации являются дискретная и непрерывная информация. Дискретная информация является основной формой информации и существует (передается, обрабатывается, хранится) в виде конечных совокупностей качественно различных символов (печатные, рукописные документы, состояния цифровых автоматов и т.п.). Непрерывная информация воплощается в образах (зрительных, звуковых и др.) и непрерывно наблюдаемых траекториях процессов. В средствах компьютерной техники (СКТ) информация представляется в двоично-кодированном виде.
Для различных структурных элементов объекта информатизации формы представления информации различны. Как предмет преступного посягательства информация - есть сведения, являющиеся объектом передачи, обработки и хранения. Таким образом, как отражение явлений реального мира понятие информации раскрывается указанием действий, в которых она участвует: передачи, преобразования и хранения информации. Хранение информации предполагает наличие носителя информации-объекта, который может
143
Компьютерная преступность н кибертерроризм 2004/2
находиться в различных состояниях, фиксирующих информацию. Передача информации предполагает наличие двух таких объектов (передатчика и приемника) и канала связи, способного отображать состояния передатчика в состояния приемника. Обработка информации - выполнение любого алгоритма, исходные данные для которого отождествляются состоянием носителя информации, а результат - состоянием того же или другого носителя. На объектах, использующих СКТ в процессе приема, обработки и выдачи информации происходит ее перенос в пространстве и времени от источника информации к приемнику информации, т.е. осуществляется обмен информацией. При этом возможно изменение ее материально-энергетической формы.
К основным свойствам информации относятся следующие [11, 49-50].
1. Свойство физической неотчуждаемости информации. Оно основано на том, что
знания не отчуждаемы от человека, их носителя. Исходя из этого, при передаче информации
от одного лица к другому и юридического закрепления этого факта процедура отчуждения
информации должна заменяться передачей прав на ее использование и передаваться вместе с
этими правами.
2. Свойство обособляемости информации. Для включения в оборот информация всегда
овеществляется в виде символов, знаков, волн, вследствие этого обособляется от ее
производителя (создателя) и существует отдельно и независимо от него. Это подтверждает
факт оборотоспособности информации как самостоятельного отдельного объекта
правоотношений, в результате чего появляется возможность передачи информации в такой
форме от одного субъекта к другому.
3. Свойство информационной вещи (информационного объекта). Это свойство
возникает в силу того, что информация передается и распространяется только на
материальном носителе или с помощью материального носителя и проявляется как
«двуединство» информации (ее содержания) и носителя, на котором эта информация (содер
жание) закреплено. Это свойство позволяет распространить на информационную вещь
(объект) совместное и взаимосвязанное действие двух институтов — института авторского
права и института вещной собственности.
4. Свойство тиражируемое™ (распространяемости) информации. Информация может
тиражироваться и распространяться в неограниченном количестве экземпляров без
изменения ее содержания. Одна и та же информация (содержание) может принадлежать
одновременно неограниченному кругу лиц (неограниченный круг лиц может знать
содержание этой информации). Отсюда следует, что юридически необходимо закреплять
объем прав по использованию информации (ее содержания) лицами, обладающими такой
информацией (обладающими знаниями о содержании информации).
Свойство организационной формы. Информация, находящаяся в обороте, как
правило, представляется в документированном виде, т.е. в форме документа. Это могут быть
подлинник (оригинал) документа, его копия, массив документов па бумажном или
электронном носителе (банк данных или база данных) тоже в виде оригинала или копии,
библиотека, фонд документов, архив и т.п. Такое свойство дает возможность юридически
закреплять факт «принадлежности» документа конкретному лицу, например, закрепив его
соответствующей подписью в традиционном или в электронном виде (с помощью ЭЦП). Это
свойство позволяет также относить к информационным вещам (информационным объектам)
как отдельные документы, так и сложные организационные информационные структуры.
Неотъемлемой функциональной характеристикой любого документа является его
способность хранить и передавать информацию во времени и пространстве о событиях,
фактах, правах и обязательствах.
Свойство экземплярности информации. Это свойство заключается в том, что
информация распространяется, как правило, не сама по себе, а на материальном носителе,
вследствие чего возможен учет экземпляров информации через учет носителей, содержащих
информацию. Понятие экземплярности дает возможность учитывать документированную
информацию и тем самым связывать содержательную сторону информации с ее «вещным»
144
Компьютерная преступность и кибертерроризм ___ 2004/2
обрамлением, т.е. с отображением на носителе, вводить понятие учитываемой копии документа, а отсюда и механизма регистрации информации, в особенности учитывать обращение оригиналов (подлинников) документов. Экземплярность информации уже сегодня активно реализуется при обращении информации ограниченного доступа.
С точки зрения правового статуса информации и режима доступа к ней традиционно выделяют: общедоступную информацию; конфиденциальную (ограниченного доступа) информацию; информацию, составляющую государственную тайну (государственные секреты). В публично-правовом и гражданско-правовом обороте информацию как общий объект правоотношений, составляющий систему объектов информационного права, можно условно разделить на следующий виды: массовая (открыто свободно распространяемая) информация; информация о государственной тайне (закрытая); конфиденциальная информация (ограниченного доступа), которая в свою очередь подразделяется на: служебную информацию, информацию о коммерческой и служебной тайне (в т.ч. все виды профессиональной тайны и ноу-хау), информацию о гражданах (персональные данные); информацию об интеллектуальной собственности; информацию, запрещенную к распространению [1, 74].
Специалисты в области уголовного права предлагают близкие по смыслу формулировки компьютерной информации. Например, по мнению А.И. Лукашова с соавторами компьютерная информация - «сведения о лицах, предметах, фактах, событиях, явлениях и процессах, зафиксированные в оперативной памяти ЭВМ или на машинном носителе или передаваемые по телекоммуникационным каналам в форме, доступной восприятию электронно-вычислительной техникой» [12, 541]. С.А. Пашин определяет компьютерную информацию в виде «информации, зафиксированной на машинном носителе и передаваемой по телекоммуникационным каналам в форме, доступной восприятию ЭВМ» [13, 50-64]. B.C. Комиссаров полагает, что «компьютерная информация - охраняемая законом информация, расположенная на машинном носителе, в ЭВМ или сети ЭВМ» [13, 50-64],
Близки к подобным определениям первые российские исследователи компьютерной преступности. Так, В.Б.Вехов вместо категории «компьютерная информация» использовал термин «машинная информация», под которой понимал «информацию, циркулирующую в машиной среде, зафиксированную на машинном носителе в форме, доступной восприятию ЭВМ, или передающуюся по телекоммуникационным каналам, сформированную в вычислительной среде, информацию, пересылаемую посредством электромагнитных сигналов из одной ЭВМ в другую, из ЭВМ на периферийное устройство либо на управляющий датчик оборудования» [14, 21]. По мнению же В.В.Крылова информация является компьютерной, если она хранится в компьютерной сети, системе, на компьютерных носителях либо передается сигналами, распространяемыми по проводам, оптическим волокнам или радиосигналам [15, 25-29].
Дальнейшие исследования в области информации привели ученых к выделению радиоэлектронной информации (РЭИ), что представляется нам правильным, своевременным и соответствующим уровню развития СКТ выводом. РЭИ - производимые с помощью теле-, радио-, иных радиоэлектронных устройств (источников) звуки, знаки, сигналы, иные изображения, несущие передаваемые и получаемые через радиоэлектронные технические средства, технологии, сети или системы сведения о лицах, предметах, фактах, событиях, явлениях и процессах, по поводу которых между участниками радиоэлектронной информационной сферы возникают юридически значимые радиоэлектронно-информационные общественные связи или отношения [16, 8]. В зависимости от источника и способа производства, из РЭИ выделяют информацию, производимую и получаемую с помощью: телевидения; радио; компьютерных средств; иных радиоэлектронных технических средств и технологий [16, 8]. Следовательно, исходя из подобного представления, можно рассматривать компьютерную информацию как разновидность радиоэлектронной. Подобный подход позволяет учесть свойства информации,
145
Компьютерная преступность и кибертерроризм 2004/2
разработанные в обшей теории информации, указанные выше, т.е. речь может идти об организации файловых систем компьютеров для работы с компьютерной информацией.
Проводя дальнейший анализ, отметим, что для криминалистов, осуществляющих поисково-познавательную деятельность с целью получения доказательств, используемых судом, необходимо более точное представление о компьютерной информации, определяемое, на наш взгляд двумя группами обстоятельств.
С одной стороны - для компьютерной информации основополагающим понятием является «файл». Под файлом принято понимать ограниченный объем информации, существующий физически в ЭВМ, системе ЭВМ или в сетях ЭВМ. Файловая система организации долговременной памяти и носителей компьютера является важной составляющей, организующей работу и взаимодействие устройств СКТ. Файлы являются хранителями компьютерной информации и для них характерны следующие стандартные свойства: тип информации - текстовая, числовая, графическая, программный код др.; местонахождение информации - описание места расположения на временном или постоянном носителе и указание типа носителя; наименование файла - символьное описание названия; размер (объем) хранимой информации (количество страниц, абзацев, строк слов, символов или байт); время создания, время изменения; атрибуты, информации (архивная, скрытая, системная, только для чтения и др.). Приведенный набор свойств позволяет говорить о наличии необходимых с точки зрения криминалистики свойств файлов, позволяющих идентифицировать файлы и находящуюся в них информацию. Таким образом, можно согласиться с точкой зрения СИ. Семилетова, отмечающего, что т.к. файловая структура легко позволяет обеспечить выполнение требований, предъявляемых к материальному носителю документа, то, следовательно, и компьютерный файл делает возможность отделить цифровой электронный документ (содержащий информацию) от материального носителя, и он в своей сущности выполняет аналогичную технологическую функцию носителя обычного традиционного документа, т.е. выполняет роль бумажного носителя и фактически является своего рода «электронной бумагой» для электронного документа. При этом материальность самой записи файла остается необходимым условием его существования [17, 60-68]. Т.е. речь идет о документированной информации, зафиксированной в виде файла [18]. Исходя из рассмотренных характеристик, возможно, например, определить компьютерную информацию, как «документированную информацию, хранящуюся в ЭВМ или управляющая ею» [19, 616]. Очевидно, однако, что материальный носитель документа является вторичным относительно его содержания. Первичным же элементом является информация и форма ее представленная.
С другой стороны (применительно к процессу доказывания) - доказательствами в уголовном процессе являются любые фактические данные, полученные в предусмотренном законом порядке, на основе которых орган, ведущий уголовный процесс, устанавливает наличие или отсутствие общественно опасного деяния, предусмотренного уголовным законом, виновность лица, совершившего это деяние, либо его невиновность и иные обстоятельства, имеющие значение для правильного разрешения уголовного дела [20]. Для СКТ данными является информация, представленная в виде, пригодном для обработки автоматическими средствами при возможном участии человека [21]. Таким образом, компьютерную информацию можно определить через две составляющих - фактические данные и пригодность для обработки СКТ. Именно таким образом определяют искомую категорию Е.Р.Россинская и А.И.Усов, которые под компьютерной информацией понимают «фактические данные, обработанные компьютерной системой и (или) передающиеся по телекоммуникационным каналам, а также доступные для восприятия, и на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения уголовного или гражданского дела» [22, 30]. Подобный подход мы отмечаем и в работах других российских исследователей, например, -«фактические данные, обработанные компьютером, и полученные на его выходе в форме, доступной восприятию ЭВМ либо человека или передающиеся по телекоммуникационным каналам, на основе
146
Компьютерная преступность н кибертерроризм 2004/2
которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения дела [23, 945]». Однако, в данных определениях имеется, на наш взгляд существенное противоречие. Действительно, зафиксированную на материальном носителе тем или иным способом компьютерную информацию в электронно-цифровой форме вместе с реквизитами, а также ее наличие либо отсутствие и местоположение на носителе невозможно непосредственно и однозначно воспринимать органами чувств человека и, тем более, ее идентифицировать без соответствующих программно-аппаратных средств. Таким образом «доступность восприятия» таких данных вызывает обоснованное сомнение. Разрешить указанное противоречие возможно, по нашему мнению, определяя компьютерную информацию через радиоэлектронную.
Подводя итог анализу различных существующих точек зрения на определение понятия «компьютерная информация» с учетом соотношения компьютерной и РЭИ, а также рассмотренных групп обстоятельств, мы полагаем, что под компьютерной информацией в криминалистическом смысле следует понимать разновидность радиоэлектронной информации, являющейся фактическими данными, на основании которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения уголовного дела.
Семилетов СИ. Информация как особый нематериальный объект права /.'
Государство и право. - 2000. - № 5.
Овчинский С.С. Оперативно-розыскная информация / Под ред. Овчинского А.С. и
Овчинского B.C. - М.; ИНФРА-М, 2000.
См., например: Шрайберг Я.Л., Гончаров М.В. Справочное руководство по
основам информатики и вычислительной техники. - М.: Финансы и статистика.
КомпьютерПресс, 1990.
Грибанов Д.В. Информация как объект правового регулирования. Теоретический
аспект // Юрист. - 2003. - № 3.
Российская Федерация. Федеральный закон от 20.02.1995 № 24-ФЗ «Об
информации, информатизации и защите информации».
Закон Республики Беларусь от 06.09.1995 N 3850-ХИ «Об информатизации».
Проект закона Республики Беларусь «О защите информации» // Управление
защитой информации. - 2000. - Т. 4, № 4.
ГОСТ ИСО/МЭК 2382-01-98. Информационная технология. Словарь. Основные
термины / Пер. с англ. Э.П. Крюковой.
Леонов А.П. Толковый словарь современной информационно-правовой лексики. //
Управление защитой информации. - 2002. - Т. 6, № 3.
10. Закон Республики Беларусь 10 января 2000 г. N 357-3 «Об электронном
документе».
Копылов В.А. Информационное право: Учебник. - 2-е изд., перераб. и доп. - М.:
Юристъ, 2002.
Уголовное право Республики Беларусь. Особенная часть / А.И. Лукашов, СЕ.
Данилюк, Э.Ф. Мичулис и др.; Под общ. ред. А.И. Лукашова. - Мн.: Тесей, 2001.
Крылов В.В. Информация как элемент криминальной деятельности // Вестник
МГУ. Сер. П Право. - 1998. - № 4.
Вехов В. Б. Компьютерные преступления. Способы совершения, методики
расследования. - М.: Право и закон, 1996.
Крылов В.В. Информационные компьютерные преступления. - М.: ИНФРА-М-
НОРМА, 1997.
Вершок Д.В. Правовой режим радиоэлектронной информации. Автореф. дис. ...
канд. юрид. наук: 12.00.14 / Белорусский государственный университет. - Минск,
2003.
147
Компьютерная преступность и кибертерроризм 2004/2
17. Семилетов СИ. Электронный документ и документирование информации как
объекты правового регулирования II Информатизация и связь. - 2002. - № 2.
18. В законодательствах Российской Федерации и Республики Беларусь
документированная информация - зафиксированная на материальном носителе
информация с реквизитами, позволяющими ее идентифицировать. См.: Российская
Федерация. Федеральный закон № 24 от 20 февраля 1995 г.: Об информации, информатизации и защите информации. - М., 1995. Также: Российская Федерация, Федеральный закон № 85 от 4 июля 1996 г.: Об участии в международном информационном обмене. - М., 1996. Также: Закон Республики Беларусь Об информатизации № 3850 - XII от 6 сентября 1995 г.
Криминалистика: Учебник / Отв. ред. Н.П. Яблоков. - 2-е изд., перераб. и доп. -
М.: Юристъ, 2002.
См., например: ст. 88 Уголовно-процессуального Кодекса Республики Беларусь //
Сборник международно-правовых документов и национальных нормативных
правовых актов по вопросам оперативно-розыскной деятельности / Сост. Бачила
В.В., Ломоть И.В., Кадушкин С.А., Шабанов В.Б. - Мн.: ООО «ИЛА «Регистр».
2001.
См.: ГОСТ Р 15971-90. Системы обработки информации. Термины и определения.
Также: ГОСТ 28147-89. Системы обработки информации. Защита
криптографическая. Алгоритм криптографического преобразования.
Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.:
Право и закон, 2001.
Аверьянова Т.В., Белкин Р.С, Корухов Ю.Г., Российская Е.Р. Криминалистика
Учебник для вузов. Под. ред. Заслуженного деятеля науки Российской Федерации,
профессора Р.С. Белкина. - М.: Издательская группа НОРМА-ИНФРА-М, 1999.
В.Е.Козлов И.Т.Черненко
ПЕРСПЕКТИВНЫЕ НАПРАВЛЕНИЯ СОВЕРШЕНСТВОВАНИЯ
ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ В ПРОТИВОДЕЙСТВИИ
КОМПЬЮТЕРНОЙ ПРЕСТУПНОСТИ
Обеспокоенность мирового сообщества ростом количества компьютерных правонарушений, пропорциональным количеству пользователей Интернет, определяет многочисленные попытки создания наднациональных механизмов (прежде всего - правовых) противодействия подобным общественно-опасным проявлениям. Именно этим обстоятельством объясняется постоянная работа над созданием, совершенствованием и реализацией международных нормативных правовых документов, посвященных повышению эффективности взаимодействия правоохранительных органов в условиях глобальной информатизации.
Весьма значительным событием стало подписание лидерами стран «восьмерки» Окинавской Хартии глобального информационного общества. Данный документ можно позиционировать в качестве рекомендаций по объединению мирового информационного сообщества и формированию единых представлений и правил по созданию и совершенствованию правовых механизмов по регулированию возникающих общественных отношений. В связи с рассмотрением в данной работе проблемных вопросов противодействия компьютерной преступности, представляется целесообразным рассматривать Окинавскую Хартию в двух аспектах.
148
Компьютерная преступность и кибертерроризм 2004/2
Первый аспект. Развитие международного сотрудничества в формировании процедур, правил и соглашений для достижения доступности существующих информационных ресурсов гражданами разных стран, совершенствование национальных законодательств с целью наиболее полной реализации прав и свобод человека. В связи с этим в документе отмечается, что устойчивость глобального информационного общества основывается на демократических ценностях, стимулирующих развитие человека, таких, как свободный обмен информацией и знаниями, взаимная терпимость и уважение к особенностям других людей, подтверждается обязательство в продвижении усилий правительств по укреплению соответствующей политики и нормативной базы. Подтверждается право каждого человека на возможность доступа к информационным и коммуникационным сетям, а также необходимость повышения уровня доступности власти для всех граждан путем активного использования информационных компьютерных технологий в режиме реального времени в государственном секторе. Декларируется стремление эффективного сотрудничества между правительствами и гражданским обществом. Разрабатываемые информационные сети Должны обеспечивать быстрый, надежный, безопасный и экономичный доступ к информационным ресурсам. Отмечая значение частного сектора экономики в разработке информационных и коммуникационных сетей, Хартией подтверждается задача правительств в создании предсказуемой, транспарентной и недискриминационной политики и нормативно-правовой базы, необходимой для информационной общества с учетом принципов эффективного партнерства между государственным и частным сектором.
Второй аспект. Обеспечение безопасности глобальных сетей и создание эффективных правовых механизмов противодействия компьютерной преступности. Отмечается, что усилия международного сообщества, направленные на развитие глобального информационного общества, должны сопровождаться согласованными действиями по созданию безопасного и свободного от преступности киберпространства. Так, декларируется намерение содействовать сотрудничеству в оптимизации глобальных сетей, борьбе со злоупотреблениями, подрывающими ее целостность. Разрабатываемые сети должны обеспечивать быстрый, надежный, безопасный и экономичный доступ информационным ресурсам, в связи с чем рекомендуется активно продвигать рыночные стандарты. Отмечается важность поиска и реализации эффективных политических решений по противодействию попыткам несанкционированного доступа к информации компьютерных сетей, недопущению распространения в них вирусов, защиты прав интеллектуальной собственности на информационные технологии ( в т.ч. использованию нелицензионного программного обеспечения). Для осуществления указанных направлений деятельности рекомендуется создавать национальную нормативно-правовую базу, интернациональные «кодексы поведения», создающие механизмы защиты тайны личной жизни при обработке соответствующих данных, обеспечивая при этом свободное прохождение потока информации. При этом важное значение отводится двустороннему и международному сотрудничеству.
Таким образом, Хартия обозначила необходимость поиска компромиссного решения между доступностью информационных ресурсов глобальных сетей, соблюдением прав и свобод человека в информационной сфере и регулированием общественных отношений при создании, распоряжении и использовании таких ресурсов путем наложения определенных ограничений и обязанностей на субъекты, создающие, использующие, распространяющие и предоставляющие их. Указанное обстоятельство, а также исторические особенности развития национальных законодательств определяют различные подходы стран к правовому регулированию общественных отношений к правовому обеспечению компьютерной безопасности.
Сегодня в мире более двадцати стран мира имеют национальное законодательство, относящееся к использованию глобального информационного пространства. В разряд приоритетных выдвигается вопрос о разработке правовых и организационных механизмов регулирования использования Интернет, являясь родоначальниками которой, США,
149
Компьютерная преступность и кибертерроризм 2004/2
например, проблему безопасности признают актуальнейшей и принимают значительные меры по обеспечению защиты критичных объектов инфраструктуры страны в т.ч. путем совершенствования ее правового обеспечения, которое охватывает наиболее существенные позиции: государственную политику в информационной сфере, организацию систем управления в ней; создание новых технологий и обеспечение развития производства; борьба с монополизмом в информационной сфере; стимулирование приоритетных направлений экономики: защиту прав потребителя и прав граждан на информацию; защиту информации о гражданах; защиту авторского права разработчиков программного и аппаратного обеспечения СКТ и их сетей. При этом, США традиционно подчеркивается необходимость поддержки инициатив частного сектора ИТ-индустрии по внедрению собственных регулятивных механизмов, но признают возможность вмешательства государства в определенных случаях, если меры саморегулирования оказываются недостаточно эффективными. Правовую основу для формирования и проведения единой государственной политики государства в области информатизации и защиты информации составляют федеральные законы «О свободе информации» (1967 г.); «О секретности» (1974 г.); «О праве на финансовую секретность» (1978 г.); «О доступе к информации в деятельности ЦРУ» (1984 г.); «О компьютерных злоупотреблениях и мошенничестве» (1987 г.); «Об обеспечении безопасности ЭВМ», устанавливающий приоритет национальных интересов при решении вопросов безопасности информации, в т.ч. частной информации (1987 г.); иные.
В то же время, очевидно, что компьютерная преступность трансгранична, соответственно противодействие ей невозможно осуществлять только на национальном уровне. В связи с этим обстоятельством исследователями определены следующие особенности предмета правового регулирования отношений в пространстве Интернет, например [1, 34-35]:
- он является не чисто правовым, нормативным (использует нормы морали, этики и
др);
он базируется на новых, ранее неизвестных для теоретической науки понятиях -
«Интернет», «Интернет-право», «виртуальное пространство», «Интернет-отношения»,
«сайт», «провайдер», «доменные имена», «электронная коммерция», «цифровое право»,
«саморегулирование в сети»;
поскольку всемирное виртуальное пространство не может быть собственностью
одного субъекта (человека, организации, страны и др.), то правовое регулирование интернет-
отношений основывается также на принципах правового регулирования, саморегулирования
и сорегулирования;
информационно-правовая деятельность различных субъектов права в Интернете носит
международную окраску и осуществляется в интересах всех субъектов интернет-отношений,
на базе норм международных договоров и национального законодательства;
в процессе правового регулирования выявляются компьютерные и иные
правонарушения, а виновные наказываются на основе норм международного и наци
онального законодательства;
оценка эффективного правового регулирования интернет-отношений осуществляется
субъектами разных стран, и выводятся единые показатели действенности регулирования в
области виртуального пространства Интернета.
В Интернет отсутствует централизованная система управления. Координатором выступает Общество участников Интернет (ISOC), представляющее общественную организацию, базирующуюся на взносах участников и пожертвования спонсоров. Многими отечественными и зарубежными юристами неоднократно подчеркивалась необходимость не обременять Интернет излишним государственным регулированием. Тем не менее, дальнейшее развитие этой глобальной сети ставит ряд правовых проблем, для разрешения которых приняты либо готовится к принятию ряд актов. По нашему мнению имеется выраженная тенденция рассматривать эти проблемы по двум направлениям, касающихся, прежде всего, регламентации деятельности интернет-провайдеров, которые предоставляют
150
Компьютерная преступность и кибертерворизм 2004/2
непосредственно доступ пользователям к Сети, либо дисковое пространство серверов для размещения Интернет-сайта (хостинг).
