Глава 5. Практика раскрытия и расследования компьютерных преступлений
Применение системы правовых и организационно-технических мер предупреждения компьютерных преступлений, несомненно, является одним из ведущих направлений в борьбе с компьютерными преступлениями. Однако хорошо известно, что одними мерами предупреждения (сдерживания) не всегда удается предотвратить преступное посягательство. Тем более, что, по единому мнению ведущих специалистов, занимающихся вопросами обеспечения безопасности компьютерных систем и электронного оборудования, в мире не существует абсолютно надежных электронных систем, гарантирующих своим пользователям полную конфиденциальность и сохранность машинной информации, циркулирующей в них [25, п. 21-22]. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники (СКТ), но и решать вопросы расследования компьютерных преступлений. Указанная необходимость возникает в том случае, когда принятые меры предупреждения исчерпаны и не смогли в полной степени предотвратить наступление противоправного события.
На основании вышеизложенного нам представляется возможным выделить следующие основные криминалистические проблемы, возникающие в настоящее время перед правоохранительными органами при расследовании компьютерных преступлений и характеризующие одновременно специфику этого процесса, а именно:
1) сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела;
2) сложность в подготовке и проведении отдельных следственных действий;
3) особенности выбора и назначения необходимых судебных экспертиз;
4) целесообразность использования средств компьютерной техники в расследовании преступлений рассматриваемой категории;
5) отсутствие методики расследования компьютерных преступлений.
По оценкам отечественных и зарубежных исследователей, решение проблем раскрытия и расследования преступлений данного вида представляет собой задачу на несколько порядков более сложную, чем, скажем, задачи, сопряженные с их предупреждением. Видимо, поэтому уровень латентности компьютерных преступлений, в немалой степени зависящий и от этих обстоятельств, определяется в настоящее время в 90%. А из оставшихся 10% выявленных компьютерных преступлений раскрывается только 1%. Такое положение дел можно проиллюстрировать и конкретными статистическими данными. Например, в Великобритании из 270 установленных преступлений, совершенных с использованием средств компьютерной техники за последние 5 лет, были расследованы только 6; в ФРГ в 1987 г. было выявлено 2777 случаев аналогичных преступлений, из них расследовано только 170, тогда как остальные 2607 уголовных дел были прекращены по различным основаниям; во Франции в том же году было зарегистрировано 70 преступлений, а расследовано — 10 уголовных дел; в США в период с 1978 по 1986 гг. правоохранительными органами было расследовано всего 200 преступлений, по которым к уголовной ответственности было привлечено лишь 6 чел. [32, с. 39; 81, с. 9]. При этом, по оценкам тех же специалистов, только 10% раскрытых компьютерных преступлений могут быть своевременно обнаружены с помощью систематических ревизионных проверок, тогда как 90% из них выявляются только благодаря случайностям [4, с. 38]. Приведенные данные красноречиво свидетельствуют об уровне сложности осуществления процессов расследования преступлений рассматриваемой категории.
Проведенный нами анализ отечественных уголовных дел, имевшихся в нашем распоряжении, в целом подтверждает вышеизложенное.
Относительная новизна возникших проблем, стремительное наращивание процессов компьютеризации российского общества, по нашему мнению, застали врасплох правоохранительные органы, оказавшиеся неготовыми к адекватному противостоянию и активной борьбе с этим новым социальным явлением. Считаем, что данная тенденция усугубляется еще и под воздействием ряда объективных и субъективных факторов, подробно рассмотренных нами в первой главе настоящей работы. Отчасти это подтверждается и данными проведенного нами исследования. Так, например, 76% опрошенных респондентов, составляющих исследуемую группу в лице начальников городских
И районных управлений (отделов) внутренних дел, считают что во вверенных им подразделениях нет в настоящее время сотрудников, способных заниматься вопросами раскрытия компьютерных преступлений. Аналогичной точки зрения придерживаются и респонденты из группы начальников следственных подразделений органов внутренних дел.
Оставляет желать лучшего и положение с отечественными научными разработками этих проблем, особенно в области криминалистической науки (отсутствие соответствующих методик). Остается нерешенным также и ряд основных организационных аспектов проблемы, связанных, например, с координацией усилий различных государственных органов, подготовкой соответствующих специалистов и т. д. Отечественное положение дел в этих направлениях, как показывает анализ литературных источников, резко контрастирует с зарубежным, где в последние годы им уделяется все более повышенное и пристальное внимание со стороны государственных органов. Так, в ФРГ, например, в учебных заведениях системы МВД в курс “Экономические преступления” введен специальный раздел, касающийся вопросов раскрытия и расследования преступлений, связанных с автоматической обработкой информации в компьютерных системах, а в Академии ФБР США в г. Квонтико (штат Вирджиния) с 1976 г. для слушателей читается специальный трехнедельный учебный курс по теме “Техника расследования преступлений, связанных с использованием компьютеров”. Помимо этого, в каждом низовом структурном подразделении ФБР имеется штатный специалист в этой области и с 1982 г. функционирует специальное подразделение численностью 500 чел. Аналогичная ситуация и в других зарубежных странах: в Канаде — функционирует группа специалистов уголовной полиции, занимающихся расследованием этой категории уголовных дел в масштабе всей страны, в Швеции — штатная численность специального подразделения составляет 150 сотрудников и т. д.
Нам представляется возможным привести и следующий факт по существу рассматриваемого вопроса. Как отмечалось на совещании по вопросам компьютерной преступности, проходившем в мае 1986 г. в Высшей полицейской академии ФРГ, в котором приняли участие 60 представителей органов уголовной полиции и прокуратуры западноевропейских государств, необходимо проводить систематическую специальную подготовку сотрудников уголовной полиции и органов юстиции в целях повышения их квалификации в области автоматической обработки информации, что является обязательным условием для оперативного и эффективного расследования компьютерных преступлений [88, с. 36].
