Особливості призначення та проведення комп'ютерно-технічної експертизи

Розвиток і удосконалювання інформаційних технологій, розширення виробництва технічних засобів і сфери застосування комп'ютерної техніки, доступність подібних пристроїв породили новий вид суспільно небезпечних діянь, у яких неправомірно використовується комп'ютерна інформація або вона сама стає об'єктом зазіхання. Засоби комп'ютерної техніки (ЗКТ) усе частіше використовуються як знаряддя здійснення злочинів, є сховищем кримінально-релевантної інформації, об'єктом зазіхання і т.д. Спектр злочинів, елементом здійснення яких є ЗКТ, включає новий вид «комп'ютерних злочинів», а також традиційні, зв'язані з розкраданнями, підробкою документів, паперових грошей й цінних паперів, фіктивним підприємництвом, ухилянням від сплати податків і ін. Аналіз слідчої практики свідчить, що у процесі розслідування зазначених злочинів існує постійна необхідність використання спеціальних знань у сфері комп'ютерної техніки й інформаційних технологій. Процесуальне відображення вони знаходять у формі залучення спеціаліста при проведенні слідчих дій, а також проведення судової експертизи.

Судова експертиза, об'єктом дослідження якої є ЗКТ, не має сталої назви, але найбільш правильним, на нашу думку, було б її іменувати комп'ютерно-технічною експертизою (КТЕ), підвидами якої є експертиза комп'ютерних засобів, даних і програмного забезпечення [1, с.173-182]. Це найменування в узагальненому вигляді відображає об'єкти дослідження, стосовно кожного з яких можуть бути поставлені питання діагностичного чи ідентифікаційного характеру. Оскільки спеціальні знання експертів, що проводять КТЕ, належать до сфери технічних, то логічно включити дану експертизу до класу інженерно-технічних. Дискусія стосовно предмета та об'єктів КТЕ природна для нового виду (роду) експертиз, що формуються, і свідчить про те, що вона знаходиться в стадії становлення, коли уточнюються спектр розв'язуваних питань, коло досліджуваних об'єктів, розробляються методики дослідження.

Судово-експертне дослідження є етапом у процесі доказування у кримінальній справі. Проведенню експертизи передують слідчі дії, спрямовані на пошук носіїв доказової інформації, що звичайно виступають у виді речових доказів. Процедура збирання і перевірки доказів повинна здійснюватися строго відповідно до кримінально-процесуального закону для того, щоб фактичні дані, отримані в ході проведення слідчих дій, а в наступному й експертизи, могли використовуватися як докази в справі. Розглянемо в цьому аспекті такі слідчі дії, спрямовані на збирання об'єктів для проведення КТЕ, як огляд місця події, обшук і виїмка.

Проведення слідчих дій на місці, де знаходяться ЗКТ, припускає ретельну підготовку. Тактика майбутнього і наступних слідчих дій, організаційних заходів залежить від кількості ЗКТ; їх технічних характеристик; співпідпорядкованості; підключення їх до телефонної чи телетайпної мережі; наявності локальної чи глобальної мережі в приміщенні; технічних і програмних засобів, що перешкоджають одержанню інформації чи розрахованих на її знищення при спробі несанкціонованого доступу і т.д. Усі криміналісти, що вивчають цю проблему, підкреслюють необхідність залучення до проведення слідчих дій фахівців у сфері комп'ютерної техніки і (або) програмування.

У навчальній і методичній літературі досить докладно описуються дії фахівця з виявленими ЗКТ на робочому і заключному етапах оглядів, обшуків і виїмок. Цілком правильно вказується на необхідність надання допомоги слідчому при пошуку носіїв комп'ютерної інформації, правильному описі, вилученні й упакуванні ЗКТ і інших об'єктів. Разом з тим викликають категоричне заперечення рекомендації спеціалісту (слідчому) для тих слідчих ситуацій, коли на місці проведення слідчої дії виявлений працюючий комп'ютер. Автори докладно описують дії, що повинен здійснювати спеціаліст для пошуку комп'ютерної інформації, численні маніпуляції з включеними ЗКТ для визначення виду працюючої програми, пошуку і виявлення шуканої інформації, «схованих» файлів чи архівів, присутності вірусу в системі, відновлення знищеної інформації, читання електронної пошти, виводу даних на принтер і т.д. На завершальному етапі пропонується виявлену інформацію перекопіювати на заздалегідь підготовлені і привезені на місце огляду, обшуку, виїмки ЗКТ чи магнітні носії [2, с.367-368, с.405; 3, с.377-379; 4, с.132-133, с.147; 5, с.77-81]. Відзначені процедури називаються «обстеженням» [5, с.377] «попереднім дослідженням»

[2, с.367; 3, с.383] «експрес-аналізом» [4, с.132] комп'ютерній інформації шляхом перегляду вмісту ЗКТ. Відзначимо, що подібні дії зі ЗКТ на місці їхнього огляду допускаються й американськими криміналістами [6, с. 234]. Докладний перелік рекомендацій приведений з однією метою: обґрунтувати правомірність описаних дій і доказове значення отриманих результатів. Але чи узгоджуються ці рекомендації з загальними принципами збирання доказів? На нашу думку, ні.