Первое направление правового регулирования касается введения носящих преимущественно рекомендательный характер критериев организации работы Интернет-провайдеров. Так, Канадская ассоциация провайдеров услуг Интернет разработала модельный кодекс по защите персональной информации [2], помочь членам ассоциации в своей деятельности соответствовать правовым стандартам, не распространять информацию незаконного содержания, реагировать на информацию пользователей о наличии такого содержания в Интернет. Во Франции создан официальный сайт Хартии Интернет (Charte de Г Internet), в котором определены принципы добровольных обязательств пользователей и создателей информационных услуг и продуктов, связанных с Интернет. Рабочей группой министерства юстиции Швейцарии были разработаны следующие рекомендации для провайдеров Интернет. Если провайдер располагает конкретной информацией, дающей основание подозревать, что содержание сети может быть незаконным, он должен немедленно провести расследование и блокировать доступ к этому содержанию в случае необходимости. Если имеются сведения о незаконности информации, провайдер должен принять технические меры по блокированию доступа к ней. Провайдерам рекомендуется создать центр для сбора и анализа информации от провайдеров, их клиентов и прочих лиц о незаконном содержании, заключать соглашения на обслуживание только со взрослыми и самостоятельными лицами. Клиенты должны иметь доступ к сети только через идентификацию и пароль. В контракте провайдеры должны зарезервировать за собой право временно отключать подозрительные источники информации и в одностороннем порядке разрывать контракт, если клиент распространяет незаконное содержание, или если это содержание может быть получено с его компьютеров. Контракт на обслуживание должен в явном виде приглашать потребителей сообщать о незаконном содержании сети и любых других незаконных приложений, о которых им стало известно. Провайдеры должны знать, что наказание за показ сцен насилия по статьям Уголовного кодекса Швейцарии не ограничивается кино или фотопрезентациями, но распространяется и на другие формы презентаций, в т.ч. на компьютерные игры. Это же положение относится к порнографии. Провайдеры должны информировать потребителей о потенциальных проблемах, связанных с защитой данных, используемых в Интернет. Они должны особое внимание уделять мерам по сохранению конфиденциальности и точности персональных данных, ограничению доступа к ним. Провайдер должен обрабатывать только персональные данные потребителя, необходимые для обеспечения его услугами. Должны быть приняты все необходимые технические и организационные меры, чтобы эта информация была доступна только персоналу для выполнения им необходимых работ. Недопустимо использование данных в других целях. Данные могут предоставляться третьим лицам только с согласия потребителей. Провайдерам не следует делать доступными телефоны, адреса и имена клиентов по Интернет без их согласия за исключением случаев, когда на это есть законные основания. В договоре об услугах провайдеру следует уделять особое внимание обязанностям клиента по соблюдению авторских прав и сохранять за собой возможность временно прекращать доступ к источнику нарушения авторских прав и в одностороннем порядке прекращать контракт в случае таких нарушений.
Второе направление характеризуется попытками введения института ответственности Интернет-провайдеров. Так, в шведском законе, регулирующем ответственность владельцев досок объявлений (Act (1998: 112) on Responsibility for Electronic Bulletin Boards), устанавливается, что таковые обязаны удалять сообщения третьих лиц в том случае, если содержащаяся в них информация нарушает ряд норм уголовного и гражданского законодательства (в части авторского права). Похожая на европейскую, но менее детальная схема ответственности при нарушении авторских прав определена в американском Digital Millenium Copyright Act (DMCA), принятом в 1998 г. В Англии действует British Defamation Act, принятый в 1996 г., который регулирует ответственность интернет-провайдеров за
151
Компьютерная преступность и кибертерроризм 2004/2
достоверность размещаемой на их сайтах информации. Отметим, что на сегодняшний день ни в российском, ни в белорусском законодательстве однозначно не определена ответственность провайдеров за размещение на обслуживаемых ими интернет-сайтах противоправной либо недостоверной информации, а также не установлена возможность предъявления к ним претензий за ее качество. Однако рабочей группой по электронной коммерции Комитета Государственной Думы Российской Федерации по экономической политике и предпринимательству разработаны рекомендации по организации деятельности лиц в сфере интернет-коммерции, согласно которым провайдер не несет ответственности за незаконные действия лиц, использующих его услуги, в случае отсутствия информации об указанных действиях или возможности своевременно и достоверно выявить и/или квалифицировать указанные действия. Он также не несет ответственности за действия лиц. использующих его услуги и нарушивших обычаи делового оборота в сфере использования сети Интернет, если иное не предусмотрено законом или договором. Провайдер несет ответственность за модификацию и задержку передачи информации, если иное не предусмотрено законом или договором, а также за неполное или недостоверное ознакомление пользователей сети Интернет об условиях использования и существенных особенностях функционирования его информационных ресурсов [1, 34].
Страны Европейского Союза последовательно проводили политику сотрудничества в области противодействия компьютерной преступности. Так, с целью унификации национальных законодательств, в 1989 г. Комитетом министров Европейского Совета был согласован и утвержден Список правонарушений (т.н. «Минимальный список нарушений»), рекомендованный странам-участницам ЕС для разработки единой уголовной стратегии, связанной с компьютерными преступлениями, содержащий восемь видов компьютерных преступлений. 23 ноября 2001 г. в г. Будапеште была подписана Международная конвенция о киберпреступности (далее Конвенция). На сегодня очевидно, что дальнейшее противодействие компьютерной преступности в мире буде осуществляться в развитие основных положений этого нормативно-правового документа. Основная цель Конвенции (ст. 39) - дополнение соответствующих многосторонних и двусторонних соглашений и договоренностей, включая положения Европейской конвенции о выдаче (Париж, 13 декабря 1957 г.), Европейской конвенции о взаимной правовой помощи по уголовным делам (Страсбург, 20 апреля 1959 г.), Дополнительного протокола к Европейской конвенции о взаимной правовой помощи по уголовным делам (Страсбург, 17 марта 1978 г.). По нашему мнению структура рассматриваемого нормативно-правового документа (рис. 1) и его содержание носят концептуальный характер, поэтому необходимо подробно изложить основные положения Конвенции.
Для целей Конвенции, ее разработчиками в Главе 1 вводится единый понятийный аппарат (ст. 1). Так, под компьютерной системой понимается любое устройство или группа взаимосвязанных или смежных устройств, из которых одно или более, действуя в соответствии с программой, осуществляет автоматизированную обработку данных. В свою очередь, компьютерные данные - любое представление фактов, информации или понятий в форме, подходящей для обработки в компьютерной системе, включая программы, в соответствии с которыми компьютерная система выполняет ту или иную функцию. Примечательно, что разработчики Конвенции оперируют более узким понятием «компьютерные данные», а не «компьютерная информация», видимо предполагая, что последняя должна быть определена в законодательствах стран, ратифицировавших ее. Вводится понятие «данные о потоках», под которыми понимают любые компьютерные данные, относящиеся к передаче информации посредством компьютерной системы, которые передаются компьютерной системой, являющейся составной частью соответствующей коммуникационной цепочки, и указывают на источник, назначение, маршрут, время, дату, размер, продолжительность или тип соответствующего сетевого сервиса. Под поставщиком услуг, понимается любая государственная или частная структура, которая обеспечивает пользователям ее услуг возможность обмена информацией посредством компьютерной системы, и любую другую структуру, которая осуществляет обработку или хранение компьютерных данных от имени такой службы связи или пользователей такой службы.
Международное сотрудничество в противодействии компьютерной преступности
существенно затруднено, если в законодательстве стран существуют различные подходы к установлению ответственности за совершение одних и тех же общественно опасных деяний.
Глава 2 посвящена гармонизации национальных уголовных законодательств и, поскольку,с отражает видение государств, подписавших Конвенцию, на данный процесс, представляет особый интерес. Так, предложено ввести на национальном уровне уголовную ответственность за: преднамеренный противоправный доступ к компьютерной системе в целом или любой ее части; умышленный перехват компьютерных данных, передаваемых в компьютерную систему, из нее или внутри такой системы, включая электромагнитные излучения такой системы, несущей данные, осуществленный с использование технических средств; умышленное повреждение, удаление, ухудшение качества, изменение или блокирование компьютерных данных; умышленное создание помех функционированию компьютерной системы путем ввода, передачи, повреждения, удаления, ухудшения качества, изменения либо блокирования компьютерных данных; преднамеренноепроизводство, продажу, приобретение с целью использования, импорт, оптовую продажу или иные формы предоставления в пользование аппаратных и программных устройств, а также компьютерных паролей, кодов доступа с помощью которых возможен доступ к компьютерной системе в целом или любой ее части, разработанных либо специально приспособленных для совершения ранее отмеченных правонарушений; умышленный ввод, уничтожение, изменение либо блокирование компьютерных данных, повлекших нарушение аутентичности этих данных, совершенные в целях использования в качестве аутентичных (компьютерный подлог); умышленный ввод, изменение, либо блокирование компьютерных данных, а также любое вмешательство в функционирование компьютерной системы с целью 153
Компьютерная преступность и кибертерроризм 2004/2
неправомерного извлечения экономической выгоды для себя либо иного лица (компьютерное мошенничество); правонарушения, связанные с нарушением авторских и смежных прав; покушение, соучастие либо подстрекательство к совершению названных правонарушений. Важная роль отведена установлению ответственности за правонарушения, связанные с детской порнографией, под которой понимают участие несовершеннолетнего лица в откровенных сексуальных действиях, либо участие лица, кажущегося несовершеннолетним в откровенных сексуальных действиях, либо реалистическое изображение несовершеннолетнего лица, участвующего в откровенных сексуальных действиях. Сами же противоправные действия представлены в виде: производства детской порнографической продукции с целью распространения через компьютерную систему; предложения либо предоставление в пользование детской порнографии через компьютерную систему; распространения либо передача детской порнографии через компьютерную систему; приобретения детской порнографии через компьютерную систему для себя или иного лица. В Конвенции отмечается необходимость определения в национальных законодательствах ответственности юридических лиц за действия физического лица в случаях, если оно полномочно представлять юридическое лицо, принимает от его имени решения и имеет право осуществлять от его имени контроль.
Отметим, что по ряду статей Уголовного кодекса законодательство Республики Беларусь (ст. ст. 212, 216 ч.2, 349-355 УК) значительно более приближено к требованиям Конвенции по сравнению с Российской Федерацией (ст. ст. 272-274 УК). Однако, в отечественном Уголовном кодексе отсутствует специальная правовая норма, предусматривающая уголовную ответственность за распространение детской порнографии, что не позволяет сегодня привлекать у ответственности лиц, причастных к этому. В Российской же Федерации существует ст. 242-1 «Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних».
Для повышения эффективности взаимодействия правоохранительных, органов разных стран в Конвенции предпринимается попытка гармонизации национальных законодательств путем выдачи рекомендаций по выработке схожих процессов сбора доказательств о совершении компьютерных преступлений в электронной форме. Для чего рекомендовано создать механизм, в котором правоохранительные органы имели бы возможность давать указания юридическим лицам по сбору, хранению в течение необходимого периода времени, не превышающего 90 дней и предъявлению им данных о потоках информации, содержащихся в компьютерной системе (ст. 16). По сути дела это означает обязанность провайдеров Интернет и операторов мобильной связи сохранять данные об информации журналов аудита компьютерных и телекоммуникационных систем, а также сведений об их пользователях. Согласно Конвенции обеспечение сохранности подобных данных должно производится независимо от количества поставщиков информационных и телекоммуникационных услуг, вовлеченных в передачу информации. Сами же хранимые данные должны обеспечивать идентификацию поставщиков услуг и путь, по которому осуществлялась передача информации (ст. 17). Правоохранительные органы, таким образом, осуществляя раскрытие преступления, получали бы возможность беспрепятственно устанавливать вид используемой коммуникационной услуги, время доступа к ней, технические меры поддержки и обеспечения, а также идентифицировать самого пользователя, его местонахождение и почтовый адрес, номер телефона, сведения об оплате услуг доступа, иные сведения, содержащиеся в договоре на обслуживание (ст. 18). Согласно ст. 20 сбор подобных данных правоохранительными органами может осуществляться и в режиме реального времени путем сбора и записи их с использованием специальных технических средств самостоятельно, а также отдачи поручений поставщикам информационных услуг (провайдерам) в пределах их технических возможностей. По отдельным группам правонарушений (ст. 21), отнесенных национальным законодателем к тяжким, возможно осуществление перехвата собственно самой компьютерной информации (т.н. «данные о содержании») правоохранительными органами либо поставщиками
154
Компьютерная преступность и кибертерроризм 20Q4/2
информационных услуг по их поручению. Согласно ст. 15 подобные действия
правоохранительных органов должны осуществляться с обязательным обеспечением
надлежащей защиты прав и свобод человека в соответствии с Европейской конвенцией о
защите прав человека и основных свобод, принятой Советом Европы в 1950 г.,
Международным паком о гражданских и политических правах, принятым ОН в 1966 г.,
иными международными договорами по правам человека. Т.е. в данном случае должно
происходить сочетание возможностей получения исчерпывающей информации субъектами
правоохранительной деятельности о противоправных деяниях и обеспечения защиты
гражданских прав и свобод личности. Правоохранительные органы, таким образом, должны
соблюдать конфиденциальность самих фактов осуществления подобных действий и
требовать соблюдения конфиденциальности от поставщиков информационных услуг.
Отметим, что подобные действия не противоречат законодательству Республики Беларусь.
Так, согласно ч. 4. ст. 11 Закона «Об оперативно-розыскной деятельности», в ходе
проведения оперативно-розыскных мероприятий используются информационные системы,
видео- и аудиозапись, кино- и фотосъемка, и также другие технические и иные средства, не
наносящие вреда здоровью людей и окружающей среде. Подобные по содержанию
положения содержатся и в оперативно-розыскном законодательстве России (например, ч. 3
ст. 6 одноименного Закона). Отметим также, что совокупность рассмотренных действий по
своей сути не противоречит основным положениям Конституций Республики Беларусь и
Российской Федерации, т.к. государство, осуществляет противодействие преступности
именно с целью реализации прав на свобод личности и ограничение таких прав производится
в случаях и порядке, установленных законом, например при проведении оперативно-
розыскных мероприятий (ОРМ). В Российской Федерации и Республике Беларусь
действующие Законы «об оперативно-розыскной деятельности» позволяют осуществлять
проведение подобных ОРМ.
С целью повышения эффективности их проведения вносятся необходимые коррективы и в иные отраслевые законы России, позволяющие полнее осуществлять межведомственное взаимодействие. В частности, в ст. 64 закона РФ «О связи» (2003 г.) определено, что «операторы связи обязаны предоставлять уполномоченным государственньм органам, осуществляющим оперативно-розыскную деятельность, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами, а также обязаны обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность, требований к сетям и средствам связи для проведения оперативно-розыскных мероприятий, а также принимать меры по недопущению раскрытия организационных и тактических приемов проведения указанных мероприятий». При проведении уполномоченными государственными органами следственных действий операторы связи обязаны оказывать этим органам содействие в соответствии с требованиями уголовно-процессуального законодательства. Согласно ч. 4. ст. 15 Федерального закона «О федеральной службе безопасности» (1995 г. с изменениями 2003 г.) физические и юридические лица в Российской Федерации, предоставляющие услуги почтовой связи, электросвязи всех видов, в том числе систем телекодовой, конфиденциальной, спутниковой связи, обязаны по требованию органов федеральной службы безопасности включать в состав аппаратных средств дополнительные оборудование и программные средства, а также создавать другие условия, необходимые для проведения оперативно-технических мероприятий органами федеральной службы безопасности. Порядок взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность, определяется подзаконными нормативными правовыми актами. Такими являются, например: Приказ Минсвязи России № 135 от 08.11.1995 «О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на электронных АТС на
155
Компьютерная преступность и кибертерроризм 2004/2
территории РФ»; Приказ Минсвязи России № 9 от 31.01.1996 «Об организации работ по обеспечению оперативно-розыскных мероприятий на сетях подвижной связи» и прилагаемые к нему «Технические требования к системе технических средств по обеспечению функций оперативно-розыскных мероприятий на сетях подвижной радиотелефонной связи (СОРМ СПРО)»; Приказ Минсвязи России № 925 от 18.02.1997 «О порядке взаимодействия организаций связи и органов ФСБ России при внедрении технических средств системы оперативно-розыскных мероприятий на сетях электросвязи России» и прилагаемое к нему «Соглашение между Министерством связи РФ и ФСБ РФ по вопросу внедрения технических средств системы оперативно-розыскных мероприятий на сетях электросвязи России»; Приказ Госкомсвязи России № 132 от 06.08.1998 «Об изменении приложения к приказу Минсвязи России № 9 от 31.01.1996 «Об организации работ по обеспечению оперативно-розыскных мероприятий на сетях подвижной связи»; Приказ Госкомсвязи РФ № 70 от 20.04.1999 «О технических требованиях к системе технических средств для обеспечения функций оперативно-розыскных мероприятий на сетях электросвязи Российской Федерации»; Приказ Министерства РФ по связи и информатизации № 130 от 25.07.2000 «О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования»; Приказ Министерства РФ по связи и информатизации № 77 от 10.06.2003 «О работах по внедрению технических средств по обеспечению оперативно-розыскных мероприятий на сетях электросвязи Российской Федерации», иные.
В Республике Беларусь в настоящее время отсутствуют межведомственные нормативные правовые акты, регулирующие вопросы взаимодействия правоохранительных органов с организациями, предоставляющими услуги в информационной сфере в части: сбора сведений о совершении правонарушений в области высоких технологий; осуществления оперативно-розыскных мероприятий на каналах связи в компьютерных и телекоммуникационных системах; предоставления информации журналов аудита компьютерных и телекоммуникационных систем; сведений о пользователях компьютерных и телекоммуникационных систем (Интернет - провайдеры, операторы мобильной связи).
Полагаем, что в развитие отечественных отраслевых законодательств о связи, об информатизации, о защите информации и об оперативно-розыскной деятельности следует использовать опыт Российской Федерации. Примечательно, что ст. 52 проекта Закона Республики Беларусь «Об электрической связи» определяет обязанности операторов электросвязи и следующим образом: «Операторы электрической связи обязаны: предоставлять государственным органам, осуществляющим оперативно-розыскную деятельность, в порядке и случаях, определенных законодательством Республики Беларусь, информацию о пользователях услугами электрической связи и об оказанных им услугах электрической связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач; оказывать содействие и предоставлять органам, осуществляющим оперативно-розыскную деятельность, в порядке установленном законодательством, возможность проведения оперативно-розыскных мероприятий на сетях электрической связи, принимать меры по защите сведений об организационных и тактических приемах проведения указанных мероприятий; обеспечивать доступ государственных органов, осуществляющих оперативно-розыскную деятельность, в порядке и случаях, определенных законодательством Республики Беларусь, к базам данных, автоматизированным системам оператора электрической связи; обеспечивать реализацию установленных законодательством требований к сетям и средствам электрической связи для проведения оперативно-розыскных мероприятий; по решению государственных органов, осуществляющих оперативно-розыскную деятельность, прерывать в порядке, установленном законодательством Республики Беларусь, предоставление услуг электрической связи физическим лицам в целях защиты основ конституционного строя, нравственности,
156
Компьютерная преступность и кибертерроризм 2004/2
здоровья, прав и законных интересов других лиц, обеспечения обороноспособности и безопасности государства».
При выявлении, предупреждении, раскрытии и расследовании компьютерных преступлений важнейшее значение имеет оперативность прохождения информации между правоохранительными органами разных стран. Это обусловлено тем, что данные, которыми обладают предприятия, оказывающие услуги по доступу в Интернет, хранятся ограниченное время, по истечении которого установить источник распространения информации становиться гораздо сложнее. Поэтому повышению эффективности международного сотрудничества правоохранительных органов всегда уделяется много внимания. Такая попытка странами СНГ была предпринята 1 июня 2001 г. в Минске при подписании Соглашения о сотрудничестве государств - участников Содружества независимых государств в борьбе с преступлениями в сфере компьютерной информации (далее Соглашение). Согласно ст. 5 Соглашения такое сотрудничество может осуществляться в формах:
а) обмена информацией, в том числе: о готовящихся или совершенных преступлениях в
сфере компьютерной информации и причастных к ним физических и юридических лицах; о
формах и методах предупреждения, выявления, пресечения, раскрытия и расследования
преступлений в данной сфере; о способах совершения преступлений в сфере компьютерной
информации; о национальном законодательстве и международных договорах, регулирующих
вопросы предупреждения, выявления, пресечения, раскрытия и расследования преступлений
в сфере компьютерной информации;
б) исполнения запросов о проведении оперативно-розыскных мероприятий, а также
процессуальных действий в соответствии с международными договорами о правовой
помощи;
в) планирования и проведения скоординированных мероприятий и операций по
предупреждению, выявлению, пресечению, раскрытию и расследованию преступлений в
сфере компьютерной информации;
г) оказания содействия в подготовке и повышении квалификации кадров, в том числе
путем стажировки специалистов, организации конференций, семинаров и учебных курсов;
д) создания информационных систем, обеспечивающих выполнение задач по
предупреждению, выявлению, пресечению, раскрытию и расследованию преступлений в
сфере компьютерной информации;
е) проведения совместных научных исследований по представляющим взаимный
интерес проблемам борьбы с преступлениями в сфере компьютерной информации;
ж) обмена нормативньми правовыми актами, научно-технической литературой по
борьбе с преступлениями в сфере компьютерной информации;
з) в других взаимоприемлемых формах.
Соглашение в целом представляет собой рамочный документ. Помимо попытки определения единого понимания некоторых понятий, форм сотрудничества, процедур инициирования, исполнения и отказа от исполнения запроса об оказании содействия документ не содержит принципиальных положений. Кроме того, с учетом ярко выраженной трансграничности компьютерной преступности (в отличие от общеуголовных, экономических и иных противоправных проявлений) и историческим отставанием стран СНГ в области информатизации и компьютеризации, целесообразность локализации взаимодействия правоохранительных органов только Содружества и только в его границах, вызывает определенные сомнения в эффективности такого Соглашения. Однако, попытка создания подобных договоренностей весьма позитивна. Повысить же эффективность этого документа возможно путем ратификации Беларусью и Россией Конвенции, в рамках которой возможно было бы его полная реализация. Так, в Конвенции отмечается, что государства должны осуществлять максимально широкое сотрудничество друг с другом, используя соответствующие международные документы, согласованные договоренности, опираясь на гармонизированное национальное законодательство с целью расследования компьютерных
157
Компьютерна» преступность и кибертерроризм 2004/2
преступлений, оказанию помощи в сборе доказательств по ним, в т.ч. в электронной форме (ст. 23). Согласно Конвенции сотрудничество может осуществляться в формах выдачи лиц, совершивших преступление (ст. 24), обмена представляющей интерес информацией о готовящихся или совершаемых преступлениях и причастных к ним лицах (ст. 26), направлении и исполнении запросов о взаимной помощи (ст. ст. 27, 28) в т.ч.: о раскрытии сохраненных данных о потоках информации (ст. 30), о помощи в связи с оценкой хранящихся электронных данных (ст. 31), о доступе к компьютерным данным (ст. 32), о помощи в сборе данных о потоках информации в режиме реального времени (ст. 33), о взаимной помощи по перехвату данных о содержании (ст. 34). Примечательно, что в этом перечне отсутствуют попытки разрешить осуществление какого-либо вида оперативно-розыскной деятельности в национальной телекоммуникационной среде зарубежными правоохранительными органами.
Таким образом, Международная Конвенция о киберпреступности являет собой целостный нормативно-правовой документ, содержащий ряд основополагающих положений об организации противодействия компьютерной преступности на национальном уровне и сотрудничестве в этой области правоохранительных органов разных стран. Частично ее основные положения реализованы в законодательствах России и Беларуси. Несомненно, ратификация Конвенции Россией и Беларусью позволила бы нашим странам значительно повысить эффективность такого противодействия.
Анализ концептуальных подходов к совершенствованию деятельности правоохранительных органов позволяет нам предположить, что для повышения эффективности противодействия компьютерной преступности в национальных законодательствах России и Беларуси следует:
Разработать и ввести в действие нормативно правовые документы,
регламентирующие обязанности интернет-провайдеров и пользователей Сети, носящие
рекомендательный характер.
Ввести институт ответственности указанных субъектов за размещение на
принадлежащих им интернет-сайтах противоправной информации, детализировав его для
конкретных общественно опасных деяний.