По нашему мнению, давно назрела необходимость создания подобных подразделений в России в системе правоохранительных органов и принятия аналогичных мер с учетом богатого зарубежного опыта. Отсутствие последних, по оценкам некоторых отечественных специалистов, уже привело к тому, что компьютерная преступность выпала из сферы контроля правоохранительных органов и грозит к 2000 г. перерасти в серьезную государственную проблему, как это уже было ранее в зарубежных странах. Тенденция отечественного негативного варианта развития в этом направлении научно обоснована и подтверждена соответствующими математическими расчетами в работе Черкасова В.Н. “Теория и практика решения организационно-методических проблем борьбы с экономической преступностью в условиях применения компьютерных технологий”. В ней, в частности, автор приходит к выводу о том, что опасность преступлений, связанных с использованием ЭВМ, возрастает быстрыми темпами и их количество удвоится к 2000 г. в России по сравнению с ситуацией, сложившейся на начало 90-х гг. [99, с. 26].
На основе анализа специальной литературы и публикаций в периодической печати, нормативных актов, следственной практики, информации оперативно-розыскного характера, а также опросов специалистов, нами со всей определенностью делается вывод о том, что в настоящее время вопросами борьбы с компьютерной преступностью на государственном уровне практически никто не занимается, им не уделяется должного внимания, вследствие чего правоохранительные органы лишены возможности полнокровной борьбы с этим социально опасным явлением.
Общее положение дел таково, что расследование компьютерных преступлений ведется лишь сотрудниками отделов по борьбе с экономической преступностью, не имеющих соответствующей специализации и необходимых познаний в области компьютерной техники и, как правило, связанных исключительно с хищениями (покушениями на хищение) денежных средств в крупных и особо крупных размерах, что составляет лишь незначительную часть противоправных деяний, относимых нами к категории компьютерных преступлений.
Как показывает практика, следователи, производящие расследование этой части компьютерных преступлений, сталкиваются со многими, подчас неразрешимыми трудностями, среди которых нам представляется возможным выделить следующие:
— сложность квалификации преступных деяний;
— сложность в проведении различных следственных действий из-за несовершенства действующего уголовно-процессу-ального законодательства;
— сложность в назначении программно-технической экспертизы средств компьютерной техники и в формулировке вопросов, выносимых на рассмотрение эксперта;
— отсутствие по некоторым вопросам соответствующих специалистов, необходимых для привлечения в ходе следствия;
— отсутствие элементарных познаний в области компьютерной техники и т. д.
Нами особо выделяются факторы, оказывающие негативное влияние на процесс расследования компьютерных преступлений и требующие своего скорейшего решения:
1) несовершенство уголовно-процессуального законодательства;
2) крайне слабая нормативная база, призванная регламентировать правовой статус и специфические особенности информационных ресурсов;
3) отсутствие методик расследования преступлений указанного вида;
4) отсутствие обобщений следственной и судебной практики;
5) отсутствие базового экспертно-криминалистического центра по производству необходимых экспертиз средств компьютерной техники;
6) отсутствие методик проведения криминалистических
(программно-технических) экспертиз СКТ;
7) отсутствие учебно-методических центров для подготовки соответствующих специалистов для нужд правоохранительных органов;
8) крайне низкая оснащенность подразделений правоохранительных органов средствами компьютерной техники и региональная разобщенность при решении этих вопросов, вызванная нескоординированностью действий.
В результате совокупного взаимодействия указанных выше факторов на практике сложилась ситуация, которая существенно затрудняет возможность своевременного обнаружения преступления и полного сбора доказательств на первоначальном этапе работы по делу.
Как видно из приведенных выше статистических данных, одной из особенностей компьютерных преступлений является то, что большинство из них остаются латентными.
Анализ специальной литературы показывает, что существует много косвенных признаков, указывающих на подготовку либо совершение компьютерного преступления. К ним относятся:
— хищение носителей информации;
— ненормальный интерес некоторых лиц к содержимому мусорных емкостей (корзин, баков и т. д.);
— совершение необоснованных манипуляций с ценными данными (например, частый перевод денежных средств с одного счета на другой, наличие у одного лица нескольких счетов, проведение операций с данными, не подтвержденными соответствующими бумажными документами, либо с задержкой такого подтверждения последними и т. д.);
— нарушение заданного (нормального) режима функционирования компьютерных систем либо иных СКТ;
— проявления вирусного характера;
— необоснованная потеря значительных массивов данных;
— показания средств защиты компьютерной техники;
— необоснованное нахождение в помещениях организации посторонних лиц, включая неплановый технический осмотр помещений, оборудования, различных средств и систем жизнеобеспечения представителями обслуживающих и контролирующих организаций (электрик, сантехник, радиотелемастер, связист, инспектор госпожнадзора, энергонадзора, вневедомственной охраны, санэпидстанции, системотехник, программист, электронщик и т. д.);
— нарушение правил ведения журналов рабочего времени компьютерных систем (журналов ЭВМ) или их полное отсутствие (например, исправление в них записей, “подчистки” и “подтирки”, отсутствие некоторых записей или их фальсификация);
— необоснованные манипуляции с данными: производится перезапись (тиражирование, копирование), замена, изменение, либо стирание без серьезных на то причин, либо данные не обновляются своевременно по мере их поступления (накопления);
— на ключевых документах появляются поддельные подписи либо подпись отсутствует вообще;
— появляются подложные либо фальсифицированные документы или бланки строгой отчетности;
— некоторые сотрудники организации без видимых на то оснований начинают работать сверхурочно, проявлять повышенный интерес к сведениям, не относящимся к их непосредственной деятельности (функциональным обязанностям), либо посещать другие подразделения и службы организации;
— сотрудники возражают либо высказывают открытое недовольство по поводу осуществления контроля за их деятельностью;
— у некоторых сотрудников, непосредственно связанных с компьютерной техникой, появляется ненормальная реакция на рутинную работу;
— становятся многочисленными жалобы клиентов;
— производится передача информации лицам, не имеющим к ней доступа;
— у некоторых сотрудников проявляется небрежность при работе со средствами компьютерной техники.
