§ 2. Типовые ситуации первоначального этапа расследования

Типовые ситуации — наиболее часто встречающиеся ситуации расследования, предопределяющие особенности применения отдельных характерных положений методики расследования. Они включают в себя типовые следствен­ные версии, типовые задачи расследования и средства их решения. Ситуации первоначального этапа расследования во многом зависят от следовой картины, выявленной на момент обнаружения преступления и точного представле­ния дознания и следствия о том, какие следы еще могут быть обнаружены.

Важная проблема для органа дознания и следствия — предварительная оценка полученных в ходе проверки мате­риалов с точки зрения возможности возбуждения по ним уголовного дела, предварительной уголовно-правовой ква­лификации выявленных действий с учетом так называемой «судебной перспективы». Так, нами совместно с руковод­ством отдела УЭП одного из ГУВД анализировалась ситуа­ция с возможностью привлечения к ответственности за преступления в области компьютерной информации лиц, осуществляющих мошеннические действия с помощью мо­дифицированных компьютерных игровых программ. В таких программах (азартные игры карты, кости и т.п.)  по

оперативным данным, якобы, после их лицензирования в : соответствующих государственных органах вносятся изме­нения, обеспечивающие ее владельцу (организатору игры) более высокие шансы на выигрыш, чем постороннему игроку.

Анализ показал, что оперативные работники для реше­ния данного вопроса должны как минимум установить, кто конкретно автор данной программы; предъявлялись ли лицензирующему органу исходные тексты (написанные на языке программирования или в кодах) игровых программ и если да, то не внесены ли в авторский текст до предъявления указанному органу изменения, обеспечи­вающие результат игры мошенникам'; кто именно внес в программу изменения и каков механизм модификации (декомпиляция — модификация — новая компиляция, компиляция модифицированного исходного текста, моди­фикация данных, которыми оперирует программа и др.);

кто именно и с каким умыслом осуществил преступные действия: какой ущерб и кому причинен указанным не­правомерным доступом к охраняемой законом компьютер­ной информации в виде программ.

Исследование другой возможной операции органа до­знания, направленной на установление фактов незаконно­го копирования компьютерной информации и торговли ею показало, что сотрудникам органа дознания не всегда ясно как именно и по каким признакам отличать контрафакт-ные экземпляры программ для ЭВМ от лицензионных. Приведенные примеры показывают лишь отдельные труд­ности, стоящие перед органом дознания на пути анализа ситуаций на первоначальном этапе.

Проверка данных о совершении преступлений в области компьютерной информации должна быть направлена на получение следующих данных:

1. Термин «мошенники» используется условно.

• уточнение способа нарушения целостности (конфиден­циальности) информации;

• уточнение порядка регламентации собственником рабо­ты информационной системы;

• уточнение круга лиц, имеющих возможность взаимодей­ствовать с информационной системой, в которой про­изошли нарушения целостности (конфиденциальности) информации для определения свидетельской базы и вы­явления круга заподозренных1;

• уточненных данных о причиненном собственнику ин­формации ущербе.

Все эти сведения при их отсутствии в поступивших материалах должны быть истребованы у собственника ин­формационной системы.

Важную роль в сборе данных о совершенном преступле­нии играют действия должностных лиц собственника ин­формационной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциальность) ин­формации в системе. Опубликованные данные показыва­ют, что исчерпывающая полнота защиты информацион­ных систем может быть достигнута лишь при существенных материальных затратах и выполнении большого объема организационных мероприятий2. Поэтому собственник информационной системы соразмеряет свои способы за­щиты системы в зависимости от ценности хранимой в ней информации организационными и материальными воз­можностями.

Анализ отечественного и зарубежного опыта

1.Термин «заподозренный» используется в криминалистической ли­тературе в отношении лип, которые находятся под подозрением У органов следствия или дознания, но не являются подозреваемыми в процессуальном смысле, (ст. 122-123 УПК). Фактически «заподозрен­ный» — лицо, в отношении которого выдвинута версия о причастности к расследуемому событию.

2 См. подробнее: Герасименко В.А. Указ. соч. С. 170-174.

показывает, -что можно выделить три типовые следственные ситуа­ции.

1. Собственник информационной системы своими си­лами выявил нарушения целостности (конфиденциальнос­ти) информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.

2. Собственник самостоятельно выявил указанные на­рушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.