Законодательно обязать поставщиков названных услуг осуществлять
сотрудничество с национальными правоохранительными органами путем сбора, хранения в
течении определенного времени, предъявления в установленным законом порядке
уполномоченным органам государства данных о потоках информации, содержащихся в СКТ,
которые позволяли бы обеспечивать беспрепятственное определение вида используемой
пользователем Интернет коммуникационной услуги, время доступа к ней, идентификацию
самого пользователя, его местонахождение и почтовый адрес, номер телефона, сведения об
оплате услуг доступа, иные сведения.
Продолжить дальнейшую разработку либо разработать межведомственные
нормативно-правовые документы, позволяющие в установленных законом условиях и
порядке осуществлять перехват компьютерной информации правоохранительными органами
либо поставщиками информационных услуг по их поручению.
Рассолов И.М. Право и Интернет. Теоретические проблемы. - М.: Издательство
НОРМА, 2003.
http://vAvw.csa.ca, 2002.
158
Компьютерная преступность и кибертерроризм 2004/2
Дмитрий Пашнев
ПОНЯТИЕ И КЛАССИФИКАЦИЯ СЛЕДОВ ПРЕСТУПНОГО ИСПОЛЬЗОВАНИЯ
КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ
Следовая картина преступления — важный элемент механизма преступной деятельности. Следовая картина отражает «особенности способа, а также признаки других элементов структуры преступной деятельности» [1]. Правильная криминалистическая оценка следовой картины позволяет «создать основу для наиболее быстрого распознания в первоначальных следственных данных по делу того или иного характерного способа совершения расследуемого преступления даже по отдельным признакам» [2]. Выделение типичных элементов следовой картины конкретных видов криминальной деятельности имеет большое методическое значение, так как, с одной стороны, предоставляет следователю и органу дознания набор отправных точек для поиска тех или иных следов, а с другой — ігри обнаружении следов определенного вида обеспечивает возможность выдвижения типовой версии о расследуемом событии.
След в криминалистике понимается как любое изменение среды под влиянием преступления [3].
Совершение компьютерного преступления происходит в особой среде -киберпространстве, которое можно определить как область нахождения компьютерной информации, образованную совокупностью средств компьютерных технологий.
Анализ существа кибернетического пространства как самостоятельного криминалистического объекта позволил выделить его основные элементы:
Средства автоматизированной обработки информации (вычислительные машины и
их системы).
Каналы телекоммуникаций и передачи данных (в том числе звуковые волны и
электромагнитные поля).
Машинные носители информации, обеспечивающие хранение информации в виде,
пригодном для её автоматизированной обработки.
Непосредственно сама информация, представленная в виде, пригодном для её
автоматизированной обработки (данные в соответствующих форматах, программы и т.п.).
Принятые порядок и последовательность (протоколы - по терминологии теории
автоматизированных информационно-вычислительных систем) автоматизированной
обработки информации.
Р.С- Белкин выделяет два вида следа: след как отпечаток какого-либо объекта на другом объекте,- след-отображение и след как признак некоего события - след преступления
[4].
Применительно к следам-отображениям в криминалистике применяется понятие «механизм следообразования», которое означает специфическую конкретную форму протекания процесса, конечная фаза которого представляет собой образование следа-отображения. Элементами этого механизма являются объекты следообразования -следообразующий, следовоспринимающий и вещество следа, следовой контакт как результат взаимодействия между ними вследствие приложения энергии к объектам следообразования
[5].
Специфика механизма образования компьютерных следов определяется киберсредой, следообразующим объектом - программно-техническим средством, следовоспринимающим объектом - компьютерной информацией.
Для более полного понимания следа компьютерного происхождения нужно изучить сущность компьютерной информации.
Компьютерная информация хранится на носителях в определенной форме и может обрабатываться и преобразовываться в форму, понятную человеку, только специальными средствами компьютерной техники. В этом плане она неотделима от своего носителя.
159
Компьютерная преступность и кибертерроризм 2004Д
Особая форма хранения и обработки КИ определяется особенностями технологии применения при этом компьютерной техники и выражается в иерархической структуре КИ с тремя основными уровнями представления информации - физическим, логическим и семантическим.
Физический уровень - уровень машинных носителей, где информация представлена в виде конкретных характеристик вещества (намагниченность домена - для магнитных носителей, угол и дальность плоскости отражения лазерного луча - для оптических дисков) или магнитного поля (амплитуда, фаза, частота). Этот уровень предназначен для «понимания» содержания данных и их обработки техническими средствами компьютерной техники.
Логический уровень - уровень представления более сложных структур данных (от байта до файла) на основе элементарных компонент физического уровня. На этом уровне проявляется цифровая форма представления данных. Понятие «цифровой» имеет латинское происхождение («digital») и означает на пальцах. При этом понятие «оцифровка» в самом общем виде означает «преобразование в цифровую форму». Оцифровка связана всегда с дискретностью - преобразованием сигналов в дискретные (ступенчатые) значения и придание каждому из них индивидуального цифрового кода, то есть определённого числа. Оцифровка на этом уровне осуществляется в двух направлениях: при переходе с физического уровня и при переходе с семантического уровня. В первом случае конкретная характеристика вещества или магнитного поля преобразуются в цифры. В самом простом виде это выглядит так: 1 - есть сигнал, 0 - нет сигнала (двоичная система представления). Далее эти цифры собираются в единицы информации. Наименьшей единицей в двоичной системе является байт, который состоит из 8 бит, каждый из которых может принимать значение 1 или 0. Группа байтов на этом уровне представляет файл, как поименованную область на носителе, содержащую определенную компьютерную информацию. Этот уровень предназначен для «понимания» содержания данных и их обработки программными средствами компьютерной техники.
Семантический уровень - уровень смыслового представления информации. На этом уровне цифры преобразовываются в понятный человеку вид: текст, графику, звук и т.д. Этот уровень предназначен для понимания содержания данных и их обработки человеком.
Прослеживается порядок считывания информации с машинного носителя: физические сигналы - цифровая форма - текст, графика, звук. При записи информации на машинный носитель процесс осуществляется в обратном порядке. Процесс оцифровки происходит при переходе на логический уровень, как с физического уровня, так и с семантического. Таким образом, эти уровни неразрывно взаимосвязаны. Изменения на любом уровне немедленно ведут к изменениям на других уровнях.
Механизм следообразования происходит соответственно на трех уровнях.
Изменения на физическом уровне вызываются физическим воздействием, на логическом - программным воздействием, на смысловом - воздействием человека на содержание информации.
Следует заметить, что человек может воздействовать на информацию только с помощью программных средств. Однако воздействие на логическом уровне отличается от смыслового тем, что в нем программа может воздействовать на информацию без участия человека.
Салтевский М.В. рассматривает механизм следообразования на физическом уровне, который происходит следующим образом.
Физическое влияние на компьютерную систему или коммуникативную сеть представляет собой изменения, возникающие во время действия электрического сигнала, который подается преступником. Поскольку электрический сигнал преступника — это определенный код, программа действия, то, попадая в компьютерную систему, он взаимодействует с электромагнитными сигналами, с помощью которых записана и хранится необходимая информация. В результате взаимодействия таких сигналов возникает
160
Компьютерная преступность и кибертерроризм 2004/2
физическое влияние на электронном уровне и происходит изменение информации, хранящейся в компьютерной системе, или ее уничтожение. Такие следы невидимые, они динамические и представляют собой энергетическое изменение в конкретной точке магнитного носителя. Любые внешние механические следы не появляются (винчестер, плата, микросхема внешне не изменяются). Энергетические следы, которые возникли, нарушают нормальную работу системы и таким образом проявляются.
Энергетический след в структуре физического тела представляет собой энергетический «островок» неоднородности, который отличается от расположенных рядом частей любого предмета. Если схематически представить структуру физического тела как однородное энергетическое поле, то в результате действия причины состояние поля может измениться полностью (например, размагнитится магнитный предмет или изменится только какая-то часть в месте влияния), то есть возникнет "островок" неоднородности — энергетический след. Так образуются электромагнитные следы записи звуковых и видеосигналов на магнитных носителях.
В зависимости от вида энергии взаимодействия и природы взаимодействующих физических тел, возникают разные следы-изменения: механические, структурные, электрические, тепловые, электромагнитные и т.п. Для компьютерных преступлений характерные два вида энергетических следов: магнитные и электрические. Эти следы есть невидимые и принципиально отличаются один от другого. Магнитный след - статический, относительно постоянный во времени, локализованный на энергетическом поле. Электрический след можно приблизительно представить как измененное состояние электрического потенциала в конкретной точке физического тела, то есть - это наличие электрического тока, который двигается в носителе.
Поэтому электрический энергетический след - динамический, он постоянно двигается. И после прохождения электросигнала в проводнике не остается каких-либо заметных изменений [6].
На логическом и смысловом уровне следовой контакт происходит между информационными объектами (программой и данными).
На следовоспринимающем объекте отображается не форма следообразующего объекта, поскольку программно-технические средства не обладают внешней формой, а их свойства.
После совершения преступления СКТ несут следы как средства и как предмет преступления в зависимости от роли, которую они играли в преступлении.
Как предмет преступления СКТ испытывает воздействие в виде уничтожения, искажения, блокирования компьютерной информации.
Искажение компьютерной информации - это любое изменение такой информации при отсутствии возможности восстановить те её фрагменты, которые испытали изменения, в их первоначальном виде.
Под уничтожением компьютерной информации понимается полная потеря возможности пользования соответствующей информацией. Уничтожением следует считать не только ликвидацию файла, каталога и т.п., в виде которых существовала информация, а и приведение информации в такое состояние, которое исключает возможность использования всей информации или значительной ее части. Под уничтожением носителя компьютерной информации следует понимать физическое уничтожение соответствующих материальных предметов или такое изменение их свойств, которое приводит к невозможности дальнейшего сохранения компьютерной информации на этих носителях.
Блокировка доступа к информации - результат воздействия на ЭВМ и ее элементы, повлекшего временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией [7].
В результате преступления КИ как предмет преступления будет нести в себе все эти изменения, как отображение воздействия программно-технических средств. Воздействие одного информационного объекта на другой может быть обнаружено по наблюдаемому различию между двумя известными состояниями информационного объекта: по признакам
161
Компьютерная преступность и кибертерроризм 2004/2
изменения содержания, формата, характеристик файла, по изменению алгоритма работы программы. Эти фиксируемые изменения и будут следами-отображениями, характеризующими результат взаимодействия. Благодаря детерминированности алгоритма, породившего след-отображение, в большинстве случаев возможно однозначное определение причины возникновения следа и программы, послужившей инструментом для создания наблюдаемых изменений [8].
Кроме того, в связи со сложностью процессов обработки информации, событие преступления будет оставлять и свои признаки в виде записей в служебных файлах программ, в файлах регистрационных журналов операционной системы, нарушений работы программного обеспечения.
Существенное нарушение работы ЭВМ, системам и КС выражается в перебоях в производственной деятельности, необходимости сложного или длительного ремонта средств вычислительной техники, их переналадки, длительном разрыве связей между ЭВМ, объединенными в систему или сеть.
Как средство преступления СКТ будет нести в себе следы обратного взаимодействия с СКТ - предметом преступления, и следы прямого воздействия злоумышленника.
Таким образом, при совершении компьютерного преступления образуются и следы-отображения и следы-признаки события преступления.
Как справедливо отмечает В.А.Мещеряков, для компьютерных следов характерны «специфические свойства, определяющие перспективы их регистрации, извлечения и использования в качестве доказательств при расследовании совершенного преступления. Во-первых, они существуют на материальном носителе, но не доступны непосредственному восприятию. Для их извлечения необходимо обязательное использование программно-технических средств... Они не имеют жесткой связи с устройством, осуществившим запись информации, являющейся следом... весьма неустойчивы, так как могут быть легко уничтожены. Во-вторых, получаемые следы внутренне ненадежны (благодаря своей природе), так как их можно неправильно считать» [9].
Эти признаки следов КП определяют трудности при работе с ними и использовании их при доказывании.
Исходя из схемы совершения КП, следы образуются в КИ на:
а) машинных носителях, с использованием которых действовал преступник на своем
рабочем месте;
б) «транзитных» машинных носителях, посредством которых преступник осуществлял
связь с информационными ресурсами, подвергавшимися нападению;
в) машинных носителях информационной системы, на которую осуществлено
преступное воздействие.
Следы таким образом можно разделить на две большие группы: локальные (на ЭВМ преступника и жертвы) и сетевые (на серверах и коммуникационном оборудовании). Локальные следы могут быть классифицированы по разным основаниям [10]:
по местоположению (следы в системных областях файловой системы; в файлах; в
кластерах);
по механизму инициации изменений (следы, инициированные пользователем; следы,
инициированные программой);
по правомочности действий объекта (субъекта), вносящего изменения (следы
правомочных действий; следы неправомочных действий);
по сложности взаимодействия объектов (следы простого взаимодействия; следы
комплексного взаимодействия).
Классификации базируются на закономерностях функционирования конкретной файловой системы и программ, имеют иерархический характер.
Следы в системных областях файловой системы подразделяются на:
следы в каталогах,
следы в таблице разделов,
162
Компьютерная преступность и кибертерроризм __ 2004/2
следы в загрузочных записях,
следы в таблицах размещения файлов.
Следы в файлах подразделяются по статусу файлов в системе на:
следы в файлах программ,
следы в файлах данных.
Следы в файлах данных подразделяются по статусу файлов данных на:
следы в файлах настроек программ,
следы в файлах документов.
Следы в кластерах подразделяются по статусу кластеров в системе на:
следы в "свободных" кластерах,
следы в "потерянных" кластерах,
следы в "зазорах" кластеров.
Сетевые следы представляют собой сведения о прохождении информации по проводной, радио-, оптической и другим электромагнитным системам связи (электросвязи), которые носят обобщенное название «сведения о сообщениях, передаваемых по сетям электрической связи (электросвязи)», либо сохраняемые поставщиками услуг (провайдерами) «исторические данные» о состоявшихся сеансах связи или переданных сообщениях, либо «данные о потоках» или «данные о потоках информации».
Указанные сведения о сообщениях, передаваемых по сетям электросвязи, аккумулируются в специальных файлах регистрации (т.н. LOG-файлах). В большинстве компьютерных систем ведение файлов регистрации — часть повседневной деятельности. Когда бы событие определенного рода ни произошло в системе, информация о нем (в том числе, кто инициировал его, когда и в какое время оно произошло, и если при этом были затронуты файлы, то какие) регистрируется в данных файлах. То есть, по существу, в них протоколируется техническая информация, содержатся данные о техническом обмане. В силу этого их порой упоминают как «регистрационный журнал».
Принципиально существует две основные категории «исторических данных»: данные о пользователе и сведения о сообщении.
Данные о пользователе могут включать: имя, адрес, дату рождения, номер телефона, адрес поставщика услуг в Internet, адрес электронной почты, идентификационные признаки какого-либо номера или счета, используемых для осуществления платежных операций по расчетам за услуги провайдера, справочные данные, идентификационные данные юридического лица, перечень предоставляемых услуг или услуг, на которые подписался клиент, IP-адрес, предыдущий IP-адрес пользователя, дополнительный адрес электронной почты и т.д.
Сведения о сообщении могут включать: первоначальный номер телефона, используемый для связи с LOG-файлом регистрации, дату сеанса связи, информацию о времени связи (времени начала, окончания и продолжительность сеанса связи), статические или динамические ГР-адресные журналы регистрации провайдера в Internet и соответствующие телефонные номера, скорость передачи сообщения, исходящие журналы сеанса связи, включая тип использованных протоколов, сами протоколы и т.д.
Установление особенностей следовой картины конкретного компьютерного преступления, и в частности той её части, которая включает так называемые электронные, или виртуальные следы позволит определить способ совершения преступления. Обобщение этих особенностей для данного вида преступлений также дадут основу для разработки, внедрения и эффективного применения средств и методов собирания и исследования данных следов.
Типовые модели и алгоритмы криминалистического исследования: Учебное пособие /
Под ред. КолдинаВЛ. - М, 1989. - С.28.
Яблоков Н.П. Криминалистическая методика расследования. - М., 1985. - С.45-46.
163
Компьютерная преступность и кибертерроризм 2004/2
Белкин Р.С. Курс криминалистики. В 3 т. Т. 2: Частные криминалистические теории.
-М.:Юристъ, 1997.-С.57.
Белкин Р. С. Криминалистика: проблемы сегодняшнего дня. Злободневные вопросы
российской криминалистики. — М.: Издательство НОРМА (Издательская группа НОРМА—
ИНФРА М), 2001.-С.60.
Белкин Р.С. Курс криминалистики. В 3 т. Т. 2: Частные криминалистические теории.
-М.:Юристь, 1997. -С.61.
Салтевський М.В. Основи методики розслідування злочинів, скоєних з використанням
ЕОМ: Навч. посібник / Національна юридична академія України ім. Я. Мудрого. - X., 2000. -
С.13-14.
Уголовный кодекс Украины. Комментарий: Под редакцией Ю.А. Кармазина и Е.Л.
Стрельцова. - Харьков, ООО "Одиссей", 2001. - С.755.
8. Яковлев А.Н. Теоретические и методические основы экспертного исследования
документов на машинных магнитных носителях информации: автореф. дис... канд. юрид.
наук. - Саратов, 2000.
9. Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и
практики расследования. - Воронеж: Издательство Воронежского государственного
университета, 2002. - С. 103.
10. Волеводз А.Г. Следы преступлений, совершенных в компьютерных сетях //
«Российский следователь». - 2002. - №1.
Едуард Рижков
ПІДГОТОВКА КАДРІВ ДЛЯ ОПЕРАТИВНИХ ПІДРОЗДІЛІВ ПО БОРОТЬБІ З КОМП'ЮТЕРНОЮ ЗЛОЧИННІСТЮ
Кадри вирішують все, або майже все. Це цілком очевидно стосовно боротьби з комп'ютерною злочинністю в Україні з огляду результатів майже трирічної діяльності оперативних підрозділів по боротьбі з правопорушеннями у сфері інтелектуальної власності та високих технологій Державної служби по боротьбі з економічною злочинністю МВС України.
У структурі офіційної звітності МВС по лінії "високі технології" на ст.ст.361-363 Кримінального кодексу України (саме комп'ютерні злочини) припадає лише біля 10 відсотків. За 2003 рік по Україні таких злочинів було розкрито трохи більш ніж 80. Не так вже багато з погляду досить високих темпів інформатизації українського суспільства та достатньо високої кількості оперативних суб'єктів у 33 регіональних представництвах в областях та УВСТ.
Безумовно, кількість комп'ютерних злочинів набагато вища за ту, яку вдалося викрити правоохоронцям. На наш погляд, одна з основних причин, яка обумовила саме такі показники, це недостатньо високий професійний рівень працівників і не лише оперативних. Працівники слідства, прокуратури та суду також відчувають ускладнення при розслідувані вказаної категорії кримінальних справ. Іноді оперативники відчувають відверте небажання з боку прокуратури співпрацювати по справах цієї категорії. В Донецькій області представникам спеціалізованих оперативних підрозділів доводилося проводити навчальні семінари з суддями з цього питання в робочому порядку. Випадок безпрецедентний, але він дуже яскраво характеризує ситуацію, що склалася.
Завзяті практики схильні визнавати слідчого "друкаркою оперативного працівника", але якщо відійти від жартів та не сприймати робочі вирази як професійну образу, то можна з упевненістю казати, що кількість розслідуваних комп'ютерах кримінальних справ в значній мірі залежить від професійної спроможності їх виявлення саме працівниками оперативних
164
Компьютерная преступность н кибертерроризм 2004/2
підрозділів. Приємним виключення є започаткування спеціального навчального курсу для підготовки слідчих з розслідування комп'ютерних злочинів в Університеті внутрішніх справ MB C України ("Організація досудового слідства і складання процесуальних документів з кримінальних справ про злочини, які пов'язані з використанням комп'ютерної техніки", автор к.ю.н., доцент Каткова Т.В.).
Чи можна розраховувати на те, що в подальшому буде чітка тенденція щодо підвищення кількості викриття комп'ютерних злочинів? Вважаємо шо так. Резерви підвищення професіоналізму є, але, перш ніж вказати на них, визначимо основні проблеми, які існують сьогодні.
Штатна чисельність працівників оперативних підрозділів по боротьбі з
правопорушеннями у сфері інтелектуальної власності та високих технологій не відповідає
темпам росту інформаційної злочинності і криміналізації інформаційної сфери в країні. Хоча
на початку 2004 року штат цих підрозділів розширено, на оперативних працівників
покладаються завдання, які не пов'язані з основною спеціалізацією.
Залишається незатвердженим і нереалізованим проект Концепції стратегії і
тактики боротьби з комп'ютерною злочинністю в Україні, які було розроблено фахівцями ще
у 2001 році.
Не вирішено позитивно питання про створення в системі МВС окремого
Департаменту з питань боротьби зі злочинністю в сфері інформаційних технологій, що було
передбачено в зазначеному проекті.
Не здійснюється належним чином перепідготовка оперативних працівників
низового рівня (міськрайорганів), які обслуговують лінію боротьби з правопорушеннями у
сфері інтелектуальної власності та високих технологій.
Можливості навчальних закладів системи МВС в цьому напрямку в повній мірі не
задіяні.
У діяльності спеціалізованих оперативних підрозділів прослідковується суттєвий
похил у бік роботи з правопорушеннями у сфері інтелектуальної власності. На наш погляд,
поки що незначна увага приділяється організації оперативного обслуговування лінії
"високих (інформаційних) технологій", де зосереджені комп'ютерні злочини.
Не в повній мірі реалізовані завдання, які покладені на оперативні підрозділи
наказом МВС України № 737 від 19.08.2001 року „Про затвердження типового положення
про підрозділи ДСБЕЗ по боротьби з правопорушеннями у сфері інтелектуальної власності та
високих технологій" в частині боротьби з незаконним обігом радіоелектронних та
спеціальних технічних засобів. Потребує активізації робота по забезпеченню інформаційної
безпеки громадян, їх об'єднань, юридичних осіб, суспільства, держави, захисту їх прав і
свобод, законних інтересів від протиправних посягань, скоєних з використанням високих
(інформаційних) технологій.
Серед причин, що визначають такий стан боротьби з інформаційною злочинністю є об'єктивні й суб'єктивні. Основними серед них, на наш погляд, є такі:
досить повільне формування державної політики в напрямку реальної протидії
комп'ютерній злочинності;
відсутність в оперативних підрозділах достатньої кількості відповідних
кваліфікованих кадрів;
недостатність науково-практичних методик виявлення, профілактики та розкриття
комп'ютерних злочинів;
обмаль кадрових та фінансових ресурсів (для придбання сучасної інформаційної
техніки, проведення комп'ютерних експертиз тощо), які задіяні у протидії злочинним
проявам в інформаційній сфері;
відсутність належної взаємодії з прокуратурою та судом внаслідок у ряді випадків їх
небажання напрацьовувати практику порушення та розслідування кримінальних справ
зазначених категорій.
165
Компьютерная преступность и кнбертерроризм 2004/2
Таким чином, проблема ефективної боротьби з комп'ютерними злочинами за допомогою потенціалу оперативних підрозділів характеризується значним відставанням методичного, тактичного, матеріального і кадрового забезпечення.
Які ж є резерви для покращення ситуації?
Перш за все, це адекватна державна політика щодо боротьби з комп'ютерною злочинністю.
По друге - дієві заходи Міністерства внутрішніх справ у цьому напрямку.
По третє - регіональна активність суб'єктів боротьби з вказаними злочинами.
Щодо першої позиції можна констатувати повільний, але все ж таки позитив. Україна підписує міжнародні нормативні акти з питань кіберзлочинності; відповідні комітети Верховної ради готують зміни та доповнення до Кримінального кодексу в напрямку розширення переліку комп'ютерних складів злочинів.
Щодо другої: створення в структурі МВС окремого Департаменту по боротьбі з комп'ютерною злочинністю, на наш погляд, не є принциповим. Навпаки, замість витрат обмежених ресурсів на управлінський апарат доцільним було б направити їх на покращення якісно-кількісних показників підрозділів низової регіональної ланки (збільшення штатної чисельності оперативних працівників, їх професійну перепідготовку і т. п.). Принциповим є невиправдане відволікання оперативних працівників ДСБЕЗ (тих з них, які повинні напрацьовувати досвід боротьби саме з комп'ютерною злочинністю на обслуговування інших ліній), не пов'язаних з основною спеціалізацією. Якщо ми розраховуємо отримати в недалекому майбутньому професіоналів у цьому напряму, то вже сьогодні необхідно встановити заборону на існуючу практику "універсалізації" оперативників. Веління нашого часу - спеціалізація, яка є запорукою професіоналізму.