<• При этом одной из главных проблем при расследовании данного вида преступных посягательств, по нашему мнению, является установление самого факта совершения преступления. Особенность заключается в том, что для того, чтобы с полным основанием утверждать, что преступление с использованием СКТ было совершено, необходимо доказать тот факт, что лицом были осуществлены определенные неправомерные действия. Одновременно с этим должно быть установлено и доказано следующее обстоятельство: имел или не имел место факт несанкционированного доступа к средствам компьютерной техники либо попытка получения такого доступа. Например, необходимо доказать, что доступ был несанкционированным с целью совершения преступления. Тогда установлению и доказыванию подлежит тот факт, что действительно были совершены несанкционированные манипуляции со средствами компьютерной техники, например с программным обеспечением, и что эти манипуляции были недозволенными, а лицо, совершавшее их, знало об этом и совершало их с целью осуществления преступного умысла.
Нами выделяются следующие основные обстоятельства, подлежащие обязательному установлению и доказыванию по делам рассматриваемой категории, а именно:
1) имело ли место преступление (либо это правонарушение иного рода);
2) каков объект преступного посягательства (данное обстоятельство имеет решающее значение для применения следователем той или иной методики расследования конкретного преступления или их совокупности);
3) каков предмет преступного посягательства;
4) каков способ совершения преступления;
5) место, время (период) и обстоятельства совершения преступления;
6) размер и вид ущерба, причиненного пострадавшему;
7) кто совершил преступление;
8) если преступление совершено группой лиц, то каковы состав группы и роль каждого соучастника;
9) какие обстоятельства способствовали совершению преступления.
Для наглядности обратимся к отечественной практике раскрытия и расследования компьютерных преступлений (по материалам МВД СССР и МВД России).
На протяжении многих лет наиболее распространенным видом компьютерного преступления являются хищения, совершаемые с использованием средств компьютерной техники, как правило, бухгалтерами-расчетчиками в сговоре с кассирами-раздатчиками либо другими должностными лицами путем ввода в компьютерную систему данных с фиктивных первичных бухгалтерских документов и последующего получения ничем не подтвержденных распечаток денежных сумм, подлежащих выплате через кассу. Заметим, что подобные действия стали возможными по причине отсутствия контроля со стороны соответствующих должностных лиц и ревизионных органов за достоверностью процесса вводимой в ЭВМ информации и данных, незащищенности программного обеспечения от несанкционированного ввода и вывода фальсифицированных данных, применяемых, например, для начисления заработной платы, пособий, других выплат, а также неполной автоматизации расчетов с клиентами из-за несовершенства компьютерных систем и программного обеспечения.
Так, в 1985 г. на Л-ом судостроительном заводе была разоблачена преступная группа численностью свыше 70 чел., в которую входили работники расчетного бюро центральной бухгалтерии завода, должностные и материально-ответственные лица почти всех структурных подразделений предприятия во главе с начальником бюро расчетов Б., ранее судимой за хищение. Указанным выше способом в течение 1981-1985 гг. преступниками было похищено и присвоено более 200 тыс. руб. Расследование показало, что преступники путем внесения фиктивных данных в табуляграммы незаконно завышали фактический размер средств к выплате, числящихся на субсчете балансового счета 70 (“Расчеты по оплате труда”), на котором учитывались все внеплановые выплаты, выдаваемые рабочим и служащим завода в установленном порядке (внеплановые авансы, пособия по временной нетрудоспособности, премии и т. д.). Излишки начисленных средств относились на затраты производства. Параллельно осуществлялся ввод в ЭВМ фиктивных (свободных на данный момент) табельных номеров с указанием вымышленных фамилий их владельцев. В результате чего из вычислительного центра, обслуживающего бухгалтерию, в подразделения завода поступали распечатки о начислениях заработной платы, служившие основанием для выплаты денег через кассу. Начисленные на подставных лиц деньги изымались по подложным доверенностям либо по сговору с кассиром-раздатчиком. В отдельных случаях в платежных ведомостях вместо вымышленных лиц указывались работники данного подразделения, отсутствовавшие на момент выплаты (отпуск, болезнь, командировка). При этом излишне начисленные суммы либо не отражались в их лицевых счетах, либо проходили по шифру “долг за работающим”. В дальнейшем эта сумма переводилась на лицевой счет уволенного сотрудника и “погашалась” фиктивным начислением дополнительной выплаты в размере, равном “долгу”.
Кроме того, бухгалтеры-расчетчики присваивали деньги путем их перечисления в сберкассу на свой расчетный счет. В этих случаях в ЭВМ осуществлялся ввод фиктивного табельного номера с указанием фамилии преступника и номера его расчетного счета в сберкассе.
До 1988 г. были разоблачены преступные группы, действовавшие аналогичными способами и совершившие хищения в крупных и особо крупных размерах на заводах П-го и “К. С.” г. Горького (Н. Новгород), “Р-во” г. Ленинграда (Санкт-Петербурга) и ряде других.
Впоследствии вся фиктивная информация в памяти ЭВМ уничтожалась путем корректировки как ошибочно введенная.
Не менее “искусной” оказалась бухгалтер-расчетчик завода “К. Л.” Ворошиловградской области Ш., которая вводила в ЭВМ фиктивную информацию о включении в платежные ведомости на выплату отпускных денег работникам завода, не находившимся в действительности в отпуске. Одновременно с этим она производила корректировку данных по подоходному налогу как возврат излишне удержанного на сумму, выданную из кассы по платежной ведомости. В корректировке указывались: фиктивный табельный номер и номера тех цехов, где отражался “долг по зарплате”. Затем эти корректировки Ш. сдавала для автоматической компьютерной обработки. После этой операции преступница их уничтожала, одновременно делая исправления и в других учетных документах. Таким образом в сводках удержаний впоследствии отражались реальные суммы. В платежную ведомость на выплату зарплаты суммы корректировок подоходного налога — как “к выдаче на руки” — не поступали, а суммы, выплаченные из кассы как “долг по зарплате”, в распечатке долгов не отражались. Отметим, что характерной особенностью этой категории хищений является то, что они совершаются, как правило, одним человеком. А это создает определенные трудности в своевременном их выявлении и требует более квалифицированной организации расследования преступления.
Для этих целей, в частности, специалистами предлагаются определенные направления и способы организации проверок законности ведения кассовых операций в условиях компьютерной обработки первичных данных бухгалтерского учета, которые хорошо известны сотрудникам отделов по борьбе с экономическими преступлениями.