Згідно з КПК України, однією з цілей огляду, обшуку і виїмки є виявлення матеріальних слідів злочину (у широкому смислі слова). У контексті розглянутої проблеми відзначені слідчі дії спрямовані на пошук предметів, що згодом можуть стати об'єктами КТЕ. У судовій експертології загальновизнаним вважається, що об'єктами експертного дослідження є матеріальні об'єкти, на які поширюється правовий режим. «Комп'ютерна інформація» визначається як відомості, знання, набір команд для використання чи керування ЕОМ [7, с.27]. Але така інформація невіддільна від матеріального носія. У цьому сенсі представляється невірним визначення мети слідчої дії, як виявлення, фіксація і вилучення комп'ютерної інформації [3, с.371]. Саме таке, неправильне, на наш погляд, трактування мети пошуку визначає обґрунтування необмеженого маніпулювання даними ЗКТ при проведенні слідчих дій. Тому вірніше визначити цю мету, як пошук матеріальних носіїв (можливих носіїв) комп'ютерної інформації, яка має значення для розслідування кримінальної справи. Таким носіями є комп'ютер, магнітні та оптичні диски, магнітні стрічки і т.д.

Відомо, що спеціаліст, беручи участь у проведенні слідчої дії згідно зі ст. 1281 КПК, надає допомогу слідчому у збиранні доказів, використовуючи для цього свої спеціальні знання і здійснюючи попередні дослідження. Останні є непроцесуальною формою використання спеціальних знань і проводяться способами, що забезпечують схоронність досліджуваного об'єкта з метою негайного одержання орієнтуючої інформації. Результатом дій спеціаліста можуть бути тільки наочно сприймані факти, що мають загальнодоступний, очевидний характер і зрозумілі всім учасникам слідчої дії, у тому числі понятим [8, с.22]. У зв'язку з цим робота з включеним комп'ютером, пошук інформації, її копіювання й інші дії спеціаліста в ході огляду, обшуку, виїмки не відповідають наведеним вимогам. По-перше, ці дії не носять очевидний характер і в зв'язку з цим слідчі протоколи не відповідають принципу допустимості доказів. По-друге, у ході «обстеження» у результаті втручання в ЗКТ виникають такі «сліди», що ніяк не зв'язані зі скоєним злочином, але можуть привести до необоротних змін даних. Ми солідарні з авторами, які у категоричній формі заперечують будь-які маніпуляції зі ЗКТ, за винятком коректного їх вимикання [9, с.157; 10, с.15-16].

У зв'язку з розглянутою проблемою виникають питання про те, яке доказове значення мають копії комп'ютерної інформації, отримані спеціалістом; до якого виду доказів вони можуть бути віднесені; чи є копії похідними речовими доказами. На нашу думку, неочевидність процедури копіювання і копійованої інформації, можливість навіть помилково чи з недосвідченості спеціаліста внести в копію зміни, відсутні в оригіналі, дають привід засумніватися в правомірності прилучення копій до справи як доказів.

Для усунення деяких з відзначених проблем у літературі висловлені наступні рекомендації. Особа, яка запрошується як понятий, а пізніше, можливо, допитана в суді, повинна бути обізнаною у комп'ютерній техніці для розуміння смислу слідчої дії [4, с.129]. Розглядаючи інститут понятих у цілому і відзначаючи, що вони не компетентні в питаннях, зв'язаних із проведенням слідчих дій, пропонується готувати і підбирати їх по типу інституту народних засідателів [11, с.350]. З цими пропозиціями важко погодитися, оскільки процесуальний обов'язок понятих – засвідчити, що в дійсності при проведенні слідчої дії все відбувалося так, як указано в протоколі. Для виконання цієї задачі не вимагаються які-небудь професійні знання, а освіта, спеціальність понятих не надають істотного впливу на ефективність розслідування. Від них не можна вимагати, щоб вони засвідчили факти, отримані засобами, сутність яких для них недоступна

[12, с.44-45]. Недоліки, допущені при зборі матеріалів для проведення КТЕ, породжують пропозиції про надання права експерту самостійно збирати додаткову інформацію для проведення експертного дослідження [13, с.141]. Але експерт вправі збирати будь-яку довідкову інформацію для вирішення поставленої задачі, однак матеріали, що безпосередньо стосуються розслідуваної справи, не можуть бути добуті експертом. Експерт не є суб'єктом доказування і не зобов'язаний збирати докази. Це виняткова прерогатива слідчого. Указана пропозиція викликає принципове заперечення, оскільки суперечить принципу поділу функцій учасників кримінального процесу.