Щодо третьої: на регіональному рівні пропонуємо:
для обміну передовим досвідом оперативно-розшукової діяльності, впровадження
інформаційних технологій в діяльність оперативних підрозділів, підготовки кадрів,
координації спеціалізованих наукових досліджень погодити з Департаментом ДСБЕЗ МВС
України питання про запровадження на кафедрі оперативно-розшукової діяльності в сфері
інформаційних технологій (ОРД в СІТ) Донецького інституту внутрішніх справ МВС
України (83054, м.Донецьк-54, вул.Засядько, 13; тел. каф. 8-0622-57-45-72; e-mail:
ord_cit@ukr.net) постійно діючого науково-практичного семінару, до роботи в якому
залучити практичних працівників спеціалізованих оперативних підрозділів;
посилити співпрацю між спеціалізованими оперативними підрозділами ОВС та
підрозділами контррозвідувального захисту економіки держави Служби безпеки України.
Використовувати з цією метою позиції і можливості випускників вузів МВС, які проходять
службу в оперативних підрозділах СБУ;
працівникам оперативних підрозділів ДСБЕЗ м. Донецька та УДСБЕЗ УМВС
України в Донецькій області, які обслуговують лінію спеціалізації кафедри ОРД в СІТ ДШС,
продовжити існуючий досвід залучення курсантів відповідних груп в рамках позанавчальної
практики в процесі здійснення оперативно-службової діяльності;
з метою налагодження реальної взаємодії між навчальним закладом та практичними
підрозділами, для оперативних працівників кафедрою здійснювати централізовану розсилку
електронних версій науково-методичних матеріалів (відкритого характеру), новин у сфері
боротьби з інформаційною злочинністю, передового досвіду, повідомлень інформативного
характеру;
оперативним працівникам активніше використовувати в своїй діяльності
інформаційні ресурси (методичні, аналітичні матеріали, тощо), які накопичені на кафедрі
ОРД в СІТ та Центром дослідження комп'ютерної злочинності (69002, м. Запоріжжя, пр-кт
Леніна, 109, тел./факс 8-0612-62-14-72; e-mail: ccrc@crim-research.org; http://www.crime-
research.org) та можливості консультативного пункту з проблем комп'ютерної злочинності
Національного центрального бюро Інтерполу в Україні (м. Київ, вул. Академіка Богомольця,
166
Компьютерная преступность и кибертерроризм 20О4//2
10; тел. 8-044-291-1641; факс 8-044-291-1934; телетайп 131755 ИНПОЛ; телекс 131269 IPUKR SU);
працівникам спеціалізованих оперативних підрозділів активніше залучатись до навчального процесу по лінії "високі технології", в т.ч. в якості позаштатних викладачів. Не покладати завдання з підготовки кадрів лише на науково-викладацький склад навчальних закладів. Виявляти особисту ініціативу з питань обміну передовим досвідом агентурно-оперативної роботи в сфері інформаційних технологій;
у період проходження практики та стажування курсантами груп спеціалізації "оперативно-розшукова (у сфері інформаційних технологій)" оперативним працівникам, які обслуговують лінію спеціалізації, відійти від формалізму та надавати курсантам дієву консультативну допомогу. Активно залучати курсантів до проведення оперативно-розшукових заходів та сумлінно виконувати обов'язки наставників;
зацікавленим суб'єктам розглянути питання щодо можливості підвищення кваліфікації оперативних працівників спеціалізації на базі кафедри ОРД в СІТ ДІВС.
Запропоновані заходи в повній мірі не вирішать всього спектру зазначених проблем, але при їх реалізації повинні відбутися певні позитивні зміни. Запорукою цьому, крім дієвої державної та міністерської політики, є власна ініціатива суб'єктів боротьби з інформаційною злочинністю та бажання працювати в нових умовах, які потребують нестандартних підходів до вирішення завдань, що стоять перед оперативними підрозділами по боротьбі з правопорушеннями у сфері інтелектуальної власності та високих технологій ДСБЕЗ України.
Виктор Сабадаш
КРИМИНОЛОГО-ПРАВОВАЯ ХАРАКТЕРИСТИКА КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ, МЕТОДИКА И ПРАКТИКА ИХ РАССЛЕДОВАНИЯ
Информационные технологии, вычислительная техника и средства коммуникаций активно внедряются практически во все сферы человеческой деятельности. Более того, стремительный прогресс полупроводниковой микроэлектроники, которая является базой для любой вычислительной техники, свидетельствует о том, что сегодняшний уровень, как самих компьютеров, так и областей их применения является лишь слабым подобием того, что наступит в будущем.
Новые технологии порождают новые виды преступной деятельности, вследствие чего каждый новый тип преступления требует новых средств защиты и методов работы правоохранительных органов. В Украине приобретает особую остроту проблема информационной безопасности и распространение преступлений, которые совершаются с помощью компьютерных технологий, в то время как развитие правовой базы и следственная практика явным образом отстают от требований реальной жизни.
Распространение компьютерных вирусов, мошенничества с пластиковыми карточками, хищение денежных средств с банковских счетов, атаки в сети, корпоративный шпионаж, хищение компьютерной информации, нарушение правил эксплуатации автоматизированных электронно-вычислительных систем, распространение детской порнографии, даже терроризм - это далеко не полный перечень преступлений, которые совершаются в сфере использования компьютерных технологий. Преступные образования, отдельные специалисты уголовного бизнеса в полной мере используют новейшие технологии для отмывания денег, добытых преступным путем, распространения неправдивой информации, несанкционированного доступа к информационным системам и совершения иных правонарушений. Доходы преступников, связанные с незаконным использованием новейших технологий, занимают третье место в мире после доходов от торговли наркотиками и оружием [1]. Угроза компьютерной преступности состоит также и в том, что она предоставляет значительную
167
Компьютерная преступность и кибертерррризм 2004/2
материальную поддержку организованной преступности для совершения насильственных видов преступлений, в частности, террористических актов [2].
Актуальность темы статьи обусловлена тем, что наряду с очевидной угрозой для мирового сообщества, которую представляет собой компьютерная преступность, и определенными успехами правоохранительных органов по борьбе с этим явлением, очень низким остается процент раскрываемости преступлений в сфере высоких технологий и доведения до суда материалов уголовных дел по данному виду преступных посягательств.
Проблема противодействия компьютерной преступности является актуальной как для Украины, так и для других стран мира. Особенность заключается в том, что такая преступность уже приобрела транснациональный (трансграничный) характер. Так, Британская полиция арестовала 12 граждан стран СНГ. включая Украину и Россию., по подозрению в совершении компьютерных преступлений. Представитель Скотланд-Ярда Мик Дитс заявил, что мошенникам удалось только за 2003 год переправить в Россию с банковских счетов в Великобритании 108 миллионов долларов США! Общий размер нанесенного преступной группой ущерба еще предстоит установить. Как сообщает британская телерадиокомпания Би-би-си, компьютерные мошенники использовали относительно новый способ, который в последнее время становится все более популярным у хакеров - «фишинг» (phishing). Потенциальным жертвам рассылались фальшивые письма от имени крупных банков, клиентами которых они являлись, с просьбой уточнить их данные в связи с установкой новой системы безопасности. Требуемую информацию предлагалось отправить по электронной почте на созданную хакерами Интернет-страничку, которая визуально выглядела как часть официального сайта банка. Многие клиенты попадались на эту удочку, и сами сообщали номера и коды своих кредитных карточек. После этого с их счетов исчезали приличные суммы. Дитс считает, что деньги уходили на банковские счета в России, открытые фирмами-однодневками. Также он уверен, что арестованные являются лишь исполнителями, а заказчиками выступает одна из российских криминальных группировок. Хакеры получали лишь небольшой процент от украденных денег [3].
Целью этой статьи является исследование вопросов криминолого-правовой характеристики компьютерных преступлений и на этой основе выделение особенностей раскрытия и расследования преступлений в сфере высоких технологий.
Согласно данным международного комитета по компьютерной преступности, занимающегося исследованиями масштабов и видов компьютерных преступлений, а также правовыми аспектами борьбы с этим видом преступности, компьютерные преступления представляют собой серьезную угрозу для любой, располагающей компьютерной техникой организации, при этом наряду с высокой степенью риска ей наносится и значительный материальный ущерб. По существующим подсчетам, вывод из строя электронно-вычислительной системы в результате возникновения нештатной технической ситуации или преступления может привести даже самый крупный банк к полному разорению за четверо суток, а более мелкое учреждение - за сутки [4].
Анализ законодательства, регулирующего общественные информационные отношения в Украине, позволяет утверждать, что наше государство, наряду с мероприятиями по стимулированию развития инфраструктуры на основе новейших технологий, принимает необходимые меры, направленные против преступности, которая использует эти технологии в своих преступных целях. Важным моментом является терминология, которая применяется при определении преступления в сфере использования компьютерных технологий, его криминалистической характеристики, которая на данный момент имеет много недостатков, законодательно не определена и нуждается в значительной доработке.
Таким образом, на наш взгляд, одной из проблем, с которой столкнулись ныне криминологи, является то, что общепризнанного определения преступления в сфере информатизации не существует, а также отсутствует единая мысль относительно названия данного вида преступления.
168
Компьютерная преступность и кибертерроиизм 2004/2
Первое преступление с использованием электронно-вычислительной машины было зарегистрировано в США в 1969 г. В Украине уголовная ответственность за такие посягательства была установлена лишь в 1994 г. (ст. 198-1 Уголовного кодекса УССР 1960г. "Нарушение работы автоматизированных систем").
В новом Уголовном кодексе Украины существуют три статьи, предусматривающие ответственность за преступления анализируемого вида. Они объединены разделом XVI Особенной части, который называется "Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей". УК Украины содержит и другие статьи, которые, по мнению ученых, предусматривают ответственность за указанные посягательства. В частности, ч.З ст.190 (мошенничество, совершенное путем незаконных операций с использованием электронно-вычислительной техники) и ст. 200 (использование поддельных электронных средств доступа к банковским счетам) УК Украины.
Большое количество ученых, прежде всего, иностранных, отказались от разработки данного понятия. Так, специалисты по уголовному праву Совета Европы при разработке ряда рекомендаций относительно противодействия «компьютерным» преступлениям ограничиваются лишь перечнем таких посягательств, прямо ссылаясь на непреодолимые, с их точки зрения, трудности, которые делают невозможным создание соответствующего определения.
До сих пор ученые не определились с содержанием этого понятия, т.е., какие преступления нужно относить к данной категории.
На данный момент явно выделились три точки зрения по данному вопросу [5]:
Расширенное толкование понятия «компьютерные преступления», согласно
которому к таким относятся: посягательства на связи и отношения людей, которые
опосредуют применение и использование компьютерной техники; вещественный элемент
отношений компьютерной безопасности (например, компьютеры, коммутационное
оборудование, линии связи); надежность персонала компьютерных систем; жизнь
гражданского населения - при использовании «интеллектуальных» систем оружия, которые
влекут за собой разрушение населенных пунктов, оправданных военной необходимостью;
«мир» как состояние человечества - развертывание систем управления стратегическим и
ядерным оружием, при котором функции принятия решения передаются компьютерам.
Компьютерных преступлений как самостоятельного вида не существует, их следует
рассматривать лишь как квалифицирующий признак обычных, «традиционных»
преступлений. При этом компьютер при осуществлении преступления выступает как
предмет преступления, орудие преступления, средство, на котором подготавливается
преступление, или среда, в котором он происходит.
Компьютерные преступления представляют собой самостоятельный вид преступной
деятельности, которая может и должна квалифицироваться отдельными составами
преступлений. Данной точки зрения придерживаются авторы действующих кодексов
некоторых стран СНГ, в том числе и Украины.
, Все эти точки зрения обоснованы. Однако, безусловно, они требуют доработки, поскольку первая и вторая предлагают сложные основания для объединения компьютерных преступлений в группу, а третья не сможет охватить все разновидности компьютерных преступлений.
Компьютерные преступления обычно происходят специфически тихо, без шумихи. По механизму и способам совершения, преступления в сфере компьютерных технологий специфичны, имеют высокий уровень латентности. Так, по данным Национального отделения ФБР по компьютерным преступлениям от 85 до 97% компьютерных посягательств даже не выявляются [6]. По оценкам иных экспертов, латентность «компьютерных» преступлений в США достигает 80%, в Великобритании — до 85%, в ФРГ — 75%, в России — более 90% [7]. За рубежом, где накоплена достаточно большая и достоверная статистика компьютерных преступлений, до суда доходят меньше 1% нарушений. При этом следует
169
Компьютерная преступность и кибертерроризм 2004/2
помнить, что. по утверждению специалистов, ревизия в состоянии выявить не более 10% электронных хищений [8]. По статистическим данным в Украине за 2003 год вынесен только один приговор за совершение преступления в сфере компьютерных технологий, а еще в 46 случаях прокуроры отказывались от обвинения в зале суда.
Эти данные свидетельствуют о том, что работники правоохранительных органов зачастую просто не понимают, как расследовать данные преступления и как доказывать их в суде. Отсюда, невозможность качественно проводить расследование, традиционные методы организации и планирования расследования не срабатывают в данных условиях, необходимо повышать эффективность правоохранительной деятельности, повышать уровень требовательности к уровню профессионализма сотрудников правоохранительных органов, их морально деловых качеств. Нельзя допускать их формального отношения к отчетности о результатах борьбы с компьютерной преступностью.
Еще одной проблемой, с корой зачастую сталкиваются следователи при расследовании преступлений в сфере компьютерных технологий, является установление факта совершения преступления. Это связано с тем, что зачастую компьютерные преступления совершаются в так называемом «киберпространстве», они не знают границ, очень часто преступления совершаются, не выходя из дома, с помощью своего персонального компьютера. Кроме того, незаконное копирование информации чаще всего остается не обнаруженным, введение в компьютер вируса обычно списывается на непреднамеренную ошибку пользователя, который не смог его «отловить» при общении с внешним компьютерным миром. Да и отношение пострадавших к совершенному против них посягательству не всегда адекватно. Вместо того чтобы сообщить правоохранительньм органам о факте незаконного вмешательства в компьютерную систему, пострадавшие не торопятся этого делать, опасаясь подрыва деловой репутации.
Как показывает практика, в качестве потерпевшей стороны от компьютерных
преступлений выступают локальные сети, серверы, корпоративные сайты юридических лиц
и стратегически важных государственных и межгосударственных организаций, которых
можно отнести к первому виду потерпевшей стороны. Ко второму виду потерпевшей
стороны следует отнести физические лица.
Следует подчеркнуть, что профессиональные компьютерные преступники под объектом преступления выбирают информацию первой группы потерпевшей стороны, в свою очередь «дилетанты» посягают на информацию компьютеров физических лиц и реже «ломают» провайдеров Интернет услуг, как правило, для «бесплатного» доступа в Интернет или обычное баловство.
Ю.М.Батурин выделяет три основные группы потерпевших сторон от компьютерных преступлений, исходя из их прав собственности на компьютерную систему:
Собственники компьютерной системы составляют 79%.
Клиенты, пользующиеся их услугами, - 13%.
Третьи лица - 8% [9].
Примечателен тот факт, что потерпевшая сторона первой группы, являющаяся собственником системы, неохотно сообщает (если сообщает вообще) в правоохранительные органы о фактах совершения компьютерного преступления. А поскольку они составляют большинство, а следовательно большинство и самих фактов совершения таких преступлений, то именно этим можно объяснить высокий уровень латентности компьютерных преступлений.
Кроме того, в раскрытии факта совершения преступления очень часто не заинтересованы должностные лица, в обязанности которых входит обеспечение компьютерной безопасности. Признание факта несанкционированного доступа в подведомственную им систему ставит под сомнение их профессиональную квалификацию, а несостоятельность мер по компьютерной безопасности, принимаемых руководством, может вызвать серьезные внутренние осложнения. Банковские служащие, как правило, тщательно скрывают обнаруженные ими преступления, которые совершены против компьютеров банка,
170
Компьютерная преступность и кибертерроризм 2004/2
так как это может пагубно отразиться на его престиже и привести к потере клиентов. Некоторые жертвы боятся серьезного компетентного расследования, потому что оно может вскрыть неблаговидную или даже незаконную механику ведения дел. Пострадавшие часто опасаются, что страховые компании увеличат размер страховых взносов (или откажутся от возобновления страхового полиса), если компьютерные преступления становятся для этой организации регулярными, а их финансовые и другие служебные тайны могут стать достоянием гласности.
Есть еще одна проблема, связанная с эффективность расследования компьютерных преступлений и доведения их до суда. Это общественное мнение, которое не считает компьютерные преступления серьезным преступлением вследствие того, что компьютерные преступники, даже если расследование доведено до конца и вынесен приговор суда, отделываются легкими наказаниями, зачастую - условными приговорами. Отсюда -правовой нигилизм, с одной стороны преступников, которые чувствуют себя безнаказанно, а с другой стороны, потерпевших, которые не хотят обращаться в правоохранительные органы с заявлениями о несанкционированном доступе, потому что понимают, что должного наказания для преступников они все равно не добьются.
Таким образом, можно выделить следующие факторы, влияющие на решение потерпевшей стороны не обращаться в правоохранительные органы по факту совершения компьютерного преступления:
Некомпетентность сотрудников правоохранительных органов в вопросе
установления самого факта совершения компьютерного преступления, не говоря уже о
процессе его раскрытия и расследования.
Учитывая, что в случае уголовного расследования убытки от расследования могут
оказаться выше суммы причиненного ущерба, возмещаемого в судебном порядке, многие
организации предпочитают ограничиваться разрешением конфликта своими силами, которые
нередко завершаются принятием мер, не исключающих рецидив компьютерных
преступлений.
Боязнь подрыва собственного авторитета в деловых кругах и как результат этого -
потеря значительного числа клиентов. Это обстоятельство особенно характерно для банков и
крупных финансово-промышленных организаций, занимающихся широкой автоматизацией
своих производственных процессов.
Неминуемое раскрытие в ходе судебного разбирательства системы безопасности
организации, что нежелательно для нее.
Боязнь возможности выявления в ходе расследования преступления собственно
незаконного механизма осуществления отдельных видов деятельности и проведения
финансово-экономических операций.
Выявление в ходе расследования компьютерного преступления причин,
способствующих его совершению, может поставить под сомнение профессиональную
пригодность (компетентность) отдельных должностных лиц, что в конечном итоге приведет
к негативным для них последствиям.
Правовая и законодательная неграмотность подавляющего большинства
должностных лиц в вопросах рассматриваемой категории понятий.
Часто организации имеют весьма далекое представление о реальной ценности
информации, содержащейся в их компьютерных системах. Обычно ценность определяется
стоимостью ее создания или ее конкурентоспособностью, причем все чаще предпочтение
отдается последнему. Диапазон содержащихся в ней данных простирается от
производственных секретов и планов до конфиденциальной информации и списков
клиентов, которые преступник может использовать с целью шантажа или в других целях. Эта
информация имеет различную ценность для собственника и того лица, которое пытается ее
получить. Непосредственная стоимость информации оценивается и с учетом затрат на ее
сбор, обработку и хранение, а также рыночной ценой. В то же время на нее влияют и
некоторые обстоятельства, связанные с совершением компьютерных преступлений. Если
171
Компьютерная преступность и кибертевпоризм 2004/2
данные похищены или уничтожены (частично или полностью), убытки будут включать в себя неполученные доходы и услуги, стоимость восстановления информации, потери от взаимных ошибок при этом и т.д. [10].
Необходимо также особо подчеркнуть, что успех расследования уголовных дел в сфере компьютерных технологий зависит от правильной организации и планирования.
Определение задач каждого этапа расследования преступлений, совершенных в сфере использования компьютерных технологий, и путей их решения должно осуществляться на основе оценки характера события и всей совокупности фактических данных, которые имеются в распоряжении следователя. Должны учитываться данные оперативных подразделений, научно-технические достижения, передовой опыт расследования этого вида преступлений, реальные возможности следствия и оперативных работников. Планирование должно осуществляться беспрерывно, сопровождаться внесением в план изменений в случае получения новых данных. Следует отметить, что полученные данные при расследовании исследуемого вида преступлений, надо уметь сохранить, компьютерная техника требует осторожности при обращении с ней.
Следственная практика показывает, что чем более сложный в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, которые владеют соответствующими способностями, обычно довольно ограниченный. Несанкционированный доступ к закрытой компьютерной системе или сети технологически является довольно сложным действием. Осуществить такую акцию могут только специалисты, которые имеют довольно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и т.д.).
При расследовании компьютерных преступлений целесообразно с самого начала привлечение специалистов в сфере информационных технологий. До начала следственных действий необходимо также иметь определенную информацию, которая касается марки, модели компьютера, операционной системы, периферийных устройств, средств связи и другие сведения о системе, которая является объектом расследования.
Кроме того, для более полного и квалифицированного расследования преступлений в сфере компьютерных технологий, а также правильного рассмотрения дел данной категории в суде необходимо предусмотреть проведение различных семинаров, курсов повышения квалификации для оперативных работников, следователей, судей по вопросам квалификации и расследования деяний в данной сфере.
Бутузов В., Гуцалюк М., Цимбалюк В. Протидія злочинності у сфері високих технологій //
Міліція України. - 2002. - № 9. - С.20.
М. Гуцалюк. Координація боротьби з комп'ютерною злочинністю // Право України. -
2002.-№5.-С123.
Газета «Факты». - 7 мая 2004 года. - С.З.
Некоторые правовые аспекты защиты и использования сведений, накапливаемых в
информационных системах // Борьба с преступностью за рубежом. М.: ВИНИТИ, 1990. - №7;
1992.-№6.
Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и
практики расследования. - Воронеж: 2002. - С.30.
Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с
компьютерными преступлениями: Перевод с английского. - М.: Мир, 1999. - С.5.
www.riganet.com/modules.php.
Скородумов Б.И. Безопасность информационных технологий - человеческий фактор //
Экономика и производство. - 1999. - № 3, март.
9. Батурин Ю.М. Право и политика в компьютерном круге. М.: Юрид.лит.,1987. - С. 12.
172
Компьютерная преступность и кибертерроризм 2004/2
10. Вехов В.Б. Компьютерные преступления. Способы совершения, методики расследования. - М.: Право и Закон, 1996.
Виктор Сабадаш
ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ОБЩЕСТВЕННЫХ
ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ В УСЛОВИЯХ ИНФОРМАТИЗАЦИИ
УКРАИНЫ И ПУТИ ИХ ПРЕОДОЛЕНИЯ
Последнее десятилетие общественного развития ознаменовалось широким распространением электронных вычислительных машин и компьютерных сетей, основное назначение которых состоит в получении, обработке и передаче самой разнообразной информации. Информация, способная перемещаться от одного субъекта к другому с большой скоростью и в значительных объемах, становится самостоятельным объектом, по поводу которого возникают общественные отношения, приобретает высокую ценность благодаря не только содержательным свойствам, но и техническим возможностям, предоставляемым электронными компьютерными сетями.
Стремительное развитие сферы высоких технологий, компьютерная эра, наряду с положительными тенденциями развития мирового сообщества, открывает также новые возможности для развития и совершенствования преступного мира, криминализирует общественно-правовые отношения в данной сфере. Сфера высоких технологий позволяет совершенствовать не только традиционные виды преступлений, например, хищение, мошенничество, «отмывание денег», подделка документов, в том числе ценных бумаг и денежных знаков, а также создает совершенно новые виды преступлений, такие как несанкционированное использование компьютерной информации, компьютерное мошенничество, компьютерный подлог и т.д. Появляются такие понятия как «компьютерная информация», «компьютерные преступления», «компьютерный терроризм», «киберпреступность», «информационное оружие».
Законодательная регламентация общественных отношений, связанных с функционированием и использованием информационных компьютерных сетей, находится только в стадии разработки. Более того, методологические подходы к решению указанной проблемы противоречивы, отсутствует единая концепция. Даже специалисты в области информационного права пишут, что вопросы, возникающие в связи с использованием глобального информационного пространства через сети Интернет и иные региональные и глобальные сети, являются сегодня актуальными [1].