3. Данные о нарушении целостности (конфиденциаль­ности) информации в информационной системе и винов­ном лице стали общеизвестны или непосредственно обна­ружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).

При наличии заподозренного виновного лица первона­чальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

а) нарушения целостности (конфиденциальности) инфор­мации в системе;

б) размера ущерба, причиненного нарушением целостнос­ти (конфиденциальности) информации;

в) причинной связи между действиями, образующими спо­соб нарушения и наступившими последствиями путем детализации способа нарушения целостности (конфи­денциальности) информации в системе и характер со­вершенных виновным действий;

г) отношения виновного лица к совершенным действиям и наступившим последствиям.

Если преступник задержан на месте совершения пре­ступления или сразу же после его совершения, для данной ситуации характерны следующие первоначальные следст­венные действия: личный обыск задержанного; допрос задержанного; обыск по месту жительства задержанного. К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также

лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственни­ка системы. Важнейшим элементом работы является вы­емка (предпочтительно с участием специалиста) докумен­тов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения. Принимаются меры к фиксации состояния рабочего места заподозренного, откуда он осу­ществил вторжение в информационную систему, и где могут сохраняться следы его действий (их подготовки и реализации) в виде записей на машинных и обычных носителях информации. Такое место может быть, как по месту его службы, так и дома, в иных местах, где установ­лена соответствующая аппаратура, например, студенческие вычислительные центры и др.). Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве обвиня­емого.

При отсутствии заподозренного лица первоначальная задача следствия заключается в сборе с помощью собствен­ника информационной системы и процессуальной фикса­ции указанных доказательств. Принимаются меры к ро­зыску виновного и поиску его рабочего места, откуда происходит вторжение в информационную систему. Осу­ществляется поиск следов на машинных носителях и вокруг них: места входа в данную информационную систему и способа входа в систему — вместе с должностными лицами собственника информационной системы; путей следова­ния, через которые вошел в «атакованную» систему зло­умышленник («транзитные» машинные носители) или проникли его программы — вместе с должностными лица­ми иных информационных и коммуникационных систем — до рабочего места злоумышленника. Такое место, как указывалось, „может быть, как по месту его службы, так и дома, и в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры и др.).

В качестве примера действий в ситуации, когда винов­ное лицо подлежит обнаружению совместными усилиями правоохранительных органов и сотрудников различных ин­формационных систем, рассмотрим следующий случай':

злоумышленник вторгся в компьютерную сеть лаборатории ВВС США (штат Нью-Йорк), причем его действия оста­вались незамеченными несколько дней. Нападению под­верглись три рабочие станции — часть сети лаборатории. Он инсталлировал в систему несколько специальных про­грамм, позволяющих перехватывать нажатие клавиш поль­зователями системы и таким образом определил пароли пользователей для входа в сеть. Используя полученные пароли и коды, он копировал файлы с военной информа­цией, но не производил никаких изменений в исходных файлах. Представители ВВС, обнаружив вторжение, нача­ли наблюдение за действиями злоумышленника и обнару­жили, что он, используя их сеть, не только копировал файлы лаборатории, но и связывался через их сеть с INTERNET и пытался проникнуть аналогичным способом в другие военные компьютерные сети. Злоумышленник входил в сеть лаборатории через различные сети, находя­щиеся в Европе, а также через Чили, Бразилию, другие страны. Для его установления и задержания потребовались согласованные действия правоохранительных органов штата Техас (США), информационного центра ведения боевых действий ВВС США, правоохранительных органов в Европе, а также страны нахождения преступника. По­следние привлекли к его поиску коммуникационные ком­пании и с их помощью в ходе наблюдения за действиями преступника было выявлено его местонахождение в мо­мент сеанса связи. В результате проведенного националь­ными правоохранительными органами .расследования были собраны доказательства, позволяющие получить ордер на проведение обыска. Обыск был начат в момент, когда он осуществлял связь с компьютерными сетями.

' Ярочкин В.И. Указ. соч. С. 141-143

Круг типичных общих версий сравнительно невелик —. преступление действительно имело место при тех обстоя­тельствах, которые вытекают из первичных материалов-преступления не было, а заявитель добросовестно заблуж­дается; ложное заявление о преступлении.

Типичными частными версиями являются версии о личности преступника (ов); версии о местах совершения внедрения в компьютерные системы; версии об обстоя­тельствах, при которых было совершено преступление;

версии о размерах ущерба, причиненного преступлением.