§ 2. Типовые ситуации первоначального этапа расследования
Типовые ситуации — наиболее часто встречающиеся ситуации расследования, предопределяющие особенности применения отдельных характерных положений методики расследования. Они включают в себя типовые следственные версии, типовые задачи расследования и средства их решения. Ситуации первоначального этапа расследования во многом зависят от следовой картины, выявленной на момент обнаружения преступления и точного представления дознания и следствия о том, какие следы еще могут быть обнаружены.
Важная проблема для органа дознания и следствия — предварительная оценка полученных в ходе проверки материалов с точки зрения возможности возбуждения по ним уголовного дела, предварительной уголовно-правовой квалификации выявленных действий с учетом так называемой «судебной перспективы». Так, нами совместно с руководством отдела УЭП одного из ГУВД анализировалась ситуация с возможностью привлечения к ответственности за преступления в области компьютерной информации лиц, осуществляющих мошеннические действия с помощью модифицированных компьютерных игровых программ. В таких программах (азартные игры карты, кости и т.п.) по
оперативным данным, якобы, после их лицензирования в : соответствующих государственных органах вносятся изменения, обеспечивающие ее владельцу (организатору игры) более высокие шансы на выигрыш, чем постороннему игроку.
Анализ показал, что оперативные работники для решения данного вопроса должны как минимум установить, кто конкретно автор данной программы; предъявлялись ли лицензирующему органу исходные тексты (написанные на языке программирования или в кодах) игровых программ и если да, то не внесены ли в авторский текст до предъявления указанному органу изменения, обеспечивающие результат игры мошенникам'; кто именно внес в программу изменения и каков механизм модификации (декомпиляция — модификация — новая компиляция, компиляция модифицированного исходного текста, модификация данных, которыми оперирует программа и др.);
кто именно и с каким умыслом осуществил преступные действия: какой ущерб и кому причинен указанным неправомерным доступом к охраняемой законом компьютерной информации в виде программ.
Исследование другой возможной операции органа дознания, направленной на установление фактов незаконного копирования компьютерной информации и торговли ею показало, что сотрудникам органа дознания не всегда ясно как именно и по каким признакам отличать контрафакт-ные экземпляры программ для ЭВМ от лицензионных. Приведенные примеры показывают лишь отдельные трудности, стоящие перед органом дознания на пути анализа ситуаций на первоначальном этапе.
Проверка данных о совершении преступлений в области компьютерной информации должна быть направлена на получение следующих данных:
1. Термин «мошенники» используется условно.
• уточнение способа нарушения целостности (конфиденциальности) информации;
• уточнение порядка регламентации собственником работы информационной системы;
• уточнение круга лиц, имеющих возможность взаимодействовать с информационной системой, в которой произошли нарушения целостности (конфиденциальности) информации для определения свидетельской базы и выявления круга заподозренных1;
• уточненных данных о причиненном собственнику информации ущербе.
Все эти сведения при их отсутствии в поступивших материалах должны быть истребованы у собственника информационной системы.
Важную роль в сборе данных о совершенном преступлении играют действия должностных лиц собственника информационной системы, осуществляющих процедуры, обеспечивающие целостность (конфиденциальность) информации в системе. Опубликованные данные показывают, что исчерпывающая полнота защиты информационных систем может быть достигнута лишь при существенных материальных затратах и выполнении большого объема организационных мероприятий2. Поэтому собственник информационной системы соразмеряет свои способы защиты системы в зависимости от ценности хранимой в ней информации организационными и материальными возможностями.
Анализ отечественного и зарубежного опыта
1.Термин «заподозренный» используется в криминалистической литературе в отношении лип, которые находятся под подозрением У органов следствия или дознания, но не являются подозреваемыми в процессуальном смысле, (ст. 122-123 УПК). Фактически «заподозренный» — лицо, в отношении которого выдвинута версия о причастности к расследуемому событию.
2 См. подробнее: Герасименко В.А. Указ. соч. С. 170-174.
показывает, -что можно выделить три типовые следственные ситуации.