Актуальность темы статьи обусловлена тем, что глобальная компьютеризация современного общества, затрагивающая практически все стороны деятельности людей, предприятий, организаций, государства, породила новую сферу общественных отношений, которая, к сожалению, нередко становится объектом противоправных действий, в связи с чем, необходимы исследования в данной области с целью усовершенствования правового регулирования общественных информационных отношений в Украине в современных условиях.
Общественные информационные правоотношения уже реально существуют, субъекты посредством средств электронной связи совершают действия, направленные на возникновение, изменение и прекращение своих прав и обязанностей. Однако, эти действия по созданию, передаче, обмену, хранению, распространению, иному обороту информации, информационных ресурсов, осуществляемые с помощью электронных сетей, подлежат правовому регулированию и слабо отражены сегодня в действующем законодательстве. Законодатель сегодня нуждается в четко разработанной научной основе, строгих концептуальных теоретических положениях.
173
Компьютерная преступность и кибертерроризм 2004/3
Целью этой статьи является анализ общественных информационных отношений, которые нуждаются в правовом регулировании, выявление информационной сущности кибернетического пространства, создание теоретической основы для последующих научных исследований и законодательного урегулирования общественных информационных отношений в условиях информатизации Украины.
Проблемы правового регулирования общественных отношений в условиях информатизации Украины уже поднимались в работах Н.Н. Ахтырской, П.Д. Биленчука, В.Б. Вехова, В.Д. Гавловского, В.А. Голубева, Д. В. Грибанова, М.В. Гуцалюка, В.В. Крылова и некоторых других авторов. Однако стремительное развитие сферы высоких технологий не позволяет останавливаться на достигнутом и требует все более и более глубокого изучения данной проблемы.
В связи с развитием информационных и коммуникационных технологий (ИКТ) изменяется структура и динамика общественного развития, возникают новые отрасли экономики, и увеличивается их интеграция, определяются новые схемы государственного управления, меняются социальные связи и социально-психологический облик человека. Все названные процессы неоднородны, так как они протекают на фоне цифрового неравенства и находятся в зависимости от научно-технического прогресса.
Наиболее ярко результаты современного процесса развития информационных и коммуникационных технологий проявляются в сфере построения и использования информационного пространства сети Интернет. В связи с этим регулирование современных общественных отношений в информационной сфере, среди которых наиболее распространенными являются доступ к информационным ресурсам в названной сети (сайтам) и использование информационных услуг, в том числе, электронной почты, становятся одной из наиболее актуальных задач современного законодательства и права. В силу относительной новизны и высокой социальной роли информационных процессов в сети Интернет, а также особенностей существующей системы права, в Украине регулирование названных отношений происходит в рамках различных отраслей права - конституционного (право на информацию), гражданского (договора по оказанию услуг доступа в сеть Интернет, электронные сделки и расчеты), административного (законодательство о связи, информационная безопасность).
«Множественность» регулирования порождает наличие несбалансированной системы юридических дефиниций, разные подходы к определению субъектов, участвующих в информационных процессах при использовании ИКТ, и, соответственно, сосуществование различных способов определения прав и обязанностей субъектов этих отношений. По мнению некоторых авторов, названные проблемы могут быть решены в рамках самостоятельной комплексной отрасли права - информационного права. Такой подход, однако, порождает необходимость решения ряда непростых задач: интеграции и разграничения предмета регулирования (отношений, возникающих в связи с использованием сети Интернет), выявление специфического метода регулирования, а также формирование иерархии норм, регулирующих общественные отношения в информационной сфере (или информационные отношения) [2].
Становление и структура информационного права содержит анализ информационного отношения как объекта правового регулирования. Его появление обусловлено закономерным развитием и усложнением общественных отношений, в результате которого увеличиваются информационные потоки в обществе, объемы и структурирование информации, требуется постоянное усовершенствование материальных носителей информации, возможностей по ее передаче и хранению. Так, развитие материальных носителей информации в обществе происходит в следующем порядке: сначала существует только язык, потом появляется письменность, далее - книгопечатание. Следующий этап - развитие коммуникаций, изобретение телефона, радио, телевидения. Наконец, появляется ЭВМ, возможности усовершенствования которой практически безграничны. Причем наблюдается известное диалектическое противоречие: новые потребности в информационных технологиях рождают
174
Компьютерная преступность и кибертерроризм 2004/2
новые изобретения и нововведения, а те, в свою очередь, распространяясь по всему миру, делают человечество зависимым в информационном плане от этих нововведений и тем самым еще более усложняют общественные отношения, порождают новые потребности в потреблении и передаче информации.
Таким образом, появляются общественные отношения, в которых информация помимо того, что она является средством существования любых общественных отношений и в этом смысле не отделима от них, начинает выступать как нечто индивидуализированное, «оторванное», обособленное, то есть выступает тем объектом, по поводу которого эти отношения складываются. Поэтому информационное отношение как объект правового регулирования - это такое волевое общественное отношение, в котором информация выступает благом, по поводу которого возникают права и обязанности субъектов. Поэтому информационное отношение как объект правового регулирования появляется не сразу, а на определенном этапе развития и усложнения общественных отношений.
Исходя из изложенного, можно говорить о возникновении относительно-обособленной группы общественных отношений - информационных отношений, выделяемых по признаку информации как объекта этих отношений. Действия субъектов права, связанные с созданием, передачей, обменом, хранением, потреблением, распространением и иным оборотом информации, информационных ресурсов - вот основные объекты правового регулирования, которые могут и должны быть урегулированы правом. Следовательно, можно говорить о формировании новой комплексной отрасли права -информационного права.
Представляется, что такую отрасль следует выделять, поскольку она имеет свой специфический предмет правового регулирования - информационные отношения. Однако следует согласиться с рядом ученых, например, с Д.Грибановым, что указанная отрасль не является самостоятельной отраслью права, поскольку у нее отсутствуют свои собственные методы правового регулирования, их она заимствует у других отраслей права. В этом смысле информационное право носит «сквозной» характер по отношению к другим отраслям, то есть является комплексной отраслью права. По мнению Д.Грибанова, предмет информационного права включает следующие информационные отношения: отношения по реализации прав личности на информацию и прав на защиту от информации; отношения, касающиеся процессов информатизации и оборота информационных ресурсов; отношения интеллектуальной собственности; отношения по гражданско-правовому обороту информации; деятельность средств массовой информации; отношения по защите информации (различного рода тайн) и обеспечению информационной безопасности; правонарушения в сфере информационных отношений [3].
Правовое регулирование в области информационных правоотношений в Украине осуществляется рядом нормативных актов, основными среди которых можно назвать Законы Украины: «Об информации», «О защите информации в автоматизированных системах», «О сохранении научно-технической информации», «О телекоммуникациях»; Указы Президента Украины: «О мерах по развитию национальной составной глобальной информационной сети Интернет и обеспечение широкого доступа к этой сети в Украине», «О мерах по защите информационных ресурсов государства» и др.
Анализ законодательства, который регулирует общественные информационные отношения в Украине, позволяет утверждать, что наше государство, наряду с мерами по стимулированию развития инфраструктуры на основе новейших технологий, применяет необходимые меры, направленные против компьютерной преступности. Вместе с тем, есть еще много не урегулированных проблем по правовому регулированию общественных информационных отношений, которые не дают возможности эффективно противодействовать правонарушениям, совершаемым в сфере компьютерных технологий.
В современном мире бурного развития информационных технологий в настоящее время наблюдается формирование информационных отношений особого рода, именуемых кибернетическим пространством.
175
Компьютерная преступность и кибертепроризм 2004/2
Под кибернетическим пространством понимается совокупность общественных отношений, возникающих в процессе использования функционирующей электронной компьютерной сети, складывающихся по поводу информации, обрабатываемой с помощью ЭВМ и услуг информационного характера, предоставляемых с помощью ЭВМ и средств связи компьютерной сети [4].
Во-первых, сама возможность появления данных отношений обусловлена изобретением и усовершенствованием такого технического средства, как электронно-вычислительная машина. Во-вторых, кибернетическое пространство возникает на основе функционирующей электронной компьютерной сети - специального средства связи, которое обеспечивает обмен, передачу, иное движение информации в значительных объемах и с большой скоростью за счет действия ЭВМ, подключенных к названным средствам связи и специального программного обеспечения, организующего движение информационных потоков по сети. Информация, циркулирующая по электронным сетям, всегда является электронной (компьютерной) информацией, обработанной и передаваемой ЭВМ. Следовательно, участвовать в информационно - кибернетических отношениях можно только посредством ЭВМ, подключенной к компьютерной сети. В-третьих, функциональное назначение всех специальных технических средств в кибернетическом пространстве - это организация движения информации, то есть все отношения, связанные с использованием электронных компьютерных сетей складываются по поводу информации, то есть являются информационными отношениями, образуют особую сферу управления информацией.
Особую сложность вызывают Интернет-отношения, отягощенные иностранным элементом. Эти отношения имеют место, когда электронная сделка заключается лицами разных государств, ущерб в результате использования веб-сайта причинен на территории иностранного государства, информация, размещенная на веб-сайте, нарушает законы иностранного государства об охране прав интеллектуальной собственности и т.д. Кроме того, связь правоотношения, складывающегося в виртуальном пространстве, с правопорядками разных государств может быть и менее явной. На нее могут указывать, в частности, место нахождения сервера и национальность провайдера. Фактически любое Интернет-правоотношение имеет иностранный элемент и тем или иным образом связано с правопорядками разных государств. Причем, можно предположить, что отношения, в которые вступают или будут вступать пользователи Интернет, имеющие согласно принципам международного частного права украинскую принадлежность, будут в абсолютном большинстве случаев отягощены иностранным элементом. Данное предположение можно объяснить следующим образом. Во-первых, Интернет-технологии в Украине пока еще не получили должного развития. Во-вторых, украинский сегмент виртуального рынка услуг и предложений в силу объективных причин вряд ли когда-нибудь будет настолько емким, чтобы исключить преимущества досягаемости по Интернет рынков других государств. Граждане Украины будут приобретать виртуально товары и услуги у лиц других государств, пользоваться объектами прав интеллектуальной собственности иностранцев и вступать в другие Интернет-правоотношения [5].
Таким образом, Интернет, совершенно новая правовая среда, ломающая устоявшиеся представления о действии правовых норм в пространстве и стирающая национальные границы, .заставляет рассматривать поведение лиц, оперирующих в ней, прежде всего, в плоскости международного частного права. В первую очередь, применительно к этим отношениям возникают следующие вопросы международного частного права:
юрисдикции какого государства подчинено правоотношение, т.е. суд или компетентный
орган какого государства вправе рассматривать дело;
право какого государства подлежит применению;
содержание применимого права.
Причем, специфика Интернет-правоотношений заставляет отвечать на эти вопросы несколько иначе, нежели чем в аналогичных случаях, когда предметом рассмотрения
■
176
Компьютерная преступность и кибертерроризм 2004/2
являются традиционные, т.е. складывающиеся в реальном мире, отношения с иностранным элементом.
Сеть Интернет в мире приобретает серьезное социально-экономическое значение. Огромные капиталовложения, международный характер информационных отношений, сотни миллионов пользователей, новые механизмы ведения бизнеса делают Сеть объектом постоянного внимания.
Свыше двадцати государств мира приняли законодательные акты, регулирующие общественные информационные отношения, возникающие в связи с использованием сети Интернет. Сетевым механизмам доверяют осуществление ряда важных организационно-правовых функций государства: голосование по выборам (США, штат Калифорния), подача исковых заявлений и распространение различных процессуальных документов (штат Колорадо). Только в Соединенных Штатах Америки количество судебных прецедентов, связанных с нарушением конституционных прав граждан, использованием информационных сетевых технологий, оказанием услуг и продажей товаров в Сети, нарушением прав на объекты интеллектуальной собственностью, насчитывает сотни дел, рассмотренных в различных штатах США. Растет количество рассмотренных дел по правонарушениям в Интернете в Германии, Великобритании, Франции, Австралии, во всех странах, где Интернет все глубже внедряется во всевозможные социальные механизмы.
В мире можно выделить две крайности в подходах к регулированию сети Интернет: нормативистский подход, утверждающий верховенство права и законов реального мира над Сетью и требующий расширительного толкования текущего законодательства для общественных информационных отношений, и естественно-сетевой, декларирующий знаменитый самоорганизующий лозунг "Governments, go out!". Как всегда, истина лежит где-то посередине.
Ключевыми вопросами, которые государства пытаются решать при регулировании сети Интернет, можно считать следующее: общетеоретическая проблематика Сети, возникшая в силу глобальности Интернета и нематериальности категории электронной информацией, комплекс специальных юридических вопросов, связанных с использованием технологий Интернета и принципиальная проблема пределов применения уже существующего законодательства к новым социально-информационным процессам. Решение последней проблемы серьезно осложняется наличием весьма незначительных наработок в сфере государственного сетевого законотворчества и отсутствием международных соглашений по Сети. Но общие нормы законодательства и права должны определять и сетевые правила игры, хотя сам принцип первичности норм реального мира не должен восприниматься буквально: сетевые общественные информационные отношения весьма отличаются от других известных социальных процессов и должны рассматриваться именно с учетом их внутренней специфики.
Вышеупомянутая общетеоретическая проблематика Сети включает в себя вопросы юрисдикции сети Интернет, суверенитета государств в информационном пространстве, институт обеспечения доказательств и вопросы правосубъектности лиц, представляющих, распространяющих и потребляющих информацию в сети Интернет, проблему определения времени и места действия в сети Интернет, вопрос ответственности информационных посредников - информационных провайдеров за действия их клиентов.
Специальные вопросы правового регулирования сети Интернет касаются, но не ограничиваются проблемами регулирования электронной коммерции, использования объектов интеллектуальной собственности, механизмов шифрования и криптографии, налогообложения информационных транзакций [6].
Таким образом, общественные отношения, возникающие в связи с использованием глобальных компьютерных электронных сетей, являются особыми информационными отношениями, направленными на организацию движения информации в обществе и обусловленными информационной природой общества. Кроме того, общественные отношения, возникающие в связи с функционированием глобальных информационных сетей,
177
Компьютерная преступность и кибертерроризм 2004/2
едины по своему социальному и правовому содержанию вне зависимости от технических характеристик конкретных электронных сетей. Такие отношения обладают единой совокупностью признаков и к ним применим единый терминологический аппарат.
Для надлежащего и эффективного урегулирования информационных отношений, составляющих кибернетическое пространство, требуется принятие блока новых законодательных актов, так как специфика нарождающихся социальных связей не позволяет ограничиться дополнением и изменением к действующему законодательству в рамках традиционных отраслей права.
Проблема глобальности и экстерриториальности, обусловленная
распространенностью электронных компьютерных сетей по всему миру и ограниченной территориальной компетенцией каждого отдельного государства может быть решена путем активного международного сотрудничества в области сближения и унификации законодательства различных стран мира об использовании и функционировании электронных компьютерных сетей.
Практическое значение данной работы состоит в том, что в ней рассмотрены вопросы правового регулирования общественных информационных отношений, которые могут быть использованы для дальнейшего анализа теоретических и практических проблем, связанных с существованием кибернетического пространства. Указывает на конкретные проблемы юридической практики, пробелы в законодательстве, предлагает способы их восполнения. Обобщает научные материалы, касающиеся правового регулирования общественных отношений, связанных с функционированием и использованием электронных компьютерных сетей.
Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. Учебник под ред.
Топорнина Б.Н. - С-Петербург: Изд-во «Юридический Центр Пресс», 2001. - С.107.
Наумов В.Б. К вопросу о гармонизации законодательства в сфере использования ИКТ //
Материалы Десятой всероссийской конференции «Проблемы законодательства в сфере
информатизации», 31 октября 2002 года. - М: Министерство Российской Федерации по
связям и информатизации, 2002. - С.25-28.
Грибанов Д.В. Информация как объект правового регулирования. Теоретический аспект. //
Юрист.-2003.-N3.
Грибанов Д. В. Правовое регулирование кибернетического пространства как совокупности
информационных отношений. Автореферат дисс. ... кан. юрид.наук. - Екатеринбург, 2003. -
С.9.
Леанович Е. Проблемы правового регулирования Интернет-отношений с иностранным
элементом // www.russianlaw.net/law/doc/al02.htm.
Наумов В. Российский Интернет: первые судебные прецеденты // Арбитражные споры. -
2000. -№ 1(9). -С.130-133.
■
Надежда Сивицкая
НЕКОТОРЫЕ ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ ПОНЯТИЙНОГО АППАРАТА ПРИ ИЗУЧЕНИИ ПРЕСТУПЛЕНИЙ ПРОТИВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Новый Уголовный кодекс Республики Беларусь (далее УК), действующий уже больше
трех лет, содержит ряд новых для уголовного законодательства статей, предусматривающих
ответственность за преступления против информационной безопасности. В силу того, что
научно-техническая революция повлекла за собой серьезные социальные изменения,
наиболее важным из которых является появление нового вида общественных отношений и
общественных ресурсов — информационных, информация стала первоосновой жизни
современного общества, предметом и продуктом его деятельности, а процесс ее создания,
178
Компьютерная преступность и кибертерррризм 2004/2
накопления, хранения, передачи и обработки, в свою очередь, стимулировал прогресс в области орудий ее производства: электронно-вычислительной техники (ЭВТ), средств телекоммуникаций и систем связи. Сложность при изучении этой группы преступлений могут представлять некоторые технические термины, использованные законодателем и получившие статус юридических понятий.
Глава 31 УК содержит несколько составов, однако, практически для всех них характерна общая терминология. Сложность уяснения содержания статей этой главы заключается в том, что при их подробном толковании необходимо использовать технические термины. Поэтому целесообразно при изучении составов преступлений против информационной безопасности, разобраться, прежде всего, с понятийным аппаратом. Для начала необходимо выяснить, что же такое «компьютер». Следует отметить, что термины «компьютер» и «электронно-вычислительная машина» (ЭВМ) тождественны. В справочной и научной литературе можно найти множество определений этого понятия: компьютер - это машина, способная выполнять, как минимум, три следующих функции: воспринимать вводимую информацию в структурированном виде, обрабатывать ее по заранее установленным правилам и выдавать результат [1, с.93]. Однако это определение не отражает основную особенность компьютера. Компьютер - это не простая, а сложная вещь, это комплекс, система программно-технических средств, объединенных одним понятием. Самыми распространенными являются настольные компьютеры, хотя в последнее время все больше пользователей приобретает портативные компьютеры, т.н. ноутбуки (notebook). Встречаются и карманные модели. Наиболее удачное определение персонального компьютера, на мой взгляд, дано А.П.Леоновым: персональный компьютер - это микрокомпьютер, предназначенный исключительно для автономного использования отдельным пользователем [2, с.454]. В целом, как было отмечено выше, компьютер представляет собой набор устройств, которые называются аппаратными средствами. Состав оборудования компьютера меняется в зависимости от того, для каких целей он используется, но, тем не менее, существует базовая конфигурация, в которой обязательно присутствуют системный блок, монитор, клавиатура, мышь. Можно также классифицировать аппаратные средства в зависимости от выполняемых ими функций. Устройства вывода и отображения информации: монитор, принтер, акустическая система; устройства ввода информации: клавиатура, сканер, графический планшет (дигитайзер); устройства управления: мышь; устройства связи и передачи данных: модем, устройства для создания локальной сети (сетевые платы, кабели, разъемы, хабы и т.д.); устройства хранения и переноса информации: внешние дисководы; устройства управления питанием: блок питания, источники бесперебойного питания.
Следует отметить, что, описывая аппаратные средства, законодатель использует также и такие словосочетания как «компьютерная система» и «компьютерная сеть». Оба этих понятия могут употребляться в узком и широком смысле. Так, компьютерная система - это аппаратная конфигурация, т.е. все функциональные компоненты компьютера и сопутствующее оборудование [1, с.97]. В этом смысле понятия компьютерная система и компьютер совпадают. В широком понимании компьютерная система - это упорядоченная совокупность взаимосвязанных и взаимодействующих как единое целое ЭВМ, обеспечивающих выполнение определенной функции [3, с.883]. Из множества существующих понятий сети наиболее приемлемым представляется следующее: компьютерная сеть - совокупность двух и более компьютеров, соединенных между собой каналом связи и имеющих программное обеспечение, позволяющее осуществлять эту связь. Компьютерная сеть может быть периферической, локальной и глобальной.
Далее рассмотрим вторую составляющую компьютера - программные средства.
Базовое программное обеспечение (ПО) отвечает за взаимодействие с базовыми аппаратными средствами. Базовое программное обеспечение хранится в специальных микросхемах, называемых постоянное запоминающее устройство (ПЗУ), не подлежит изменению и начинает выполняться автоматически после включения питания компьютера.
179
Компьютерная преступность и кибертерроризм 2004/2
Практически во всех составах преступлений против информационной безопасности употребляется понятие программа, поэтому очень важным для последующего анализа является уяснение этого термина.
Выделяют следующие категории программных средств по назначению: системные программы, прикладные программы и инструментальные средства для разработки программного обеспечения. К системным программам относят операционные системы -комплекс программных средств, организующих выполнение всех других программ и взаимодействие пользователя с компьютером (ОС), которые обеспечивают взаимодействие всех других программ с оборудованием и взаимодействие пользователя компьютера с программами. К этой категории также относят служебные программы (утилиты). Наиболее распространенные служебные программы: антивирусные, программы-архиваторы и т.д. К прикладным программам относят ПО, которое является инструментарием информационных технологий - технологии работы с текстами, графикой и т.д. К последней категории относятся инструментальные средства для разработки ПО, т.е. языки программирования. Вся информация, хранящаяся на компьютере, условно подразделяется на две большие группы: программы и данные.
Существует множество определений программы.
Программа - последовательность указаний, задающая алгоритм вычислительной машине, указывает, в каком порядке, над какими данными и какие операции должны быть выполнены ЭВМ и в какой форме должен быть выдан результат.
Программа - объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата [2, с.469]. Оба эти определения предложены А.П.Леоновым и отражают существующие подходы к пониманию программы.
На законодательном уровне понятие компьютерной программы закреплено только в Законе Республики Беларусь об авторском праве и смежных правах, согласно статье 4 которого «компьютерная программа - упорядоченная совокупность команд и данных для получения определенного результата с помощью компьютера, записанная на материальном носителе, а также сопутствующая электронная документация». Под данными подразумевают информацию, которую программы обрабатывают или создают, документы.
Компьютер способен выполнить любую программу, написанную человеком. К сожалению, не все программы разрабатываются в целях повышения эффективности человеческой деятельности. Существует категория программ с рядом свойств, способных причинить вред. Законодатель их так и называет - вредоносные программы, упоминая при этом и специальные вирусные программы. Компьютерный вирус - набор команд (программных или иных), который производит и распространяет свои копии в компьютерных системах и (или) компьютерных сетях и преднамеренно выполняет некоторые действия, нежелательные для законных пользователей систем [4, с.250]. На взгляд автора, по существу компьютерный вирус и вредоносная программа - одно и то же, т.к. цель их совпадает - причинение вреда программным и аппаратным средствам.
Основным объектом хранения данных в компьютере является файл - совокупность данных, имеющих свое имя и рассматриваемых как единое целое. Все программы и все создаваемые пользователем документы хранятся на диске в виде отдельных файлов. Таким образом, вся информация, хранящаяся в компьютерной системе, сети или на машинных носителях, содержится в файлах. В Законе «Об информатизации» законодателем дано определение информации - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах. Похожие определения можно найти и в толковых словарях. Понятия же «компьютерная информация» в вышеназванном законе не дано, однако его можно сформулировать, исходя из содержания диспозиции статьи 349 УК РБ (Несанкционированный доступ к компьютерной информации).
Итак, под компьютерной информацией следует понимать сведения о лицах, предметах, фактах, событиях, явлениях и процессах, хранящиеся в компьютерной системе,
180
Компьютерная преступность и кибертерроризм 2004/2
сети или на машинном носителе. Однако в одном из комментариев к Уголовному кодексу Российской Федерации под компьютерной информацией понимается не сами сведения, а форма представления в машиночитаемом виде, т.е. совокупность символов, зафиксированная в памяти компьютера, либо на машинном носителе [5, с.558]. На наш взгляд, наиболее полное определение компьютерной информации дано Крыловым В.В. Он предлагает под компьютерной информацией понимать сведения, знания или набор команд (программа), предназначенные для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинных носителях, - идентифицируемый элемент информационной системы, имеющий, собственника, установившего правила ее пользования [6, с.27]. Компьютерная информация может находиться на жестком диске (винчестере), являющемся составной частью компьютера или на дискете, CD-ROM, DVD-ROM и т.д. Закон Республики Беларусь «Об электронном документе» от 10 января 2000 года предлагает толкование терминов машинный носитель - магнитный диск, магнитная лента, лазерный диск и иные материальные носители, используемые для записи и хранения информации с помощью электронно-вычислительной техники.