Рассмотрим еще одну типичную следственную ситуацию по делам о компьютерных преступлениях, проиллюстрировав ее на примере одного из первых уголовных дел данной категории, расследованного Следственным управлением ГУВД г. Москвы (использованы материалы следственной практики, обобщенные Летниковым В.А., Худяковым А.А. и Гавриловым B.C.).
Из материалов доследственной проверки усматривалось, что житель г. Москвы Б. с целью хищения валютных средств вступил в сговор с начальником отдела автоматизации неторговых операций вычислительного центра бывшего В-банка СССР Е. Осуществляя преступные намерения, Б. подделал шесть паспортов граждан и справки ряда внешнеэкономических организаций и объединений, на основании которых открыл во В-банке шесть текущих счетов, внеся на каждый из них по 50 долл. США. Е. изменил программное обеспечение, использовавшееся при осуществлении банковских операций, в результате чего на открытые Б. расчетные счета было переведено в совокупности более 125 тыс. долл. По поддельным паспортам Б. получил со счетов валюту и присвоил ее.
В процессе расследования преступления следователю пришлось проводить исследование и устанавливать фактические данные на основе специальных познаний в области информатики и средств компьютерной техники. Для этих целей им были привлечены следующие специалисты: программисты, системные аналитики (“системщики”), лица, сведущие в информатике, операторы ЭВМ, инженеры по средствам связи и телекоммуникационному оборудованию, инженеры по обслуживанию компьютерной техники, по обеспечению безопасности компьютерных систем, по ведению банковского учета с использованием средств компьютерной техники, документообороту, организации бухгалтерского учета и отчетности в системе В-банка.
Имеющие значение для дела сведения выяснялись в ходе допросов лиц, проводивших ведомственную ревизию по выявленным фактам хищений денежных средств и обладавших специальными познаниями в области документального бухгалтерского учета и компьютерного аудита, а также допросов работников подразделений В-банка по месту совершения хищений о специфических особенностях бухгалтерского учета, связанного с использованием ЭВМ.
Одновременно исследовались истребованные из В-банка нормативные акты и документы, регламентирующие его операционную деятельность, порядок ведения бухгалтерского учета, в том числе с применением ЭВМ, внутрибанковского контроля и отчетности. Особое внимание обращалось на анализ положений должностных инструкций лиц, обслуживающих компьютерную технику, документов, содержащих перечень и характер задач комплексного программного обеспечения компьютерных систем и технических указаний по ведению автоматизированного документального учета с их применением. Тщательно и всесторонне изучались технические средства, использовавшиеся для автоматизации банковских операций.
Полученные в ходе допросов и анализа документальные данные позволили наметить комплекс неотложных следственных действий, обязательных, на наш взгляд, для первоначального этапа расследования преступлений подобного вида.
Во-первых, это проведение обыска в служебном помещении по месту работы подозреваемого в совершении компьютерного преступления. Обыск был проведен в данном случае у подозреваемого сотрудника вычислительного центра в присутствии понятых, обладавших специальными познаниями в области СКТ и технологии. Целью обыска являлось обнаружение и изъятие физических (материальных) носителей машинной информации, представленных в данном случае в виде: магнитных лент ЭВМ в бобинах и кассетах (магнитные носители), графических (зна-косинтезированных) распечаток — листингов, выполненных с использованием печатающих СКТ (принтеров) на бумажном носителе, содержащих данные, относящиеся к банковским операциям подразделений В-банка по месту совершения преступлений, и других документов, имеющих или возможно имеющих отношение к несанкционированному изменению программного обеспечения или носящих иные следы с целью хищения денежных средств. При этом следователем было принято во внимание следующее обстоятельство: по установленному в вычислительном центре (ВЦ) порядку магнитные носители с первонач.-ль-ными записями хранились лишь в течение строго определенного времени (в рассматриваемом случае — 2 недели), после чего они повторно использовались для записи на них очередных данных и информации с одновременным стиранием (уничтожением) ранее записанной на них предыдущей информации.
Изъятые в процессе обыска и приобщенные к делу в качестве вещественных доказательств предметы были отправлены на экспертное исследование технической экспертизой программных средств компьютерной техники.
Кроме вышеперечисленного, был также изъят журнал сбойных ситуаций ВЦ, ведущийся как в подразделениях банка по месту совершения преступлений, так и в обслуживающем данное подразделение отделе ВЦ.
Отметим, что, помимо этого, в некоторых отдельных случаях имеющие значение для дела сведения могут быть получены и в результате исследования:
— журналов рабочего времени компьютерных систем (журналов ЭВМ);
— “прошитых” микросхем постоянного запоминающего устройства (ПЗУ) и микропроцессора компьютерной техники или их схемного соединения;
— распечаток информации оперативного запоминающего устройства (ОЗУ) — оперативной памяти ЭВМ и пошаговых действий последней;
— всего программного обеспечения ЭВМ;
— средств защиты и контроля компьютерных систем, регистрирующих пользователей, моменты включения (активации)
компьютерной системы либо подключения к ней абонентов с определенным индексом или без такового;
— данных журнала о передаче смен операторами ЭВМ;
— контрольных чисел файлов;
— протоколов вечернего решения, представляющих собой копию действий оператора компьютерной системы, отображенную на бумажном носителе информации в ходе вечерней обработки информации, которая проводится по истечении каждого операционного дня, и хранящуюся определенное время, после чего она уничтожается на основании и в порядке, предусмотренном ведомственными инструкциями [86].