1. Собственник информационной системы своими силами выявил нарушения целостности (конфиденциальности) информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.
2. Собственник самостоятельно выявил указанные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.
3. Данные о нарушении целостности (конфиденциальности) информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:
а) нарушения целостности (конфиденциальности) информации в системе;
б) размера ущерба, причиненного нарушением целостности (конфиденциальности) информации;
в) причинной связи между действиями, образующими способ нарушения и наступившими последствиями путем детализации способа нарушения целостности (конфиденциальности) информации в системе и характер совершенных виновным действий;
г) отношения виновного лица к совершенным действиям и наступившим последствиям.
Если преступник задержан на месте совершения преступления или сразу же после его совершения, для данной ситуации характерны следующие первоначальные следственные действия: личный обыск задержанного; допрос задержанного; обыск по месту жительства задержанного. К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также
лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы. Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения. Принимаются меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему, и где могут сохраняться следы его действий (их подготовки и реализации) в виде записей на машинных и обычных носителях информации. Такое место может быть, как по месту его службы, так и дома, в иных местах, где установлена соответствующая аппаратура, например, студенческие вычислительные центры и др.). Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве обвиняемого.
При отсутствии заподозренного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации указанных доказательств. Принимаются меры к розыску виновного и поиску его рабочего места, откуда происходит вторжение в информационную систему. Осуществляется поиск следов на машинных носителях и вокруг них: места входа в данную информационную систему и способа входа в систему — вместе с должностными лицами собственника информационной системы; путей следования, через которые вошел в «атакованную» систему злоумышленник («транзитные» машинные носители) или проникли его программы — вместе с должностными лицами иных информационных и коммуникационных систем — до рабочего места злоумышленника. Такое место, как указывалось, „может быть, как по месту его службы, так и дома, и в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры и др.).
В качестве примера действий в ситуации, когда виновное лицо подлежит обнаружению совместными усилиями правоохранительных органов и сотрудников различных информационных систем, рассмотрим следующий случай':
злоумышленник вторгся в компьютерную сеть лаборатории ВВС США (штат Нью-Йорк), причем его действия оставались незамеченными несколько дней. Нападению подверглись три рабочие станции — часть сети лаборатории. Он инсталлировал в систему несколько специальных программ, позволяющих перехватывать нажатие клавиш пользователями системы и таким образом определил пароли пользователей для входа в сеть. Используя полученные пароли и коды, он копировал файлы с военной информацией, но не производил никаких изменений в исходных файлах. Представители ВВС, обнаружив вторжение, начали наблюдение за действиями злоумышленника и обнаружили, что он, используя их сеть, не только копировал файлы лаборатории, но и связывался через их сеть с INTERNET и пытался проникнуть аналогичным способом в другие военные компьютерные сети. Злоумышленник входил в сеть лаборатории через различные сети, находящиеся в Европе, а также через Чили, Бразилию, другие страны. Для его установления и задержания потребовались согласованные действия правоохранительных органов штата Техас (США), информационного центра ведения боевых действий ВВС США, правоохранительных органов в Европе, а также страны нахождения преступника. Последние привлекли к его поиску коммуникационные компании и с их помощью в ходе наблюдения за действиями преступника было выявлено его местонахождение в момент сеанса связи. В результате проведенного национальными правоохранительными органами .расследования были собраны доказательства, позволяющие получить ордер на проведение обыска. Обыск был начат в момент, когда он осуществлял связь с компьютерными сетями.
' Ярочкин В.И. Указ. соч. С. 141-143
Круг типичных общих версий сравнительно невелик —. преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов-преступления не было, а заявитель добросовестно заблуждается; ложное заявление о преступлении.
Типичными частными версиями являются версии о личности преступника (ов); версии о местах совершения внедрения в компьютерные системы; версии об обстоятельствах, при которых было совершено преступление;
версии о размерах ущерба, причиненного преступлением.
«все книги «к разделу «содержание Глав: 27 Главы: < 19. 20. 21. 22. 23. 24. 25. 26. 27.