Итак, мы подошли к определению объекта преступлений против информационной безопасности. В общем виде, информационную безопасность можно представить как состояние защищенности информационных ресурсов. Но применительно к главе 31 УК под информационной безопасностью следует понимать совокупность общественных отношений, складывающихся в процессе защиты информационных ресурсов, охраны прав пользователей и субъектов информатизации, а также обеспечение безопасности пользования компьютерными системами и сетями. Что же касается использованного в определении информационной безопасности понятия «информатизация», то под ней понимают, согласно статье 2 Закона «Об информатизации», «организационный, социально-экономический научно-технический процесс обеспечения потребности органов государственной власти, юридических и физических лиц в получении сведений о лицах, предметах, фактах, событиях, явлениях и процессах на базе информационных систем и сетей, осуществляющих формирование и обработку информационных ресурсов, и выдачу пользователю документированной информации».
И в заключение будет целесообразно проанализировать само понятие «компьютерные преступления». В последнее время в российской и белорусской литературе существует достаточно много различных взглядов на то, что же понимать под компьютерным преступлением. Сложность в формулировке этих понятий существует, по-видимому, как по причине невозможности выделения единого объекта преступного посягательства, так и множественности предметов преступных посягательств с точки зрения их уголовно-правовой охраны.
Обобщая различные подходы, можно сделать вывод о том, что в настоящее время существуют два основных течения научной мысли о содержании понятия «компьютерные преступления». Одна часть исследователей относит к компьютерным преступлениям действия, в которых компьютер является либо объектом, либо орудием посягательств.
Исследователи же второй группы относят к компьютерным преступлениям только противозаконные действия в сфере автоматизированной обработки информации. Видимо, законодатель пошел по второму пути, т.к. действующий УК содержит отдельную главу преступлений против информационной безопасности. Все остальные преступления совершенные с использованием компьютерной техники, или в которых компьютер является предметом, рассредоточены в других главах УК. Для сравнения, российский законодатель к компьютерным преступлениям также отнес противоправные деяния в сфере компьютерной информации. А вот законодатель Украины название соответствующей главы сформулировал как «преступления в сфере использования ЭВМ (компьютеров), систем и компьютерных сетей». Данное название охватывает более широкий круг преступных деяний. По мнению автора, содержание понятия «компьютерное преступление» гораздо шире, чем это предусмотрел законодатель и поглощает преступления против
181
Компьютерная преступность и кибертерроризм 2004/2
информационной безопасности. Кроме того, к компьютерным преступлениям целесообразно отнести также и преступления, совершаемые с использованием компьютерных технологий.
Толковый словарь по вычислительной технике / Пер. с англ. - М.: Издательский отдел
«Русская редакция» ТОО «Channel Trading ltd.», 1995.
Леонов А.П. Толковый словарь современной информационно-правовой лексики //
Управление защитой информации. - 2002. - Том 6. - № 4. - С.434 -495 .
Комментарий к Уголовному кодексу Российской Федерации с постатейными
материалами и судебной практикой \ Под общ. ред.Никулина СИ. - М.: Изд-во
«Менеджер» совместно с изд-вом «Юрайт», 2001.
Компьютерная преступность и информационная безопасность / Под общ. ред.
А.П.Леонова. - Мн.: АРИЛ, 2000.
Комментарий к Уголовному кодексу Российской Федерации: научно-практический
комментарий \ Отв. ред. В.М.Лебедев.- М.: Юрайт. - М, 2001.
Крылов В.В. Информационные компьютерные преступления. - М., 1997.
Виктор Смирнов
ПРОБЛЕМА ОБЕСПЕЧЕНИЯ ДОКАЗАТЕЛЬСТВ ПО ДЕЛАМ О НАРУШЕНИИ ГРАЖДАНСКИХ ПРАВ В СЕТИ ИНТЕРНЕТ
В спорах о гражданских правонарушениях, совершенных с помощью сети Интернет, самой сложной является проблема доказывания факта нарушения прав. Она включает в себя две составляющие: 1) правовые основания, порядок сбора и обеспечения доказательств; 2) допустимость таких доказательств с точки зрения процессуального права.
Многие отказываются от защиты своих нарушенных прав, полагая, что в отношении сведений, распространяемых в Интернете, не действует российское законодательство либо нет возможности доказать совершение правонарушения, поскольку информация на сайте может быть легко изменена или удалена с него в любой момент. Но при этом уже существующая судебная практика склоняется к тому, что в отношении правонарушений в Интернете должно применяться российское право и есть доказательства, допустимые с точки зрения процессуального закона.
Однако для его применения нужно доказать сам факт нарушения гражданских прав, то есть необходим набор фактов, имеющих юридическое значение и установленных в законодательстве, сделке, правовом обычае, другой норме права. Именно об обеспечении доказательств правонарушений в Интернете — «...фактических данных, на основе которых в определенном законом порядке суд устанавливает наличие или отсутствие обстоятельств, обосновывающих требования и возражения сторон, и иных обстоятельств, имеющих значение для правильного разрешения дела...» (ст. 55 ГПК РФ; ст. 64 АПК РФ) — и способах их получения пойдет речь далее.
Прежде чем обращаться в органы исполнительной власти или в суд по поводу правонарушения в Интернете, следует собрать и обеспечить доказательства, которые подтвердили бы наличие состава правонарушения. На данный момент оптимальный способ — заверение интернет-страниц у нотариуса. Простая распечатка страницы, по справедливому замечанию А. Ивлева, скорее всего, не будет признана судом документом, а нотариально заверенная — будет [1].
Такого же мнения придерживается и судебная практика: арбитражный суд г. Санкт-Петербурга и Ленинградской области в решении от 06.04.2000 по делу № А56-8603/99 пришел к следующему выводу: «Доводы, что представленные документы не могут быть оценены как относимые и допустимые доказательства, неосновательны, поскольку:
182
Компьютерная преступность и кибертерроризм 2004/2
...протокол, составленный нотариусом, соответствует требованиям, предъявляемым к письменным доказательствам, т. е. содержит сведения об обстоятельствах, имеющих значение для дела, а именно об информации, содержащейся на web-странице... Отсутствие в протоколе выраженного порядка действий нотариуса при работе в Сети... не может служить основанием для оценки содержащейся в нем информации как недостоверной» [2].
Данное решение свидетельствует о том, что доказательства, обеспеченные нотариусом, должны признаваться допустимыми, если они получены с соблюдением норм процессуального права.
Для получения указанного рода доказательств заинтересованное в заверении правонарушающей информации лицо составляет запрос на имя нотариуса, в котором просит удостоверить факт нахождения интересующей информации по определенному адресу в сети Интернет. В запросе обязательно должны быть указаны: цель обеспечения доказательств, адрес интернет-страницы, реквизиты документа, наличие заинтересованных лиц. Желательно указать заголовок текста или графической информации, ее месторасположение на интернет-странице, конкретные цитаты, которые предполагается положить в основу последующего иска, жалобы или заявления. Целесообразно изложить ход действий, которые должен совершить нотариус для получения экранного изображения интересующей страницы.
В арбитражной практике известен случай, когда ответчик ходатайствовал о признании документа недопустимым, поскольку нотариус составил протокол только осмотра интернет-страницы. Фактически же он совершил два действия — сначала получил изображение страницы на экране монитора, и лишь потом произвел ее осмотр. В данном случае суд отверг довод ответчика. Но в дальнейшем представляется разумным отражать в протоколе, каким образом нотариус получил доступ к интернет-странице и ее изображение на экране монитора.
Для обеспечения доказательств нотариусу целесообразно совершить следующие действия: найти интернет-страницу по сообщенному адресу, распечатать ее, проверить наличие материала с указанными реквизитами. Если в запросе фигурировали определенные слова и выражения, то проверить их наличие в распечатанном экземпляре. Желательно, чтобы на распечатке в автоматическом режиме отразилась дата печати и адрес файла, а интернет-страница была распечатана полностью в той форме, в какой она предстает перед посетителем сайта.
Дискуссионным вопросом является то, как может быть расценена заверенная распечатка интернет-страницы. С одной стороны она является письменным доказательством потому, что изображение на экране монитора, так же как на бумажном носителе, сообщает пользователю одинаковые сведения вне зависимости от того, на каком носителе они отражены — люминесцентном слое экрана монитора или бумаге. Информация содержится в тексте или графическом изображении, а не на материальном носителе. В этом отличительная черта письменного доказательства (ст.75 АПК РФ, ст.71 ГПК РФ). По мнению Президента Нотариальной палаты Новосибирской области, действия нотариуса по распечатке интернет-страницы и по удостоверению ее тождества с изображением на мониторе близко по своей сути с нотариальными действиями по удостоверению времени предъявления документа, однако полученный документ не будет являться доказательством, так как получен не в порядке главы XX Основ законодательства РФ о нотариате.
В строгом смысле процессуального законодательства распечатка на бумаге окна броузера (программы, с помощью которой файлы из Интернета представляются в доступном для восприятия человека виде) не аутентична изображению на экране монитора (ч.8 ст.75 АПК РФ). В бумажной распечатке добавляются сведения о времени печати и месторасположении файла в Интернете. Представляется, однако, что данное формальное соображение не должно быть преградой на пути правосудия, главньми задачами которого являются защита прав, свобод и охраняемых законом интересов, укрепление законности и пресечение правонарушений, а также правильное и своевременное рассмотрение дела (ст.2
183
Компьютерная преступность и кибертерроризм 2004/2
ГПК РФ и ст. 2 АПК РФ).
Следует отметить, что заявитель может просить заверить только цитаты в неизмененном виде. Оценочных суждений в запросе присутствовать не должно, так как оценка материалов — прерогатива суда (ст. 56 ГПК РФ и 71 АПК РФ).
Сверив адрес страницы и реквизиты текста или объекта, нотариус составляет протокол нотариального действия — обеспечения письменного доказательства путем доступа к интернет-странице и последующего ее осмотра в порядке п. 18 ст.35 и ст.ст.102 и 103 Основ законодательства РФ о нотариате. Как уже отмечалось, в протоколе надо описать не только саму страницу, но и порядок доступа к ней, и все действия, которые производились для получения интересующей информации. Особого внимания требует тот факт, что обеспечивать доказательства нотариус имеет право лишь по спору, находящемуся на досудебной стадии (ст.72 АПК РФ и ст.57 ГПК РФ), или до рассмотрения дела в административном порядке (ст. 102 Основ законодательства РФ о нотариате).
Распечатанные страницы целесообразно сшить с протоколом, в котором расписывается нотариус и заинтересованное лицо, указываются паспортные данные и адрес постоянного места жительства последнего, ставится оттиск печати. Нотариальное действие оплачивается государственной пошлиной, заносится запись в реестр.
Указанная процедура обеспечения доказательств не регламентирована каким-либо нормативным актом (Приказ Минюста РФ от 15 марта 2000 г. № 91 «Об утверждении Методических рекомендаций по совершению отдельных видов нотариальных действий нотариусами Российской Федерации» не содержит никаких рекомендаций до данному вопросу); в каждом конкретном случае нотариус совершает указанные действия, руководствуясь своими интуитивными соображениями. Представляется полезным выработать и утвердить единый стандарт, учитывая, что споры о нарушении прав в сети Интернет перестают быть единичными случаями, но по прежнему вызывают сложности с предоставлением надлежащих доказательств суду.
Ивлев А. Web-страница как источник доказательств в арбитражном процессе. -
www.netlaw.spb.ru/articles/paper05.htm.
Решение опубликовано в работе В. Б.Наумова «Право и Интернет. Очерки теории и
практики». - М., 2002. - С.388, а также в Интернете по адресу:
http://www.vic.spb.ru/law/law.htm.
Юрий Степанов
К ВОПРОСУ ВЫЯВЛЕНИЯ КОМПЬЮТЕРНЫХ ДАННЫХ, ПРЕДСТАВЛЯЮЩИХ
ОПЕРАТИВНЫЙ ИНТЕРЕС
Целью данной статьи является указание наиболее вероятных мест нахождения информации представляющей оперативный интерес, в каком виде она может храниться и на каких носителях информации.
Совершенствование компьютерных технологий привело к появлению новых видов преступлений, в частности неправомерному доступу к компьютерной информации. Относительная новизна возникших проблем, стремительное наращивание процессов компьютеризации украинского общества застали врасплох правоохранительные органы, которые оказались неготовыми к адекватному противостоянию и борьбе с этим новым социально-правовым явлением. Компьютерная преступность вышла из сферы контроля правоохранительных органов и грозит в ближайшем будущем перейти в серьёзную государственную проблему. По своему механизму, способам совершения и сокрытия эти преступления имеют определённую специфику, характеризуются высоким уровнем латентности и низким уровнем раскрываемости. По данным за 7 месяцев 2003 года по
184
Компьютерная преступность и кибертерроризм 2004/2
Украине в сфере интеллектуальной собственности (ст. 176,177) почти половина преступлений не раскрывается, а в сфере высоких технологий (ст.361,362,363) - до трети преступлений.
Компьютерная информация - это информация, которая передается, обрабатывается и хранится с использованием электронно-вычислительной техники. Учитывая это, оперативные работники в повседневной деятельности будут всё чаще сталкиваться с потоком информации в электронном виде и на самых разнообразных носителях, поэтому мы постараемся указать места возможного хранения компьютерной информации, носители которые её могут сохранять, и в каком виде она может храниться. Тем самым постараемся сэкономить время оперативному работнику на раскрытие преступления.
Основные способы хранения компьютерной информации следует рассматривать в двух аспектах: логическом и техническом.
Логический аспект имеет в виду организацию и хранение данных в персональном компьютере.
Технический аспект - основные устройства персонального компьютера, в которых хранится информация, прямо или косвенно указывающая на неправомерные действия её собственника [1].
Далее следует определиться, где и как хранится информация в персональном компьютере. Прежде всего, это физические носители информации и файлы, записанные на них.
Файл - информационная запись, состоящая из произвольного числа байтов и находящихся на каком-либо магнитном носителе информации типа дискеты, винчестера, лазерного диска, магнитной ленты. В файле могут храниться тексты документов, коды программ, рисунки, видео, звук. В данном перечне трудно конкретно определить, какой из файлов может представлять оперативный интерес, пока этот файл не будет открыт, но открывать все файлы это долго и бесполезно, надо знать, какие файлы содержат информацию, которая может представлять интерес для оперативного работника. Каждый файл имеет имя, состоящее из двух частей: собственно имени и расширения (типа). Если в процессе присвоения имени пользователь может использовать практически любой набор символов, то при указании расширения (типа) различных вариантов не так много. Конкретный тип расширения указывает на вид хранимой информации - то, на что оперативный работник должен обращать внимание в первую очередь. Например, если файл содержит текстовую информацию, то он может иметь расширение - TXT, DOC (переписка между предприятиями, договора, платёжные поручения и т. п.). Если информация графическая, то расширение имеет вид - PCX, JPG и т. п. (с распространением цифровых фотоаппаратов просмотр файлов с таким расширением очень актуален). Файлы со звуковой информацией имеют расширение - WAV, AVI, это не всегда может быть музыкальный файл, так как в последнее время получили широкое распространение цифровые диктофоны, они активно применяются для получения различного рода аудиоматериала, имеют малый размер и большой ресурс записи (до нескольких дней).
В процессе работы с компьютером обычно используется значительное число программных файлов и файлов с данными. Для того чтобы осуществлять их быстрый поиск на магнитных дисках, создаются разделы, называемые директориями или каталогами. Для операционной системы Windows вместо понятия каталог введено понятие папка. Каталог (папка) - это специальное место на диске, в котором хранятся имена файлов, сведения о размерах файлов, времени их создания. Для нахождения файла с любым расширением не обязательно механически просматривать все папки, достаточно нажать кнопку: ПУСК -найти - файлы и папки - указать расширение файла и где его нужно искать, на вкладке «дата» указать промежуток времени, за который нужно найти искомый файл (например, за последний месяц) - вкладка дополнительно позволяет указать тип файла, применительно к какой-либо программе и его размер, далее найти. Операционная система сама найдёт в указанном диапазоне файлы с нужным расширением и отобразит их в открытом вами окне.
185
Компьютерная преступность и кибертерроризм 2004/2
Кратко изложив содержание основных способов хранения компьютерной информации в логическом аспекте, необходимо рассмотреть эти вопросы и в техническом виде её сохранения. Это связано с тем, что необходимо знать об устройствах, в которых при работе на персональном компьютере может находиться информация, представляющая оперативный интерес, и которые могут выступать в качестве орудия преступления. В минимальный состав любого компьютера входит три устройства: системный блок, клавиатура, монитор. Системный блок является одним из главных, в нем находятся основные узлы и компоненты компьютера.
Важной составной частью системного блока компьютера являются накопители информации - электромеханические устройства, являющиеся внешней, долговременной памятью компьютера. В современных компьютерах используются несколько видов накопителей. Использующих магнитные носители информации: накопители на гибких магнитных дисках и накопители на жестких магнитных дисках (винчестерах) HDD. Но в последнее время так же активно стали применяться накопители с использованием записи / воспроизведения на оптических дисках (CD-R, CD-RW). Это то, что касается способа хранения информации.
При поиске информации, представляющей оперативный интерес, следует иметь ввиду, что при помощи накопителей на гибких магнитных дисках и CD-R производится перенос программ с одного компьютера на другой, запись на эти носители той информации, которая не должна храниться в компьютере постоянно, создание архивов и копий данных (отчеты фирмы за предыдущие годы и т. п.).
Накопители на жестком магнитном диске (винчестере) предназначены для постоянного хранения информации, используемой при работе с компьютером, объемы современных HDD достигают сотен гигабайт.
Следует отметить, что компьютерная информация очень легко и, как правило, бесследно уничтожается. Для уничтожения компьютерной информации, равной 500 страниц текста, необходимо два нажатия клавиш, после чего, спустя несколько секунд, информация будет удалена. В то время как для сжигания 500 страниц машинописного или рукописного текста необходимы условия и значительный промежуток времени. Для сведения - одна страница машинописного текста имеет объем 1.8 Кбайт, 100 страниц текста - 180 Кбайт, 200 -360 Кбайт [2].
Не нужно также забывать, что компьютерная информация обезличена, т.е. между ней и лицом, которому она принадлежит, нет жесткой связи. Она может находиться лишь на магнитном носителе (дискета, винчестер, лазерный диск), она может создаваться, применяться, копироваться, использоваться, только при помощи ПК при наличии соответствующих периферийных устройств чтения машинных носителей информации (дисководы, устройства чтения лазерных дисков и т. п.). Эта информация легко передаётся по телекоммуникационным каналам связи компьютерных сетей, причем практически любой объем информации можно передать на любое расстояние. Кроме того, можно отметить относительную простоту в пересылке, преобразовании, размножении компьютерной информации.
При нахождении информации представляющей оперативный интерес мы видим её в первоисточнике, доступ к одному и тому же файлу, содержащему информацию, могут одновременно иметь несколько пользователей. Итак, компьютерную информацию представляющую оперативный интерес зафиксированную на машинном носителе, доступной восприятию ЭВМ можно классифицировать по следующим основаниям:
по её носителям (дискеты, лазерные диски, магнитооптические диски, винчестер);
по виду (текстовая, графическая, звуковая, программная, файлы данных);
по атрибутам файлов (архивная, только для чтения, системная, скрытая) [3].
При поиске информации, представляющей оперативный интерес, желательно пригласить специалиста, т.к. опрос следователей и специалистов в области вычислительной техники показал, что только 14% следователей работают на ПК на уровне пользователя, 56%
186
Компьютерная преступность и кибертерроризм 2004/2
не знают ничего о принципах работы ПК. С другой стороны, 92% из числа опрошенных программистов считают, что на современном уровне развития вычислительной техники без участия профессионала найти "спрятанную" в компьютере информацию без риска её уничтожения сложно [4].
При осмотре компьютера на предмет оперативной информации нужно исключить возможность посторонним лицам и неспециалистам соприкасаться с оборудованием, не допускать, чтобы кто-либо производил любые действия с компьютером. Риск, связанный с непосредственным вмешательством значительно больше, чем малый шанс дистанционного влияния на систему с другого устройства [5]. Также необходимо определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть. На это могут указывать коаксиальные кабели, идущие от компьютера к компьютеру. При наличии локальной компьютерной сети наибольший интерес представляет центральный компьютер, так называемый сервер, на котором храниться большая часть информации и к которому имеют доступ все компьютеры. Этот компьютер необходимо обследовать более тщательно и осторожно. Установить, имеются ли соединения компьютера с каким-либо периферийным оборудованием или другими ПК вне осматриваемого помещения, если есть, то существует реальная возможность непосредственного обмена информацией независимо от желания оперативного работника, её изменения или уничтожения с удалённых рабочих мест, находящихся за несколько метров (за стеной) или даже километров от осматриваемого помещения.
Для предотвращения этого на время поиска информации, представляющей оперативный интерес, необходимо отключить персональный компьютер от локальной сети, желательно физически, путём отключения кабелей [6].
Далее следует определить, запущены ли программы на ПК, и какие именно. Если на ПК работает программа уничтожения данных или зашифровки, то её следует остановить. Если на момент осмотра ПК на нем набирался текст, то выход из редактора текста нужно осуществлять только после сохранения набранного текста на жестком диске.
Информация, которая может заинтересовать оперативного работника может находиться на магнитных носителях и вне компьютера, таким местом может служить и сам компьютер, т. е. системный блок. По своей конструкции он более удобен для организации тайника, внутри ПК резервируется место для расширения и наращивания возможностей компьютера, путем установки дополнительных плат. Это и приводит к большому объему дополнительного места внутри корпуса системного блока компьютера.
Большую часть информации, хранимой и обрабатываемой на ПК, всегда можно скопировать на переносимые носители информации - гибкие магнитные диски. Поиск таких носителей необходим и обязателен. Поскольку дискеты имеют сравнительно малые размеры -до 150 мм. диаметр, и толщину 2 мм., то поиск их значительно затруднён.
Наряду с дискетами для хранения информации используются CD-ROM (лазерные) диски. Лазерные диски внешне не отличаются от аудио-видео дисков, что делает возможным их хранение среди музыкальной коллекции. Поиск тайников с магнитными носителями ещё затруднен и тем, что для него нельзя использовать металоискатель, поскольку его применение может привести к стиранию информации.
Таким образом, используя накопленный опыт специалистов в области информатики, мы определились, где в персональном компьютере и за его пределами может храниться информация, которая может представлять для оперативного работника интерес. Тем самым сокращаем время её поиска, а в некоторых случаях, как мы описывали выше, повышаем вероятность её фиксации до уничтожения.
Расследование неправомерного доступа к компьютерной информации / Под. ред. Н.Г.
Шурухнова. - М.: Издательство "Щит - М", 1999. - С.15.
Крылов В.В. Информационные компьютерные преступления. - М., 1997. - С.28.
187
Компьютерная преступность и кибертерпоризм 2004/2
Шурухнов Н.Г., Левченко И.П., Лугин И.Н.. Специфика проведения обыска при изъятии
компьютерной информации // Актуальные проблемы совершенствования деятельности
ОВД в новых экономических и социальных условиях. - М., 1997. - С.208.
Касаткин А.В. Тактика собирания и исследования компьютерной информации при
расследовании преступлений: Дис. канд. юрид. наук. - М., 1997. - С. 17.
Осипенко М. Компьютеры и преступность // Информационный бюллетень НЦБ
Интерпола в Российской Федерации, 1994, №10. - С. 16.
Расследование неправомерного доступа к компьютерной информации / Под. ред. Н.Г.
Шурухнова. - М.: Издательство "Щит - М", 1999. - С. 131.
Алексей Турута
РЕКОМЕНДАЦИИ ПО ФИКСАЦИИ СЛЕДОВ ВО ВРЕМЯ ПРОВЕДЕНИЯ ОСМОТРА РАБОТАЮЩЕЙ КОМПЬЮТЕРНОЙ ТЕХНИКИ
Во время проведения следственных действий на работающих (включены и на которых функционируют процессы) компьютерах имеются данные - следы.
