3.2. Типичные следственные ситуации первоначального этапа и следственные действия

Типовые ситуации — наиболее часто встречающиеся ситуации расследования, предопределяющие особенности методики расследования. Они включают в себя типовые следственные версии, типовые задачи расследования и методы и средства их решения.

Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации:

1. Собственник информационной системы собственными силами выявил нарушения целостности/конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.

2. Собственник информационной системы собственными силами выявил нарушения целостности/ конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.

3. Данные о нарушении целостности/конфиденциальности информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).

При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

а) нарушения целостности/конфиденциальности информации в системе;

б) размера ущерба, причиненного нарушением целостности/конфиденциальности информации;

в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности/конфиденциальности информации в системе и характера совершенных виновным действий;

г) отношения виновного лица к совершенным действиям и наступившим последствиям;

Если преступник задержан на месте совершения преступления или сразу же после его совершения для данной ситуации характерны следующие первоначальные следственные действия:

а) личный обыск задержанного;

б) допрос задержанного;

в) обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.

Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации) в виде записей на машинных и обычных носителях информации. Рабочее место заподозренного может находиться как у него на службе, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).

Полученные в результате доказательства могут дать основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

а) нарушения целостности/конфиденциальности информации в системе;

б) размера ущерба, причиненного нарушением целостности/конфиденциальности информации;

в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности/конфиденциальности информации в системе и характера совершенных

виновным действий.

Типичные следственные действия для решения указанных задач — осмотр и фиксация состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.

Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к поиску рабочего места заподозренного, откуда он осуществил вторжение в информационную систему.

Осуществляется поиск:

места входа в данную информационную систему и способа входа в систему — вместе с должностными лицами собственника информационной системы и с их помощью;

"путей следования" злоумышленника или его программы к "атакованной" системе — вместе с должностными лицами иных информационных и коммуникационных систем и с их помощью.

Такое место, как указывалось, может находиться как у него на службе, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).

В качестве примера действий в ситуации, когда виновное лицо подлежит обнаружению совместными усилиями правоохранительных органов и сотрудников различных информационных систем, рассмотрим следующий случай.

Злоумышленник вторгся в компьютерную сеть лаборатории ВВС США (штат Нью-Йорк), причем его действия оставались незамеченными несколько дней.

Нападению подверглись три рабочие станции — часть сети лаборатории. Он инсталлировал в систему несколько специальных программ, позволяющих перехватывать нажатие клавиш пользователями системы и таким образом определил пароли пользователей для входа в сеть. Используя полученные пароли и коды, он копировал файлы с военной информацией, но не производил никаких изменений в исходных файлах.

Представители ВВС, обнаружив вторжение, начали наблюдение за действиями злоумышленника и обнаружили, что он, используя их сеть, не только копировал файлы лаборатории, но и связывался через их сеть с INTERNET, пытаясь проникнуть аналогичным способом в другие военные компьютерные сети. Злоумышленник входил в сеть лаборатории через различные сети, находящиеся в Европе, а также через Чили, Бразилию, другие страны.

Для установления его личности и задержания потребовались согласованные действия правоохранительных органов штата Техас (США), информационного центра ведения боевых действий ВВС США, правоохранительных органов Европы, а также страны нахождения преступника. К его поиску были привлечены коммуникационные компании, и с их помощью в ходе наблюдения за действиями преступника удалось выявить его местонахождение в момент сеанса связи. В результате проведенного национальными правоохранительными органами расследования были собраны доказательства, позволяющие получить ордер на обыск в момент, когда он осуществлял связь с компьютерными сетями.

В качестве другой иллюстрации трудностей, которые могут возникнуть на пути розыска компьютерного преступника, упомянем о розыске преступника, входившего в компьютерные сети с помощью компьютера, соединенного с мобильным сотовым телефоном.

При этом номер данного телефона он получил мошенническим путем. Таким образом, необходимо было осуществлять пеленгацию связи с этого телефона.

Круг типичных ОБЩИХ версий сравнительно невелик:

преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов;

преступления не было, а заявитель добросовестно заблуждается;

ложное заявление о преступлении.

Типичными ЧАСТНЫМИ версиями являются:

версии о личности преступника(ов);

версии о местах совершения внедрения в Компьютерные системы;

версии об обстоятельствах, при которых было совершено преступление;

версии о размерах ущерба, причиненного преступлением.