Во-вторых, это истребование и анализ технических указаний по обработке ежедневной бухгалтерской информации, осуществляемой с использованием СКТ с перечнем выходящих форм, например листингов. Как правило, в них имеются статистические сведения и данные контроля достоверности банковской информации, содержащейся или находящиеся в компьютерной системе. В рассматриваемом нами примере выходные формы также были изъяты в ходе проведения обыска и подвергнуты экспертному исследованию. Одновременно с этим производились допросы лиц из числа инженеров-программистов, занимавшихся разработкой программного обеспечения и его сопровождением (отладкой и обслуживанием), и специалистов-электронщиков отдела технического обеспечения ВЦ, занимающихся эксплуатацией и ремонтом СКТ. Отметим, что при расследовании данного уголовного дела наибольшие трудности возникли у следователя в процессе назначения экспертизы. В результате чего им было принято наиболее правильное решение о назначении комплексной судебно-бухгалтерской и программно-технической экспертизы. Это потребовало тщательного подбора соответствующих специалистов, сведущих в этих областях. В связи с чем в состав экспертной комиссии были приглашены квалифицированные сотрудники соответствующих подразделений В-банка и его ВЦ, Главного ВЦ Центрального банка России, а также ВЦ одной из воинских частей, специализирующиеся на научных исследованиях в сфере программного обеспечения и защиты компьютерных систем.
Для проверки правильности документального бухгалтерского учета был привлечен ревизор Главного контрольно-ревизионного управления (КРУ) Управления Центрального банка России.
Участие в экспертном исследовании сотрудников отдела компьютерного аудита, а также специалистов ВЦ В-банка в области решения банковских задач было продиктовано необходимостью полного и тщательного исследования материалов операционной работы банка с учетом ее специфики в результате использования СКТ. бухгалтерского учета и отчетности, могли способствовать и способствовали образованию ущерба.
Заметим, что проведение указанных выше исследований при активном участии следователя и умелое использование им совокупности добытых по делу доказательств позволили обеспечить достаточные основания для привлечения преступников Б. и Е. к уголовной ответственности за хищение государственных денежных средств в особо крупных размерах. Помимо этого, действия Б., связанные с подделкой паспортов и справок, были дополнительно квалифицированы по ч. 1 ст. 196 Уголовного кодекса РСФСР.
Как показывает анализ следственной практики по делам рассматриваемой категории, существует постоянная необходимость использования в процессе расследования специальных познаний в области новых информационных технологий. Данные познания необходимы как для получения доказательств, так и для процессуального оформления документов, подготовленных средствами компьютерной техники, которые впоследствии могут играть роль доказательств. По нашему мнению, все это должно оформляться как заключение эксперта. Данный вид криминалистических экспертиз появился в России с начала 90-х гг. и получил рабочее название “программно-техническая экспертиза”. В настоящее время с помощью таких экспертиз могут решаться следующие задачи (здесь и далее по тексту работы используются материалы обобщения практики подготовки и назначения программно-технических экспертиз, подготовленные Катковым С.А., Собецким И.В. и Федоровым А.Л.).
1. Воспроизведение и распечатка всей или части (по определенным темам, ключевым словам и т. п.) информации, содержащейся на физических носителях СКТ, в том числе находящейся в нетекстовой форме (в сложных форматах языков программирования), например в форме электронных таблиц, баз данных, WINDOWS и т. д.
2. Восстановление информации, ранее содержавшейся на физических носителях СКТ и впоследствии стертой (уничтоженной) или измененной (модифицированной) по различным причинам.
3. Установление времени ввода, изменения, уничтожения, либо копирования той или иной информации (документов, файлов, программ и т. д.).
4. Расшифровка закодированной информации, подбор Паролей и раскрытие защиты СКТ.
5. Установление авторства, места (средства) подготовки и способа изготовления документов (файлов, программ).
6. Выяснение возможных каналов утечки информации из компьютерной сети и помещений.
7. Выяснение технического состояния, исправности СКТ, процента их износа, оценки их стоимости, а также адаптации СКТ под конкретного пользователя.
8. Установление уровня профессиональной подготовки отдельных лиц, проходящих по делу, в области программирования и в качестве пользователя.
Исходя из указанных выше задач, следователь может поставить на разрешение эксперта следующие основные вопросы:
1. Какая информация содержится на физических носителях СКТ, представленных на исследование?
2. Раскодировать информацию, записанную в сложных форматах.
3. Какие текстовые документы (файлы) по интересующей теме находятся на представленных физических носителях СКТ?
4. Какие текстовые документы (файлы) по интересующей следствие теме были стерты (уничтожены), скопированы, изменены (модифицированы). Каковы их имена, размер, даты создания (уничтожения, изменения)?
5. Как изменялось содержание обнаруженных документов (файлов) на представленных на исследование физических носителях информации (указать параметры предыдущего вопроса)?
6. Получить скрытую информацию, касающуюся проходящих по делу лиц (физических и юридических).
7. Подготовлены ли представленные на исследование документы (файлы) на представленной на исследование технике?
8. Дать заключение об исправности (проценте износа, оценки стоимости и т. п.) СКТ, представленных на исследование.
9. Исследовать представленные СКТ на предмет наличия в них изменений вирусного характера либо иных, влияющих на алгоритм (параметры) нормального функционирования СКТ (заданных изготовителем), либо на конечные результаты работы конкретного программного продукта. В положительном случае определить механизм внесения таких изменений, место, время, характер и их последствия.
Указанный выше список вопросов, естественно, не является исчерпывающим и может быть расширен, исходя из обстоятельств конкретного уголовного дела. При этом в затруднительных случаях при постановке вопросов следует консультироваться у самого эксперта.
В настоящее время программно-технические экспертизы выполняются только в ИЦ ГУВД Московской области. Специалистами указанного учреждения в 1994 г. были разработаны и апробированы на практике некоторые основные аспекты методики подготовки и назначения рассматриваемых экспертиз.
Анализ литературных источников свидетельствует о том, что отечественными учеными достаточно активно ведутся разработки следующих методик экспертного исследования в этой области. Так, под руководством Е. Белоглазова разрабатывается методика идентификации пользователя ЭВМ при отработке следственной версии о том, что определенное лицо произвело какие-либо манипуляции с машинной информацией. Суждение относительно принципиальной возможности такого отождествления основано на том, что комплекс периодов времени нажатия на различные клавиши клавиатуры терминала можно рассматривать как своеобразный таймерный “почерк” по аналогии с “почерком” работы радиотелеграфиста в режиме передачи на ключе радиопередатчика. При условии его фиксации с использованием средств компьютерной техники он может способствовать, по утверждению автора, определению классификационной группы, к которой относится искомый пользователь-оператор, а в некоторых благоприятных случаях и индивидуализировать его, поскольку скорость работы пользователя на клавиатуре обусловлена степенью выработанности у него соответствующих навыков.