В учебной и методической литературе достаточно подробно описываются действия специалиста на рабочем и заключительном этапах осмотра, обыска и выемки; рекомендации специалисту для выявления компьютерной информации; множественные манипуляции с работающим компьютером для определения вида функционирующего процесса и т.д. На заключительном этапе предлагают скопировать выявленную информацию на подготовленные носители [1, 2]. Однако в ходе проведения осмотра невозможно визуально зафиксировать достаточное количество следов и сохранить состояние компьютера в момент проведения следственного действия невозможно.
Рассмотрим группы следов, существующие в момент проведения следственных действий, которые могут быть утрачены при выключении (корректном или некорректном) компьютера и не могут быть восстановлены в полном объеме при проведении компьютерно-технической экспертизы (КТЭ) в лабораторных условиях.
1. Группа следов - данные, находящиеся в памяти, которая теряет способность хранить данные с отключением питания.
2. Группа следов - данные, определяемые текущим состоянием системы, запущенными
процессами, сеансом пользователя.
3. Группа следов - данные, связанные с сетью: установленными сетевыми
параметрами, сетевой активностью (подключениями).
Группа 1. Данные, находящиеся в памяти, которая теряет способность хранить данные с отключением питания.
К памяти, хранящей следы данной группы, относится ОЗУ, кеш, буфер. В ОЗУ хранятся коды и обрабатываемые данные процессов, др.; кеш-память и буфер служат для согласования работы разноскоростных устройств.
При проведении следственных действий в научной литературе предлагаются изымать информацию из оперативной памяти компьютера путем копирования соответствующей машинной информации на физический носитель [3] (авт. - жесткий диск) и проводить последующие исследования в лабораторных условиях.
188
Компьютерная преступность и кибертеррорязм 2Q04/2
Предложенный механизм не обеспечивает получение целостного мгновенного «снимка» содержимого ОЗУ по следующим причинам:
Ряд операционных систем (WinNT, W2k, WinXP/2003Srv; в случае недостаточных
привилегий в Linux, FreeBSD, SunSolaris) не предоставляют доступ ко всему пространству
ОЗУ. :
Сложность составляет реализация механизма получения мгновенного «снимка» ОЗУ
компьютера, на котором выполняются процессы.
Укрупнено рассмотрим процесс копирования содержимого оперативной памяти. Весь объем ОЗУ не может быть скопирован за одну итерацию на физический носитель, копирование большого объема информации осуществляется меньшими блоками.
Первый блок начнет копироваться в период времени Т, и будет продолжаться Dt, где Dt - время больше самой длительной операции копирования. Отметим, время, необходимое на изменение данных в оперативной памяти, существенно меньше времени записи на физический носитель. В момент записи данных на физический носитель содержимое ОЗУ может быть модифицировано.
Последний (N-й) блок закончиться копироваться в момент Т+ NОt. Каждый і-й блок будет скопирован с мгновенного «снимка» ОЗУ в период Т+ iOt, полученный образ на физическом носителе не будет являться целостным «снимком» первоначального состояния ОЗУ (Рис. 1.). Т.о. восстановление полного и целостного мгновенного «снимка» ОЗУ не представляется возможным.
Рис. 1. Получение результата копирования ОЗУ на физический носитель во время функционирования процессов.
В ряде случаев работающие процессы создают временные файлы, связанные с данными в ОЗУ, потеря целостности содержимого ОЗУ приведет к невозможности построения логической цепочки с использованием найденных временных файлов, при дальнейших исследованиях.
Рассматривать можно копирование определенных фрагментов ОЗУ, однако такие действия по своей природе могут изменять данные в компьютере. Рассмотрение подходов выявления и сохранения необходимых областей ОЗУ, техническая реализация таких подходов требует отдельного рассмотрения.
Отметим, что копирование ОЗУ на физический носитель не обеспечивается встроенными средствами ОС, поэтому данная операция выполняется средствами ПО третьих производителей, применение таких средств выходит за рамки осмотра, когда действия специалиста должны восприниматься наглядно, носить общедоступный, очевидный характер и понятны понятым [4].
189
Компьютерная преступность и кибертерроризм 2004/5
Группа 2. Данные, определяемые текущим состоянием системы, запущенными процессами, сеансом пользователя.
В момент проведения следственных действий компьютер находится в определенном состоянии, возможно отличном от загрузки по умолчанию.
Состояние компьютера характеризуется визуально видимыми и невидимыми признаками. К видимым признакам, воспринимаемыми всеми участниками осмотра, можно отнести: элементы интерфейса, запушенные процессы, окна, имена файлов и др. Данные признаки можно отразить в протоколе осмотра, зафиксировать средствами видеосъемки,
К невидимым признакам относятся: привилегии запущенного процесса, влияние одного процесса на другой (например, наличие процесса, эмулирующего наличие ключа HASP для программ «Компас», 1С-бухгалтерия), стартовые параметры процесса, переменные окружения. В процессе осмотра невозможно визуально зафиксировать в достаточной мере имеющиеся следы.
Отметим, что визуально невидимые признаки процессов, протекающих в компьютере, могут формироваться под влиянием различных факторов (особый порядок запуска процессов, изъятый сменный носитель, отключённый сетевой ресурс), информации, о которых на момент проведения следственных действий нет, однако результат влияния факторов существует. Т.о. копирование части ОЗУ, связанной с исследуемым процессом на физический носитель не обеспечивает необходимого сохранения необходимого полного объема компьютерной информации. При последующем проведении КТЭ в лабораторных условиях восстановить состояние, соответствующее моменту осмотра, будет затруднено, а порой и невозможно.
Группа 3. Данные, связанные с сетью: установленными сетевыми параметрами, сетевой активностью (подключениями).
Следы, связанные с сетью, разделим на две подгруппы:
Данные, связанные с заданными параметрами сети. К таким данным относятся:
параметры устройств (например, МАС-адрес адаптера Ethernet, RadioEthernet, параметры
подключения к VPN); параметры протоколов (IP-адрес, маска подсети; IPX-адрес, сеть;
таблица маршрутизации, таблица адресов); параметры процессов (например, proxy-сервер
для браузера).
Данные, связанные с сетевой активностью компьютера. К таким данным относятся:
наличие физического соединения с др. элементами сети; информация о соединениях по
протоколам ОС; признаки взаимодействия процессов (например, открытые файлы в службе
netbios, управление с помощью ssh и др.).
Особенностью формирование следов данной группы является сочетание воздействий локальных факторов и воздействий извне (такие воздействия могут быть, как санкционированы ОС, так и нет). Т.о. данные, существующие в момент проведения следственного действия, могут формироваться, модифицироваться под влиянием внешних факторов. Изъятие фрагментов ОЗУ и описание визуальных признаков на мониторе не будет указывать на существующие следы в полном объеме.
Исследование данных подгруппы 1 (параметров сети) позволяет решить ряд диагностических задач: определить тип сети, возможный диаметр сети; определить протоколы, используемые в сети, выявить элементы в сети, установить возможные элементы сети.
Исследование данных подгруппы 2 (сетевая активность) позволяет зафиксировать признаки, указывающие на взаимодействия исследуемого компьютера и др. элементов сети.
190
Компьютерная преступность и кнбептепроиизм 2004/2
Указанные признаки могут автоматически (средствами ОС) фиксироваться в электронных журналах (log-файлах), использоваться в дальнейшем без затруднений (например, подключению к порту отправки почтового сообщения, регистрация подключений по модему) или существовать некоторое время (например, данные о состоянии подключения) и быть утраченными без возможности восстановления в дальнейшем.
Отметим, что при работающем в сети компьютере, указанные признаки, которые не регистрируются, могут появляться, модифицироваться и утрачиваться, через определенные интервалы времени в соответствии с работой процессов в сети. Отмеченные признаки могут быть не видимыми, а их отображение на экране неочевидным. Поэтому зафиксировать такие следы возможно только в процессе исследования ПК на месте проведения следственных действий с использованием специальных знаний.
Пособие следователя. Расследование преступлений повышенной общественной
опасности / Под ред. Селиванова Н.А., Дворкина А.И. - М., 1998. - С.367-368.
Расследование неправомерного доступа к компьютерной информации / Под
ред. Шурухнова Н.Г. - М.,1995. -С.132-133.
Преступления в сфере компьютерной информации: квалификация и
доказывание. Учеб. пособие / Под ред. Гаврилина Ю.В. - ЮИ МВД РФ. - М.,
2003.-С.134.
Орлов Ю.К. Производство экспертизы в уголовном процессе. - М.,1982. - С.22.
Judge Mohamed Chawki
THE DIGITAL EVIDENCE IN THE INFORMATION ERA
Introduction
1. The evidence is the foundation of any criminal case, including those involving
cybercrimes.Searching, examining, collecting, and preserving evidence may differ from one law
enforcement officer to another, however these procedures are governed by laws and legislations that
should be followed. Errors in gathering, developing, or presenting evidence can have dire
consequences on the trial.
2. An evidence can be generally defined as ' something that tends to establish or disprove a fact. It
can include documents, testimony, and other objects'. It can be classified into three categories:
Real or physical evidence, which consists of tangible objects that can be seen and touched.
A testamentary evidence, where the testimony of a witness can be given during a trial, based on a
personal observation or experience.
Circumstantial evidence, which is based on a remark, or observation of realities that tends to
support a conclusion, but not to prove it.
3. In criminal trials, the prosecution has to prove every element of its case beyond a reasonable
doubt. In civil trials, on the other hand, a party has the burden only of proving his or her affirmative
contentions by a preponderance of the evidence. In recent years the problems of procuring evidence
have been eased somewhat by the introduction of broader discovery (i.e., disclosure) rules. In civil
cases, these rules compel each party to a suit to allow the other to have access to its witnesses and to
certain types of evidence before the trial. In criminal cases, the judge has the discretionary power to
■ - " ■ ■ ■
191
Компьютерная преступность и кибертерроризм 2004/2
order discovery; however, in any event, the prosecutor must release all exculpatory evidence on request [1]/
The rise of digital forensics and the digital evidence
As early as 1984, the FBI Laboratory and other law enforcement agencies began developing
programs to examine computer evidence. To properly address the growing demands of investigators
and prosecutors in a structured and programmatic manner, the FBI established the Computer
Analysis and Response Team (CART). In 1991, a new term; "Computer Forensics" was coined in
the first training session held by the International Association of Computer Specialists (IACIS) in
Portland, Oregon. It is the science whereby; experts extract data from computer media in such a
way that it may be used in a court of law; it deals with the application of law to a science. In this
case, the science involved is computer science and some refer to it as Forensic Computer Science.
Computer forensics has also been described as the autopsy of a computer hard disk drive because
specialized software tools and techniques are required to analyze the various levels at which
computer data is stored after the fact. Since then, it has become a popular topic in technological
circles and in the legal community, while the digital forensic is the use of scientifically derived and
proven methods toward the preservation, collection, validation, identification, analysis,
interpretation, documentation, and presentation of digital evidence derived from digital sources for
the purpose of facilitation or furthering the reconstruction of events found to be criminal, or helping
to anticipate unauthorized actions shown to be disruptive to planned operations"
The domain of computer forensics involves collecting, preserving, seizure, analyzing and
presentation of computer-related evidence utilizing secure, controlled methodologies and auditable
procedures, the These examinations involve the examination of computer media, such as floppy
disks, hard disk drives, backup tapes, CD-ROM's and any other media used to store data. The
forensic specialist uses specialized software, not normally available to the general public. The
examination will discover data that resides in a computer system, or recover deleted/erased,
encrypted or damaged file information and recover passwords, so that documents can be read. Any
or all of this information found during the analysis may or can be used during both criminal and
civil litigation. Thus, this evidence can be visible when stored in the mean of files saved on disks, or
not visible, when it requires some sort of software to locate it.
Regarding computer related crimes cases, evidences are classified into three main categories,
according to SWGDE/IOCE standards:
Digital evidence, where the information are stored or transmitted in electronic or magnetic form.
Physical items, where the digital information is stored, or transmitted through a physical media.
Data objects, where the information are linked to physical items.
Admissibility of the digital evidence
7. Generally speaking, there are three requirements for the evidence to be admissible in the court,
(a) Authentication, (b) the best evidence rule, and (c) exceptions to the hearsay rule. Authentication
means showing a true copy of the original, best evidence means presenting the original, and the
allowable exceptions are when a confession, business, or official records are involved.
Authentication appears to be the most commonly used rule, but experts disagree over what is the
most essential, or most correct, element of this in practice. Some say documentation (of what has
been done); others say preservation (or integrity of the original); and still others say authenticity
(the evidence being what you say it is). Good arguments could be made for the centrality of each, or
all, as the standard in computer forensic law. In addition, the U.S. courts require the legality of the
evidence; it must be obtained in accordance with the laws governing search and seizure, including
laws expressed in the U.S. and state legislations. Some legislation sets special rules to admissible
192
Компьютерная преступность и кибертерроризм , 2004/2
the digital evidence. Starting by rule 401, the evidence is defined 'as having any tendency to make the existence of any fact that is of consequence to the determination of the action more probable or less probable than it would be without the evidence'.
While rule 402 of the federal rule of evidence states that "All relevant evidence is admissible, except as otherwise provided by the Constitution of the United States, by Act of Congress, by these rules, or by other rules prescribed by the Supreme Court pursuant to statutory authority. Evidence which is not relevant is not admissible.
8. When these rales are still not clear, there are some requirements and precautions that should be
followed by investigators. The IACIS provides some of these requirements to its members, to
ensure that competent, professional forensic examinations:
Forensically sterile examination media must be used. - The examination must maintain the integrity of the original media.
Printouts, copies of data and exhibits resulting from the examination must be properly marked, controlled and transmitted.
Searching and Seizing the Digital Evidence
9. The first successful step in searching and seizing the digital evidence is to know and understand
well what will be searched and seized. Secondly, investigators and law enforcement officers doing
these steps must have a warrant to search, which covers the location and description of the
system.Thirdly, the digital evidence shall be well seized when it is located.
A: Items that can be searched and/or seized
■
When speaking about searching or seizing computers, we usually do not refer to the CPU
(Central Processing Unit) only; computer is useless without the devices that allow for input (e.g.,
the Keyboard or the mouse) and output (e.g., a monitor or printer) of Information. These devices are
known as "peripherals,"' and they are an integral part of any "computer system. It means "[t]he
input/output units and auxiliary storage units of a computer system, attached by cables to the central
processing unit. [2]
Thus, searching and seizing the Digital Evidence in computers will often refer to the hardware,
software, and data contained in the main unit. Printers, external modems (attached by cable to the
main unit), monitors, and other external attachments will be referred to collectively as "peripherals"
and discussed individually where appropriate. When we are referring to both the computer and all
attached peripherals as one huge package, we will use the term "computer system." "Information"
refers to all the information on a computer system, including both software applications and data.[3]
Software is the term used to describe all of the programs we use when we employ the computer for some task; it is usually delivered to us on either one or more small magnetic disks or CD-ROMs.There are two basic categories of software: system software and application software. System software consists of the programs that manage our operation of the computer; while application software consists of the programs that allow us to work on higher-level tasks. They all compose the evidence searched.
12. Hardware searches are not conceptually difficult. Like searching for weapons, the items sought
are tangible. They occupy physical space and can be moved in familiar ways. Searches for data and
software are far more complex. For purposes of clarity, these types of searches must be examined in
two distinct groups: (1) searches where the information sought is on the computer at the search
193
Компьютерная преступность и кибертерроризм 2004/2
scene and (2) searches where the information sought has been stored off-site, and the computer at the search scene is used to access this off-site location.
In some cases, the distinction is insignificant, for example when the computer is part of a
network. Although "property" is defined in Federal Rule of Criminal Procedure 41(h) to include
"documents, books, papers and other tangible objects," (emphasis added), courts have held that
intangible property such as information may be seized. In United States v. Villegas, 899 F.2d 1324,
1334-35 (2d Cir.), cert, denied, 498 U.S. 991 (1990), the Second Circuit noted that warrants had
been upheld for intangible property such as telephone numbers called from a given phone line and
recorded by a pen register, conversations overheard by means of a microphone touching a heating
duct, the movement of property as tracked by location-monitoring beepers, and images seized with
video cameras and telescopes. The court in Villegas upheld a warrant which authorized agents to
search a cocaine factory and covertly take photographs without authorizing the seizure of any
tangible objects.
When investigators are dealing with smaller networks, desktops PC and workstations an attempt
to justify the taking of the whole system should be based on the following criteria. When an entire
organization is pervasively involved in an ongoing criminal scheme, with little legitimate business,
(in non-essential services) and evidence of the crime is clearly present throughout the network, an
entire system seizure might be proper.
In small desktop situations, investigators should seize the whole system, after requesting to do so in the affidavit. Investigators seizing whole systems should justified it by wording their affidavits in such a way so as to refer to the computer as a "system", dependant on set configurations to preserve "best evidence" in a state of original configuration. This can and often does include peripherals, components, manuals, and software.
In addition to the above, investigators should make every effort to lessen the inconvenience of an on-site search. Some estimates of manual data search and analyses are 1 megabyte for every lhour of investigation work. Based on this equation, a 1-Gigabyte hard drive can take up to 1000 hours to fully examine. This equation assumes that each piece of data is decrypted, decoded, compiled, read, interpreted and printed out.
B: Having a search Warrant
15. As mentioned above, there are some principals that govern searching and seizing the digital
evidence, we will be presenting an overview on the U.S. Constitution and other federal laws, as this
will help in understanding the general theories governing this subject:
"The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants[4] shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized".
16. The Fourth Amendment is applicable when a "search" and a "seizure," are occurring typically in
a criminal case, with a subsequent attempt to use judicially what was seized. Whether there was a
search and seizure within the meaning of the Amendment, whether a complainant's interests were
constitutionally infringed, will often turn upon consideration of his interest and whether it was
officially abused. Its restrictions apply only to agents of the government such as the public
employees, the public officials, and the police officers. A private party cannot violate a suspect's
Fourth Amendment rights.
194
Компьютерная преступность и кибертсрроризм 2004/2
17. In order to search a specific location, a search warrant issued by a "judicial officer" or a
"magistrate' should be obtained. Warrants to search computers which contain privileged information
must meet the same requirements as warrants to search for and seize paper documents under similar
conditions; that is, the warrant should be narrowly drawn to include only the data pertinent to the
investigation[5], and that data should be described as specifically as possible. Since a broad search
of computers used by confidential fiduciaries (e.g., attorneys or physicians) is likely to uncover
personal information about individuals who are unconnected with the investigation, it is important
to instruct any assisting forensic computer experts not to examine files about uninvolved third
parties any more than absolutely necessary to locate and seize the information described in the
warrant. The search warrant may normally authorize the seizure of a) contraband, b) Anything
which is the fruit of or has been used in the commission of any crime.
Anything other than documents which may constitute evidence of any crime.
Documents which may constitute evidence of any crime.
C: Searching without a search Warrant
18. As already explained, a search without a warrant is per se invalid. However, there are some well
defined and well delineated exceptions to that rule. These exceptions as established by statues
include :
(1) Consent Search
A consent search is a voluntary permission of the party who is being searched, or controlled to
the officers. In this case, they search using this consent, even if they don't have a reason to believe
that an offense has been committed. The consent should be always being voluntary; if it is obtained
under threat, duress, or any shape of intimidation, it is considered non voluntary.
Courts have held that the person, who gives the consent, must have the authority to do. For
example, an employer can give the officers consent to search employees' computer, parents for their
young minors, spouses, On the other hand, a landlord can't give consent to search a tenant's home.
The courts normally consider the person giving this consent, and its scope.
(2) Exigent Circumstances [6]
- ... ■ •
21. The second situation where searches can be done, without a warrant is the case of exigent
circumstances. Under the "exigent circumstances" exception to the warrant requirement, agents can
search without a warrant if the circumstances would cause a reasonable person to believe it to be
necessary when destruction of evidence is imminent, a warrantless seizure of that evidence is
justified if there is probable cause to believe that the item seized constitutes evidence of criminal
activity. If a target's screen is displaying evidence which agents reasonably believe to be in danger,
the "exigent circumstances" doctrine would justify downloading the information before obtaining a
warrant. For example, agents may know that the incriminating data is not actually stored on the
suspect's machine, but is only temporarily on line from a second network storage site in another
building, city, or district. Thus, even if the agents could secure the target's computer in front of
them, someone could still electronically damage or destroy the data—either from the second
computer where it is stored or from a third, unknown site. Of course, when agents know they must
search and seize data from two or more computers on a wide-area network, they should, if possible,
simultaneously execute separate search warrants.
22. The court always regards the exigent circumstances; some courts have ruled that exigent
195
Компьютерная преступность и кибертерроризм ; 2004/2
circumstances did not exist if the law enforcement officers had time to obtain a warrant by telephone. United States v. Patino, 830 F.2d 1413, 1416 (7th Cir. 1987) (warrantless search not justified when officer had adequate opportunity to obtain telephone warrant during 30-minute wait for backup assistance; not permissible for agents to wait for exigency and then exploit it), cert. denied, 490 U.S. 1069(1989).
(3) Plain-View search
23. In this exception, the law enforcement officer is in a place, where he/she can observe the
evidence in plain view. This normally happen, when the officers search for a particular evidence,
and they come across a different one. To rely on this exception, the officer must be in a lawful
position to observe the evidence, and its incriminating character must be immediately apparent
(4) Border Searches
24. Law enforcement officers may search computers without a warrant and without probable cause
as a condition of crossing the border or its "functional equivalent. When determining the contents of
international baggage and incoming international mail at the border
Border searches or international mail searches of diskettes, tapes, computer hard drives (such as laptops carried by international travelers), or other media should fall under the same rules which apply to incoming persons, documents, and international mail. On the other hand, this exception will not be applied to data transmitted electronically, or by other non-physical methods into the United States from other countries.
D: Seizure of Digital Evidence
The way in which we can seize the digital evidence differs from hardware to software.
Investigators used to print the files and recopy them on floppy disks, or to seize all computer
equipments and access the stored data from another location. Hardware searches are not
conceptually difficult; they occupy physical space and can be moved in familiar ways. One of the
best ways used nowadays is making a complete exact bitstream copy of the hard disk before
shutting down the computer. These copies will be used to reconstruct the suspect disk and analyze it
later.
Searches for data and software are far more complex, specially to be accepted by the court.
Before the Supreme Court's rejection of the "mere evidence" rule in Warden v. Hayden, 387 U.S.
294, 300-301 (1967), courts were inconsistent in ruling whether records that helped to connect the
criminal to the offense were instrumentalities of crime (and thus seizable), or were instead merely
evidence of crime (and thus not seizable). Indeed, several courts have concluded that, when it
comes to documents, it is impossible to separate the two categories, stating that the distinction
between mere evidence and instrumentalities is wholly irrational, since, depending on the
circumstances, the same 'papers and effects' may be 'mere evidence' in one case and 'instrumentality'
in another.
Information could be found printed out on copies, this is very valuable as they display an earlier
version of data that has since been altered or deleted, and this negates the suspects' defense. Also
they may lead the investigators to a particular printer which in turn may be seizable.bi some
conditions, investigators, and law enforcement officers may find notes in manuals, on the
equipment, near by the computer. These also are considered evidence accepted by the courts. They
may lead to beak a password finding a directory, operate software...etc
■
196
Компьютерная преступность и кибертерроризм 2004/2
But since a broad search of computers used by confidential fiduciaries (e.g., attorneys or
physicians) is likely to uncover personal information about individuals who are unconnected with
the investigation, it is important to instruct any assisting forensic computer experts not to examine
files about uninvolved third parties any more than absolutely necessary to locate and seize the
information described in the warrant. Federal law recognizes some, but not all, of the common law
testimonial privileges. Fed. R. Evid. 501. Indeed, Congress has recognized a "special concern for
privacy interests in cases in which a search or seizure for documents would intrude upon a known
confidential relationship such as that which may exist between clergyman and parishioner; lawyer
and client; or doctor and patient." 42 U.S.С § 2000aa-ll(l) (3). At Congress's direction, see 42
U.S.С § 2000aa-l l(a), the Attorney General has issued guidelines for federal officers who want to
obtain documentary materials from disinterested third parties. 42 U.S.C. § 2000aa-ll. Under these
rules, they should not use a search warrant to obtain documentary materials believed to be in the
private possession of a disinterested third party physician, lawyer, or clergyman where the material
sought or likely to be reviewed during the execution of the warrant contains confidential
information on patients, clients, or parishioners. 28 C.F.R. § 59.4(b).