Немає сумніву, що в ряді випадків існує необхідність проведення досліджень ЗКТ з метою пошуку комп'ютерної інформації, що знаходиться в них, і додання їй доказового значення без вичленовування ЗКТ із матеріального середовища, у якому вони перебувають. Це – слідча ситуація, коли комп'ютер включений і виконує яку-небудь програму; невідомі засоби захисту; комп'ютер знаходиться в мережі і необхідно виявити інформацію, що знаходиться в ній, і ін. На наш погляд, для вирішення цієї слідчої ситуації існує один вихід – призначення і проведення комп'ютерно-технічної експертизи на місці проведення слідчої дії.

Первісне проведення експертизи на місці огляду місця події розглядалося, як початковий етап дослідження – експертний огляд [14, с.39]. Згодом висувалася ідея проведення на місці події всього експертного дослідження, спрямованого на вивчення обстановки скоєного злочину в цілому, сукупності всіх розрізнених і різнорідних слідів [15, с.21]. Навпаки, проведення КТЕ на місці проведення слідчої дії обумовлено особливістю об'єкта огляду, необхідністю збереження в повному і незмінному вигляді всієї комп'ютерної інформації, що знаходиться в ЗКТ.

У розглянутій ситуації слідчий повинен на місці винести постанову про призначення КТЕ і спеціаліст може приступити до дослідження ЗКТ, але вже як експерт. Саме в цьому випадку можуть використовуватися заздалегідь підготовлені апаратні і програмні засоби, що рекомендуються іноді для використання слідчим. Призначена експертиза може бути одноособовою; комісійною, коли одночасному дослідженню необхідно піддати декілька ЗКТ; комплексною, якщо для її проведення залучаються, наприклад, програмісти різної спеціалізації. КТЕ може бути цілком проведена на місці слідчої дії, а також після коректного вимикання ЗКТ і при необхідності їхнього подальшого дослідження – у лабораторних умовах. У будь-якому випадку експертом повинні використовуватися методики, що зберігають первісну інформацію. Тому після подолання системи захисту, вирішення питань, зв'язаних з перебуванням ЗКТ на місці огляду, створюється повна, «побітна» копія вмісту вихідного носія, з якою проводяться подальші дослідження [16].

Існує ще одна особливість проведення КТЕ, що відрізняє її від інших видів судових експертиз. На жорсткому магнітному носії комп'ютера (вінчестері) або оптичному диску може міститися величезний обсяг різноманітної інформації, що виявляється експертом. Оскільки найбільш поширеним завданням експерту є пошук та виявлення інформації на магнітному носії, то її перелік, а тим більше роздруківка в паперовій формі у висновку експерта може зайняти не одну сотню сторінок. Тому для визначення належності виявлених файлів або інформації, що міститься в них, до розслідуваної справи бажана участь слідчого в проведенні експертизи. Така участь, по-перше, не заборонена законом, по-друге, слідчий не втручається в дії експерта і не впливає на вибір їм методів дослідження. Але беручи участь разом з експертом у перегляді виявленої інформації, слідчий на місці визначає її значимість і необхідність для розслідування, що може значно скоротити термін виконання КТЕ. Усі дії експерта, використовувані технічні і програмні засоби, отримані результати і підсумки описуються у висновку, що є джерелом доказів.

Список літератури: 1. Россинская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе. М., 1996. 2. Пособие для следователя. Расследование преступлений повышенной общественной опасности / Под ред. Н.А.Селиванова, А.И.Дворкина. М., 1998. 3. Криминалистика / Под ред. Т.А.Седовой, А.А.Эксархопуло. СПб., 2001. 4. Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г.Шурухнова. М., 1999. 5. Крылов В.В. Информационные компьютерные преступления. М.,1997. 6. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. М., 1999. 7. Крылов В.В. Информационные компьютерные преступления. М., 1997. 8. Орлов Ю.К. Производство экспертизы в уголовном процессе. М., 1982. 9. Вехов В.Б. Компьютерные преступления: Способы совершения и методики расследования. М. 1996. 10. Яковлев А.Н. Теоретические и методические основы экспертного исследования документов на машинных магнитных носителях информации // Автореф. дис… канд. юрид. наук Саратов, 2000. 11. Белкин Р.С. Курс криминалистики. М., 2001. 12. Эйсман А.А. Критерии и формы использования специальных познаний при криминалистическом исследовании в целях получения вещественных доказательств // Вопросы криминалистики. 1967. №6-7. 13. Смирнова С.А., Вараксин В.И. Научно-технический прогресс и развитие уголовно-процессуального законодательства // Актуальные проблемы досудебного производства по уголовным делам: Сб. научн. тр. Акад. упр. МВД России. 1999. 14. Дулов А.В. Вопросы теории судебной экспертизы. Минск.1957. 15. Комаринец Б.М. Участие экспертов-криминалистов в проведении следственных действий по особо опасным преступлениям против личности // Теория и практика судебной экспертизы. М., 1964.Вып.1(11). 16. Мещеряков В.А. Компьютерно-техническая экспертиза и тактические рекомендации по ее применению. Защита информации. Конфидент.1999, №6.

Надійшла до редколегії 03.01.02

М.Г.Самойлов, Л.А. Перелигіна