Отрицательным моментом этой идеи, на наш взгляд, является то, что существует немало факторов, способных осложнить проведение исследования и исказить его результаты, например стресс, опьянение оператора, попытки сымитировать навыки работы другого лица, ограничение зрительного контроля и т. д. Тем не менее, благодаря подобному исследованию, можно будет исключить из числа причастных к проверяемым операциям всех законных пользователей системы или сети, что должно означать установление несанкционированного доступа к информационной системе подозреваемого. После установления “почерка”, он может быть зафиксирован на физическом носителе в качестве следов преступления [86, с. 38].
По мнению ряда специалистов, давно назрела необходимость в разработке следующих методик экспертного исследования:
1) установления соответствия определенной компьютерной системы или сети стандарту и проверки ее работы с помощью специальных тестов;
2) исследования вещественных доказательств, предусматривающего:
— фиксацию источника, вида, способа ввода, вывода данных и их обработку;
— выявление изменений и дополнений в программных средствах;
— восстановление поврежденных или уничтоженных файлов;
— восстановление поврежденных магнитных и иных носителей машинной информации;
— определение давности исполнения отдельных фрагментов программных средств;
3) идентификации автора программного средства, его назначения (вирусного или иного), установления факта его интерпретации и пределов дозволенной компиляции.
В этом направлений определенный научный интерес, с нашей точки зрения, представляют разработки А. Комиссарова, основанные на использовании в качестве общего идентификационного признака степень выработанности у автора программного средства профессиональных навыков, а в качестве частных признаков — используемых в автороведческой экспертизе синтаксических, лексических особенностей письменной речи, топографических признаков и т. д. [86, с. 38].
Очень часто в процессе расследования компьютерного преступления возникает необходимость в установлении этапов обработки бухгалтерских данных с использованием ЭВМ, на которых вносились те или иные изменения, признаков интеллектуального подлога в первичных и сводных бухгалтерских документах, составленных на ЭВМ, в установлении фактов уменьшения облагаемой налогом прибыли, выявлении причастных к совершению компьютерного преступления счетных работников путем исследования носителей оперативной информации, а также лиц, вводивших соответствующие данные в ЭВМ, и т. д. По нашему мнению, для этих целей возможно использовать уже существующие методики производства судебно-бухгалтерских экспертиз, позволяющие при проведении исследований установить, насколько соблюдены те или иные требования положений о документах и документообороте в бухгалтерском учете при оформлении различных хозяйственных и иных операций первичными документами и отображении их в регистрах бухгалтерского учета и отчетности, в том числе выраженных в форме, зафиксированной на машинном носителе и машинограмме, созданных средствами компьютерной техники. В случаях выявления нарушения этих нормативных документов эксперт-бухгалтер может установить их причины (не сделаны ли они с целью совершения преступления: злоупотребления, сокрытия недостачи материальных ценностей, уменьшения их размера и т. д.) одновременно формулируя вывод о том, насколько нарушения положений повлияли на состояние бухгалтерского учета и выполнение функций лицами, ответственными за это в управлении хозяйственной или иной деятельностью. При этом возможно установление лиц, ответственных за созданные или допущенные нарушения правил составления первичных документов и учетных регистров [9, с. 107]. Как показывает анализ следственной практики, основной проблемой при выявлении и расследовании преступлений рассматриваемой категории является отсутствие у сотрудников минимально необходимых специальных познаний в этой области. Большая сложность возникает в вопросах терминологии, определения понятия составных частей компьютерной системы и сетей, правильного понимания общего режима их функционирования в различных технологических процессах. Все это приводит к тому, что многие нормативные документы, регламентирующие правовой режим функционирования средств компьютерной техники, остаются неизвестными и соответственно не учитываются в процессе проведения оперативно-розыскных мероприятий и следственных действий, что в конечном итоге значительно затрудняет выявление преступлений, сказывается на полном и объективном расследовании уголовных дел данной категории. Особенно много ошибок возникает при производстве следственных действий, которые, как правило, проводятся без участия соответствующего специалиста и без учета специфики расследуемого преступления.
Так, например, при осмотре места происшествия изымаются не все средства компьютерной техники (СКТ), несущие в себе следы преступной деятельности и имеющие важное значение для следствия, а те из них, которые изымаются, не могут впоследствии играть роль доказательств (в соответствии со ст.ст. 69 и 83 УПК — см.: 91), т. к. их изъятие в подавляющем большинстве случаев производится с нарушением установленного порядка и правил, учитывающих специфику предмета, в результате чего теряется их процессуальное значение. Поэтому в процессе расследования компьютерных преступлений при производстве практически любых следственных действий считаем необходимым в обязательном порядке привлекать соответствующего специалиста (специалистов).
Помимо этого, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий. Приведем примеры некоторых из них.
Если следователь располагает информацией, что на объекте обыска находятся СКТ, расшифровка данных с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию. Необходимо участие в ходе обыска как минимум двух специалистов по компьютерной технике: программиста (системного аналитика) и связиста.
По прибытии на место обыска следует сразу же принять меры к обеспечению сохранности СКТ и имеющихся на них данных и ценной информации. Для этого необходимо:
1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска или находящихся здесь по другим причинам (персоналу), прикасаться к СКТ с любой целью;
2) не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;
3) в случае если на момент начала обыска электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику, находящуюся на объекте;
4) самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен;
5) при наличии в помещении, где находятся СКТ, опасных веществ, материалов и/или оборудования (взрывчатых, токсических, едких, легковоспламеняющихся, магнитных и электромагнитных и т. п.) удалить их в другое помещение;
6) при невозможности удаления опасных материалов из помещения, а также при настойчивых попытках персонала получить доступ к СКТ принять меры для удаления персонала в другое помещение.