Also, the Congress has expressed a special concern for publishers and journalists in the Privacy
Protection Act, 42 U.S.C. 2000aa. Generally speaking, agents may not search for or seize any "work
product materials" (defined by statute) from someone "reasonably believed to have a purpose to
disseminate to the public a newspaper, book, broadcast, or other similar form of. public
communication." 42 U.S.C. § 2000aa (a). In addition, as an even broader proposition, government
officers cannot search for or seize "documentary materials" (also defined) from someone who
possesses them in connection with a purpose to similarly publish. 42 U.S.C. § 2000aa (b). These
protections do not apply to contraband, fruits of a crime, or things otherwise criminally possessed.
42 U.S.C. § 2000aa-7.
United States Patriot Act and the Digital Evidence
On October 26, 2001, President Bush signed the USA Patriot Act (USАРА) into law. With this
law we have given sweeping new powers to both domestic law enforcement and international
intelligence agencies and have eliminated the checks and balances that previously gave courts the
opportunity to ensure that these powers were not abused. Most of these checks and balances were
put into place after previous misuse of surveillance powers by these agencies, including the
revelation in 1974 that the FBI and foreign intelligence agencies had spied on over 10,000 U.S.
citizens, including Martin Luther King.
The passage of this act resulted in many changes concerning information systems and digital
evidence:
The explanation of search warrant concerning e-mail communications, the warrant can apply even
to records that are not in the district of the issuing court.
The authority of federal courts is expanded, to allow issuance of pen register 'trap and trace devices' anywhere in the United States.
Nowadays, records could be subpoenaed and obtained by search warrant from Internet services
provided by cable companies, without even notifying the customer that the government wants to
examine his records.
Investigators can obtain a voicemail evidence, to seize and listen to unopened voicemail messages
197
Компьютерная преступность и кибертерроризм 2004/2
stored with a third party provider, under a search warrant, rather than following previously difficult steps and process under a wiretap order.
Penalties and sentences have been increased for offences involving damages and hacking
computers. The scope of the law is now applied to computers that are even located in other
countries, if US interstate or foreign commerce is affected.
Investigators nowadays could subpoena certain records such as credit card numbers, and other
payment information, addresses, and their session times and connection duration of customers from
ISPs.
- Investigators are allowed to intercept voice wire communications as evidence in cases.
References
[1] D.TITTEL: Scene of the Cybercrime, Syngress (2002).
[2] The Role of Evidence in a Trial: http://www.slider.com/.
[3] Computer Forensics Defined : http://www.forensics-intl.com/.
[4] DOJ Computer Crime and Intellectual Property Section: http://www.cybercrime.gov.
[5] International Journal of Digital Evidence: http://www.ijde.org/.
[6] Federal Rules of Evidence: http://www.law.cornell.edu/.
[7] The International Association of Computer Investigation: http://www.cops.org/.
[8] High Technology Crime Investigation Association: http://htcia.org.
[9] University of Dayton: cybercrimes http.7/www. cybercrimes, net/.
[10] Computer Forensics: http://www.computerforensics.com.
■ Мохаммед Чоки
ЦИФРОВЫЕ ДОКАЗАТЕЛЬСТВА В ИНФОРМАЦИОННУЮ ЭРУ
Введение
Доказательство - основа любого уголовного дела, включая киберпреступления. Методы
обыска, исследования, сбора и хранения доказательств могут отличаться у разных
следователей, однако все эти процедуры совершаются согласно действующему
законодательству. Ошибки при сборе, разработке или представлении доказательств могут
иметь серьезные последствия в суде.
Доказательство может определяться как «нечто устанавливающее или опровергающее
факт. Оно может включать документы, свидетельские показания и другие объекты». Его
можно классифицировать по трем категориям:
вещественное доказательство - состоит из материальных объектов;
свидетельства - свидетельские показания свидетеля можно дать в суде, оно базировалось
на личном наблюдении или опыте;
обстоятельство - базируется на замечании или наблюдении фактов (поддерживает
заключение, но не доказывает его).
3. При рассмотрении в суде уголовных дел обвинение должно доказать каждый элемент дела
безоговорочно. В последние годы проблемы обеспечения доказательств были несколько
упрощены введением более широких правил представления доказательств (т.е. оглашения).
В гражданских делах, согласно этих правил, стороны обязаны предоставлять друг другу
198
Компьютерная преступность и кибептерроризм 2004/2
доступ к свидетелям и некоторым доказательствам в суде. В уголовных делах, судья имеет право запросить предоставление документов; однако, в любом случае, обвинитель должен предоставить все смягчающие вину обстоятельства.
Экспертиза цифровых доказательств
4. Программы для исследования компьютерных доказательств начали разрабатывать еще в
1984 году. Чтобы должным образом соответствовать повышающимся требованиям
следователей и работников прокуратуры, ФБР основало Отдел Компьютерного Анализа и
Реагирования (CART). Новый термин: "Компьютерная Экспертиза" был введен в 1991 году
на первом тренинге, проведенном международной Ассоциацией Компьютерных
Специалистов (1ACIS) в Портленде, штат Орегона. Посредством компьютерной экспертизы
данные из компьютерных носителей извлекаются таким образом, чтобы их можно было
использовать в суде в качестве доказательств.
Компьютерная экспертиза в литературе описывается также как вскрытие жесткого диска, в силу того, что нужны специализированные инструменты программного обеспечения и методы, способные анализировать различные уровни, на которых хранятся компьютерные данные. Цифровая судебная экспертиза - это использование полученных путем научных исследований и подтвержденных на практике методов сохранения, сбора, идентификации, анализа, интерпретации, документирования и представления цифровых доказательств, полученных из цифровых источников, для установления обстоятельств совершения преступления и получения данных, доказывающих его совершение.
Целью компьютерной судебной экспертизы является сбор, сохранение, изъятие, анализ и
представление компьютерных доказательств. Эти экспертизы включают изучение цифровых
носителей информации и любых других электронных носителей, используемых для хранения
данных (дискеты, жесткие диски, ленты резервного копирования, CD-ROM). Специалист по
экспертизе использует специализированное программное обеспечение, обычно недоступное
широкой публике. Экспертиза позволяет обнаруживать данные, которые находятся в
компьютерной системе, или восстанавливать удаленную/стертую, зашифрованную или
поврежденную информацию в файлах, а также восстанавливать пароли, обеспечивающие
доступ к информации. Таким образом, эти доказательства могут быть видимыми, если они
были сохранены в файлах на дисках, или невидимыми, когда для их обнаружения требуется
специальное программное обеспечение. Вся информация, обнаруженная в процессе
экспертизы, может быть использована, как в уголовном, так и в гражданском слушании.
Что касается компьютерных преступлений, доказательства классифицируются по трем
основным категории, согласно стандартам SWGDE/IOCE:
цифровое доказательство, когда информация сохранена или передана в
электронной или магнитной форме;
материальные предметы, когда информация в цифровом виде сохранена или
передана через физические носители;
объекты данных, где информация связана с физическими материальными предметами.
Допустимость цифровых доказательств
.
7. Для признания доказательств допустимыми в суде выдвигаются следующие требования:
199
Компьютерная преступность и кибевтерроризм 2004/2
установление подлинности;
правило лучших доказательств;
исключения к принципу неприемлемости показаний, основанных на слухах.
Установление подлинности означает представить истинную копию оригинала; лучшее доказательство означает представить оригинал, и допустимые исключения - это признание вины, бизнес или официальные документы. Установление подлинности, кажется, наиболее широко используемое правило, но эксперты не определились насчет наиболее существенного или наиболее правильного элемента подлинности на практике. Одни говорят, что это документирование сделанного; другие - сохранение (или целостность оригинала); некоторые - подлинность - доказательство, подтверждение слов. Аргументы можно привести в пользу каждого из этих определений. Кроме того, американские суды требуют законности доказательств; они должны быть получены в соответствии с правилами, регулирующими обыск и арест, включая правила, отраженные в законах США и других государств. В некоторых странах законодательство устанавливает специальные правила предоставления суду цифровых доказательств. Законодательство США (ст.401) определяет доказательство как «возможность существования любого факта, имеющего значение в определении действия, более или менее вероятного, нежели оно было бы без доказательств».
Хотя в статье 402 федерального закона о доказательствах говорится, что «все значимые доказательства допустимы, кроме указанных в Конституции Соединенных Штатов, Постановлении конгресса в тех или иных статьях, предписанных Верховным Судом в соответствии с установленными законом полномочиями. Незначимые доказательства не допустимы.
8. Ввиду того, что правила допущения к суду цифровых доказательств еще не до конца
определены, есть некоторые требования и рекомендации, которых должны придерживаться
следователи. Чтобы гарантировать достоверность экспертизы, IACIS предъявляет ряд
требований к ее проведению:
для экспертизы должны использоваться чистые носители;
экспертиза не должна повредить целостность оригинальных носителей;
распечатки, копии данных и вещественные доказательства, обнаруженные во время
экспертизы, должны правильно маркироваться, храниться и передаваться.
Обыск и Арест Цифровых Доказательств
9. 1. Для успешного проведения обыска и изъятия цифровых доказательства следователи и
сотрудники правоохранительных органов должны знать, что нужно искать и арестовывать.
2. При проведении этих следственных действий они должны иметь ордер на обыск,
который указывает местоположение и описание системы.
3. В-третьих, правильное и успешное изъятие цифрового доказательства зависит от того,
насколько точно установлено его расположение.
■
А: Объекты, подлежащие обыску и/или аресту
10. Говоря о процедуре обыска или изъятия компьютеров, мы имеем в виду не только
центральный процессор (системный блок); компьютер бесполезен без устройств ввода
(клавиатура или мышь) и вывода (монитор или принтер) информации. Эти устройства
известны как «периферия» и они - неотъемлемая часть любой компьютерной системы. Это
200
Компьютерная преступность и кибертерроризм 2004/2
означает устройства ввода/вывода и вспомогательные устройства хранения информации, присоединенные кабелями к системному блоку.
11. Таким образом, подразумевая обыск и арест цифровых доказательств в компьютерах, мы
будем часто обращаться к аппаратным средствам, программному обеспечению и данным,
содержащимся в системном блоке. Принтеры, внешние модемы (присоединенные кабелями к
системному блоку), мониторы и другие внешние устройства будут упоминаться все вместе
как «периферия» и будут индивидуально описываться там, где в этом есть необходимость.
Когда мы имеем в виду и компьютер, и всю периферию, мы будем использовать термин
«компьютерная система». «Информация» - вся информация, находящаяся в компьютерной
системе, включая программное обеспечение и данные.
Программное обеспечение - все программы, задействованные в компьютере. ПО обычно поставляется на одной или более дискетах или CD-ROM. Есть две основных категории программного обеспечения: системное программное обеспечение и прикладное программное обеспечение. Системное программное обеспечение состоит из программ, управляющих работой компьютера; прикладное программное обеспечение состоит из программ, которые позволяют нам работать над задачами уровнем выше. Все они составляют искомое доказательство.
Обыск аппаратных средств ЭВМ не является концептуально трудной задачей. Подобно
обыска на предмет наличия оружия, разыскиваемые объекты материальны. Они занимают
физическое место и могут быть перемещены известными способами. Намного сложнее
исследования данных и программного обеспечения. Эти типы обысков должны быть
исследованы в двух группах: (1) обыски, где разыскиваемая информация находится на
компьютере в месте обыска и (2) обыски, где разыскиваемая информация была сохранена на
стороне, и компьютер на месте обыска используется для доступа к этому хранилищу данных
на стороне.
В некоторых случаях различие является незначительным, например, когда компьютер
является частью сети. Хотя, в соответствии с Федеральными правилами уголовного процесса
41(h), понятие «собственность» включает «документы, книги, бумаги и другие материальные
объекты», суды признавали, что нематериальное имущество, типа информации, также может
быть изъятым. В одном из окружных судов Соединенных Штатов в качестве
нематериального имущества ордера на обыск и арест рассматривали номера телефонов,
вызванных из данной телефонной линии, и разговоры, записанные приборами для
прослушивания; беседы, подслушанные посредством установленного в помещении
микрофона; перемещение собственности, отслеженное устройствами звуковой сигнализации,
контролирующими местоположение; снятые видеокамерами и телескопами изображения.
Суд выписал ордер, который уполномочил агентов обыскать фабрику по производству
кокаина и тайно изымать фотографии, не конфискуя материальные объекты.
Если следователи имеют дело с небольшими сетями, настольными компьютерами и
рабочими станциями, арест всей системы может быть оправданным с юридической точки
зрения в случае, когда вся организация вовлечена в действующую преступную схему с
небольшой частью законного бизнеса (предоставление несущественных услуг), и
доказательство преступления явно присутствует во всей сети.
Изымая всю компьютерную систему, следователи должны приложить усилия, чтобы сохранить «лучшее доказательство» в состоянии первоначальной конфигурации.
:•201
Компьютерная преступность и кибертерроризм 2004/2
В дополнение к вышесказанному, следователи должны учитывать, что скорость ручного обыска и исследования данных составляет - 1 мегабайт за час исследования. Если исходить из такой оценки, то накопитель на жестком диске на 1 гигабайт может потребовать до 1000 часов для полного исследования. Из этого следует, что каждая часть данных может или должна быть расшифрована, декодирована, скомпилирована, интерпретируема и распечатана.
В: Наличие ордера на обыск
15. Конституция США и федеральные законы предъявляют следующие требования к
проведению таких следственных действий, как обыск и арест цифровых доказательств:
"Право народа на охрану личности, жилища, документов и имущества от необоснованных обысков и арестов не должно нарушаться. Ни один ордер не должен выдаваться иначе, как при наличии достаточного основания, подтвержденного присягой или торжественным заявлением; при этом ордер должен содержать подробное описание места, подлежащего обыску, лиц или предметов, подлежащих аресту" - (Четвертая Поправка к Конституции США).
16. Права, предоставленные данной Поправкой, могут быть нарушены только
соответствующими государственными служащими и правоохранительными органами в ходе
расследования уголовных дел. В рамках производства по гражданским делам права,
предусмотренные Четвертой Поправкой, не могут быть нарушены. Вопрос законности
проведенных действий будет постоянно присутствовать в ходе судебных слушаний.
17. Прежде, чем приступить к процедуре обыска, следует получить ордер на его проведение.
Ордеры на обыск компьютеров, содержащих нужную информацию, должны соответствовать
тем же требованиям, что и ордеры на обыск и арест бумажных документов при подобных
условиях; то есть, в ордере подробно указываются данные, подлежащие исследованию,
насколько конкретно, настолько это возможно. Поскольку широкий обыск компьютеров,
находящихся в пользовании доверенных лиц (например, поверенные или врачи), приведет к
доступу к конфиденциальной информации о людях, не связанных с исследованием, важно
инструктировать судебных компьютерных экспертов по возможности не раскрывать файлы о
не вовлеченных третьих лицах. Ордер на обыск обычно может разрешать арест: а)
контрабанды, Ь) чего-либо, что является продуктом преступления или использовалось в его
совершении; с) чего-либо другого, нежели документы, которые могут составить
доказательство любого преступления; d) документы, которые могут составить
доказательство любого преступления...
С: Обыск без ордера
18. Как уже разъяснялось выше, обыск без ордера является незаконным. Однако есть
некоторые четко обозначенные исключения из этого правила. В соответствии с законом, эти
исключения включают:
(1) Обыск с согласия
Обыск с согласия - обыскиваемая сторона дает добровольное разрешение работникам
правоохранительных органов на обыск. В этом случае последние проводят обыск по данному
согласию, даже если они не располагают сведениями о совершении преступления. Согласие
должно всегда быть добровольным; если оно получено под угрозой, принуждением или
любой другой формой запугивания, оно считает недобровольным.
Суды считают, что человек, дающий согласие, должен иметь на это полномочия.
Например, руководитель может дать чиновникам согласие на обыск компьютера служащих,
202
Компьютерная преступность н кибертерроризм 2004/2
родители - их молодых родственников, супругов. С другой стороны, владелец не может дать согласие на обыск дома арендатора. Суды обычно рассматривают человека, дающего согласие, и его возможности.
(2) Неотложные обстоятельства
Обыск может проводиться без ордера в случае неотложных обстоятельств. Агенты
могут проводить обыск без ордера, если обстоятельства вынуждают полагать, что это будет
необходимым; когда неизбежно разрушение доказательств; обыск без ордера также
оправдан, при наличии достоверной причины полагать, что обыскиваемый объект составляет
доказательство преступной деятельности. Если экран обыскиваемого компьютера
показывает доказательство, и агенты разумно полагают, что оно в опасности, доктрина
"неотложных обстоятельств" оправдала бы загрузку информации до получения ордера.
Например, агенты могут знать, что инкриминирующие данные фактически не сохранены на
машине подозреваемого, но временно хранятся на линии от второго участка сети в другом
здании, городе или районе. Таким образом, даже если агенты могли бы обезопасить
доказательства на компьютере перед ними, то кто-то мог бы повредить или уничтожить
данные со второго компьютера, где они сохранены. Конечно, если агентам известно, что они
должны обыскать и арестовать данные из двух или более компьютеров из большей сети, они
должны по возможности одновременно выполнить разные ордеры на обыск в этих местах.
Суд всегда оценивает неотложные обстоятельства. Были случаи, когда суды отвергали
наличие неотложных обстоятельств, если сотрудники правоохранительных органов
располагали временем на получение ордера по телефону. В США (Патино, 7 округ) обыск
без ордера не был оправдан, когда офицер имел возможность получить телефонный ордер в
течение 30-минутного ожидания команды поддержки (для агентов недопустимо ждать
острой необходимости и затем использовать ее, доказательство не допущено, США 1989
год).
(3) Обыск открытого вида
23. При этом исключении офицер находится на месте, с которого может наблюдать
доказательство в поле видимости. Это обычно случается, когда ищут специфическое
доказательство и при этом натолкнулись на другое. Чтобы ссылаться на это исключение,
офицер должен законно наблюдать доказательство и его инкриминирующий характер
должен быть непременно очевиден.
(4) Таможенные исследования
■
24. Представители правоохранительных органов могут обыскать компьютеры без ордера и
без вероятной причины при условии пересечения границы или ее функционального
эквивалента; при определении содержания международного багажа и поступающей
международной почты на границе. Пограничные исследования или исследования
международной почты, содержащей дискеты, пленки, компьютерные накопители на жестких
дисках, ноутбуки, которые везут международные путешественники, или другие носители
должны подпадать под те же самые правила, которые относятся к въезжающим людям,
поступающим документам и международной почте. С другой стороны, это исключение не
будет применено к данным, переданным с помощью электроники, или другими
нефизическими методами в Соединенные Штаты из других стран.
Компьютерная преступность и кибертерроризм 2004/2
D: Арест цифровых доказательств
Способы изъятия цифровых доказательств отличаются применительно к аппаратным
средствам ЭВМ и к программному обеспечению. Следователи обычно печатали файлы и
копировали их на дискеты или изымали все компьютерное оборудование и получали доступ
к хранящимся данным из другого местоположения. Экспертиза аппаратных средств ЭВМ
концептуально не составляет трудности; они занимают физическое место и могут быть
перемещены известными способами. Один из лучших способов среди тех, которые
используются в настоящее время, делает полную точную копию данных жесткого диска
перед выключением компьютера. В дальнейшем эти копии используются для восстановления
диска подозреваемого и его исследования.
Экспертиза данных и программного обеспечения намного сложнее. Прежде, чем
Верховный Суд отклонил правило «простого доказательств» (Хэйден, США, 1967), суды
были непоследовательны в своем решении относительно того, были ли данные,
указывающие на связь преступника с нарушением, инструментами преступления (и таким
образом изымаемыми) или просто доказательством преступления (и таким образом не
изымаемыми). Действительно, несколько судов заключили, что, когда дело касается
документов, невозможно отделить эти две категории, заявляя, что различие между простым
доказательством и инструментами преступления является полностью иррациональным, с тех
пор, в зависимости от обстоятельств, те же самые «документы и имущество» могут быть
«простым доказательством» в одном случае и инструментом в другом.
27. Информация могла быть найдена распечатанной на копиях. Это очень ценно, поскольку
они показывают более раннюю версию данных, которая была с тех пор изменена или
удалена. Также они могут вывести следователей на специфический принтер, который, в свою
очередь, может быть изымаемым. Иногда работники правоохранительных органов могут
обнаружить записи в руководствах, на оборудовании, поблизости компьютера. Это также
считается доказательством, принимаемым судами. Они могут вести к установлению пароля,
нахождению каталога, использованию программного обеспечения и т.д.
В случае тщательного обыска компьютеров, используемых конфиденциальными
доверенными лицами (например, поверенные или врачи), вероятно, офицеры раскроют
личную информацию о лицах, не связанных с расследованием. Важно инструктировать
судебных компьютерных экспертов не исследовать файлы о не вовлеченных третьих лицах
настолько, насколько это необходимо, с тем, чтобы определить местонахождение
информации или изъять информацию, описанную в ордере. Федеральный закон признает
некоторые, но не все, привилегии свидетельства общего права. Действительно, Конгресс
признал «особое беспокойство по поводу секретности в делах, в которых обыск или арест
документов затронули бы известные конфиденциальные отношения, которые могут
существовать, например, между священнослужителем и прихожанином; адвокатом и
клиентом; или доктором и пациентом (см. 42 U.S.С. § 2000аа-11)». В директиве Конгресса
Генеральный прокурор выпустил руководство для федеральных офицеров, которые хотят
получить документальные материалы от незаинтересованных третьих лиц (см. 42 U.S.С. §
2000аа-11). В соответствии с этим руководством, они не должны использовать ордер на
обыск, чтобы получить документальные материалы, находящиеся в частном владении врача,
адвоката или священнослужителя незаинтересованного третьего лица, где разыскиваемый
или похожий материал может быть просмотрен во время выполнения ордера и содержит
конфиденциальную информацию относительно пациентов, клиентов, или прихожан (28
C.F.R. § 59.4 (Ь).
Privacy Protection Act (гарантирующий конфиденциальность информации) (42 U.S.C.
2000аа) особое внимание уделено правам издателей и журналистов. Спецслужбы не могут
изымать материалы (определенные в соответствии с законом), полученные в процессе
204
Компьютерная преступность и кибертерроризм 2004/2
выполнения ими профессиональной деятельности, в дальнейшем предназначенные для публикации в СМИ (42 U.S.С. § 2000аа (а). Кроме того, государственные служащие не могут обыскивать или изымать «документальные материалы» (также определенные законом) у кого-либо, кто обладает ими с целью дальнейшего оглашения (42 U.S.С. § 2000аа (Ъ). Эти поправки не распространяются на материалы, относящиеся к контрабанде, предметам преступной деятельности и незаконного хранения (42 U.S.С. § 2000аа-7).
Антитеррористический Акт Соединенных Штатов и Цифровое доказательство
26 октября 2001 года Президент США подписал Антитеррористический Акт 2001
(USAPA). Этим законом предоставлены новые широкие полномочия, как внутренним
правоохранительным органам, так и международным спецслужбам.
С принятием этого Акта внесены изменения, касающиеся информационных систем и
цифровых доказательств:
- ордер на обыск электронной почты может примениться даже к записям, которые
находятся не в районе суда, слушающего дело;
расширены полномочия федеральных судов: разрешается использовать автоматические регистраторы телефонных звонков и прослеживать устройства в Соединенных Штатах;
в настоящее время данные могут быть предоставлены в суде и получены в
соответствии с ордером на обыск у поставщиков услуг Интернет без уведомления
клиента;
следователи могут получить голосовую почту в качестве доказательства, арестовать и
слушать нераскрытые сообщения голосовой почты, сохраненные поставщиком услуг
третьего лица, согласно ордеру на обыск, вместо ранее используемого процесса
согласно ордеру на прослушивание телефонных разговоров;
- увеличены штрафы и сроки для нарушений, влекущих повреждение и взлом
компьютерных систем. Закон действует даже в отношении компьютеров,
расположенных в других странах, если затрагиваются интересы американской
коммерции между штатами или внешней торговли;
- следователи могут предоставить суду данные типа номеров кредитной карточки и
другой информации о платежах, адресах и их времени и продолжительности связи
клиентов поставщиков Интернет-услуг;
- исследователям разрешается перехватывать голосовые переговоры в качестве
доказательств по делам.
205
Компьютерная преступность и кибертерроризм 2004/2
«все книги «к разделу «содержание Глав: 8 Главы: < 2. 3. 4. 5. 6. 7. 8.