После принятия указанных выше неотложных мер можно приступать к непосредственному обыску помещения и изъятию СКТ. При этом следует принять во внимание следующие неблагоприятные факторы:
— возможные попытки со стороны персонала повредить СКТ с целью уничтожения информации и ценных данных;
— возможное наличие на СКТ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;
— возможное наличие на СКТ иных средств защиты от несанкционированного доступа;
— постоянное совершенствование СКТ, следствием чего мо-экет быть наличие на объекте программно-технических средств, незнакомых следователю.
В целях недопущения вредных последствий перечисленных факторов следователь может придерживаться следующих рекомендаций:
1. Перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера — путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель — приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере).
2. При наличии средств защиты СКТ от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т. д.).
3. Корректно выключить питание всех СКТ, находящихся на объекте (в помещении).
4. Не пытаться на месте просматривать информацию, содержащуюся на СКТ.
5. В затруднительных случаях не обращаться за консультацией (помощью) к персоналу, а вызывать специалиста, не заинтересованного в исходе дела.
6. Следует изъять все СКТ, обнаруженные на объекте.
7. При обыске не подносить ближе 1 м к СКТ металлоиска-тели и другие источники магнитного поля, в т. ч. сильные осветительные приборы и некоторую спецаппаратуру.
8. Поскольку многие, особенно неквалифицированные, пользователи записывают процедуру входа-выхода, работы с компьютерной системой, а также пароли доступа на отдельных бумажных листках, следует изъять также все записи, относящиеся к работе СКТ.
9. Так как многие коммерческие и государственные структуры прибегают к услугам нештатных и временно работающих специалистов по обслуживанию СКТ, следует записать паспортные данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте.
При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уго-ловно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать СКТ так, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй — на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и “наводок”, направленных излучений. Для опечатывания магнитных носителей лучше всего упаковать их в пакет из обычной фольги (возможно от оберток плиточного шоколада) и опечатать их обычным способом. Недопустимо приклеивать что-либо непосредственно к физическим носителям информации, пропускать через них бечеву, пробивать стиплером, наносить подписи или маркировки (пометки), пластилиновые (сургучные) печати и т. д.
В случае когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт), о чем обязательно делается отметка в протоколе проведения следственного действия.
В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или в крайнем случае создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.
Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего устройства — ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами: Государственный стандарт (ГОСТ) № 6104-84 от 01.07.87 “УСД. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения” и Постановление Госстандарта № 2781 от 24.09.86 “Методические указания по внедрению и применению ГОСТ 6104-84” [18; 73]. Только с использованием указанных нормативных документов машинная информация будет относиться к разряду “документированной информации”, как требует того закон [31]. В данном случае необходимо установить и зафиксировать в протоколе проведения следственного действия следующее:
— программу, исполняемую компьютером на момент проведения следственного действия или последнюю исполненную им. Для этого необходимо детально изучить и описать изображение, существующее на экране дисплея компьютера, все функционирующие при этом периферийные устройства и результат их деятельности. Необходимо знать, что многие сервисные программные средства позволяют определить и просмотреть наименование всех ранее вызывавшихся программ и последнюю исполненную. Например, с использованием NORTON COMMANDER последняя исполнявшаяся программа определяется по положению курсора (выделенной световой полосой);
— результат действия обнаруженной программы;
— все манипуляции со средствами компьютерной техники (включая нажатия на клавиши клавиатуры), произведенные в процессе проведения следственного действия, и их результат (например, при копировании программ и файлов, определении их атрибутов, времени и даты создания и записи, а также при включении и выключении аппаратуры, порядка отсоединения ее частей).
Изъятие аппаратуры СКТ производится только в выключенном состоянии. При этом должны быть выполнены и отражены в протоколе следующие действия:
— установлено включенное оборудование и зафиксирован порядок его отключения;
— описано точное местонахождение изымаемых предметов и их расположение относительно друг друга и окружающих предметов (с приложением необходимых схем и планов);
— точно описан порядок соединения между собой всех устройств с указанием особенностей соединения (цвет, количество, размеры, характерные индивидуальные признаки соединительных проводов, кабелей, шлейфов, разъемов, штеккеров и их спецификация);
— определено отсутствие либо наличие используемого для нужд СКТ канала (каналов) связи и телекоммуникаций. В последнем установлены тип связи, используемая аппаратура, абонентский номер, позывной либо рабочая частота;
— разъединены с соблюдением всех необходимых мер предосторожности аппаратные части (устройства) с одновременным опломбированием их технических входов и выходов [52,с. 241-243].
Как показывает практика, при изъятии средств компьютерной техники у следователя могут возникать конфликты с персоналом. При их разрешении дополнительно к вышеизложенным правилам желательно руководствоваться следующими рекомендациями:
1) недопустимо производить изъятие в несколько приемов, даже если следователь не располагает необходимым транспортом. В этом случае нужно сделать несколько рейсов с объекта до места хранения изъятых материалов;
2) изъятые материалы не могут быть оставлены на ответственное хранение на самом объекте или в другом месте, где к ним могут иметь доступ посторонние лица;
3) недопустимо оставление на объекте части средств компьютерной техники по мотивам ее “абсолютной необходимости” для деятельности данной фирмы (организации). Желание персонала сохранить от изъятия определенные СКТ обычно указывает на наличие на них важной для следствия информации;
4) следует изымать все СКТ, находящиеся в помещении объекта, независимо от их юридической принадлежности;
5) если персонал настаивает на отражении в протоколе следственного действия конкретных качеств изымаемых СКТ (марка, быстродействие, марка процессора, объем памяти и т. д.), то эти сведения могут быть записаны лишь как отдельные заявления.
Обратим особое внимание на то, что при производстве любых следственных действий, касающихся непосредственно компьютерных систем и средств их защиты, необходимо перед их началом в обязательном порядке получать и анализировать информацию, касающуюся их периферийной принадлежности, уровня соподчиненности и используемых при этом телекоммуникационных средств во избежание: их разрушения либо нарушения заданного технологического ритма и режима функционирования; причинения крупного материального ущерба; уничтожения вещественных доказательств, следов и документов.
Отметим также, что при расследовании компьютерных преступлений зачастую трудно бывает установить как объективную, так и субъективную сторону преступления. Сложность для следствия здесь заключается в том, что очень часто преступник не может в полной мере представить себе последствия своей деятельности. Такая неопределенность часто возникает, например, при попытках несанкционированного доступа в компьютерные сети. Преступник не всегда правильно представляет себе ценность копируемой, уничтожаемой или искажаемой информации, а тем более дальнейшие последствия, к которым могут привести его действия. Специфичность СКТ такова, что одни и те же действия приводят к разным последствиям при различных (и часто совершенно неизвестных преступнику) состояниях вычислительной системы, ее загрузки, степени надежности и защищенности, связи с другими системами. Все это в конечном итоге приводит к сложности не только в установлении причинно-следственных связей, но и в определении всех последствий преступления, не говоря уж об отличении умысла от неосторожности.
Как отмечают зарубежные специалисты, затрудняет процесс расследования компьютерных преступлений такое обстоятельство, как сокрытие преступником следов своей деятельности, например путем стирания данных или путем введения в компьютерную систему потерпевшей стороны вредоносных программ типа “логическая бомба”, “троянский конь”, компьютерный вирус и т. п. Непросто также установить причинно-следственную связь между фактом совершения преступления и подозреваемым, особенно в случае наличия значительного числа пользователей компьютерной системы [79, с. 8].
Помимо вышеуказанного, существующая в настоящее время в России инфраструктура связи и телекоммуникаций, по нашему мнению, не обеспечивает пользователя достаточно адекватной защитой от попыток получения несанкционированного доступа к СКТ, равно как и не дает возможности к установлению личности преступника, пользующегося этой связью.
Таким образом, работа по раскрытию и расследованию компьютерных преступлений обладает целым рядом особенностей и требует специальной подготовки сотрудников правоохранительных органов.
Как свидетельствует зарубежный опыт и показывает отечественная практика, прежде всего сам следователь должен обладать определенными познаниями и навыками в этой области (знать терминологию, составные части компьютерной системы и сетей, общий режим их функционирования, основные нормативные документы, регламентирующие этот режим, правовые акты, определяющие статус машинной информации и иных информационных ресурсов, обладать навыками пользователя ЭВМ и т. д.), поскольку без этого невозможно полное и объективное расследование уголовных дел данной категории. Это подтверждают и данные проведенного нами исследования. Так, на вопрос “Нужны ли следователю, ведущему подобные уголовные дела, специальные познания в этой области?” 65% респондентов ответили “Да”, а 46% из них подчеркнули “Обязательно”, тогда как “Нет” ответили всего 2% опрошенных. Между тем реальное положение дел таково, что на практике лишь 15% следователей (из числа опрошенных) имеют эти познания и используют их непосредственно для своей работы, 37% — их не имеют вообще, а 48% — имеют лишь частичные познания в этой области. Нетрудно подсчитать, что общий процент следователей, совершенно не обладающих данными познаниями, составляет 85% ! Одновременно с этим респондентами отмечалась необходимость в получении подобных знаний: на вопрос “Требуется ли обучение сотрудников органов внутренних дел для работы на компьютере в качестве пользователя?” ответили “Да” 78%, из них “Обязательно” — 28%.
Дальнейшее исследование показало, что подобная ситуация, характеризующая обозначенную выше проблему, сложившаяся на начало сентября 1994 г. в органах внутренних дел (на момент проведения исследования), обусловлена, по нашему мнению, значительным некомплектом подразделений ОВД средствами компьютерной техники. По данным проведенного нами исследования видно, что в среднем активно использовалось в масштабе городского (районного) управления (отдела) ОВД лишь 4 ед. указанной техники при общем недостатке соответствующих программных средств, отсутствии специалистов и необходимых знаний у сотрудников ОВД и их начальников.
Известно, что расследование преступлений как специальный вид юридической деятельности предполагает планирование, организацию и проведение определенной совокупности действий и образующих их операций, успешная реализация которых в конечном итоге должна привести к достижению желаемых результатов — выявлению события преступления и лица (лиц), его совершившего.
В ходе многовековой практики расследования преступлений определился круг таких действий и их направленность, целевые функции, что позволяет говорить об их определенной типизации, в частности применительно к расследованию конкретных видов преступлений. Кроме того, глубокий анализ следственной практики показал, что, хотя к началу расследования любого преступления могут сложиться различные следственные ситуации, все их многообразие тоже можно подразделить на несколько наиболее характерных групп, или, иными словами, типизировать, выделить типичные следственные ситуации.
В свою очередь конкретная следственная ситуация обусловливает основные направления расследования, в частности те следственные версии, которые она порождает и проверка которых требует проведения сугубо определенных следственных или оперативно-розыскных действий, что опять-таки приводит к типизации операций по выявлению, исследованию и использованию разнообразной криминалистической информации, которую можно обрабатывать с использованием соответствующих орудий — компьютерной техники.
Все это и позволяет считать, что наиболее перспективным направлением совершенствования организации работы следователя является использование персональных компьютеров и других средств компьютерной техники в процессе предварительного расследования компьютерных преступлений. Подобное утверждение подтверждается и данными зарубежной специальной литературы.
Как показывает практика, обработка всей имеющейся информации и документов по расследуемому уголовному делу с использованием персональных компьютеров позволяет значительно сократить сроки предварительного расследования, уменьшить временные затраты на оформление и составление необходимых материалов и документов, а значит, больше внимания уделить тактике расследования преступления и в конечном итоге более полно и объективно провести расследование с одновременной его оптимизацией.
Исследованию данной проблемы было уделено достаточно много внимания со стороны широкого круга исследователей, среди которых можно выделить: Баранова А.К., Белякова К.И., Бобрынина Н.Б., Карпычева В.Ю., Кузьмина А.П., Минаева В.А., Полежаева А.П., Попова Ю.В., Смирнова Д.И., Цымбалюка В.И.. Черкасова В.Н., Швеца Н.Я. и др.
Как отмечается авторами, наиболее эффективным средством при расследовании уголовных дел с большим объемом информации, текстовых и числовых данных является использование персонального компьютера. Последний позволяет следователю в максимально сжатые сроки своевременно сопоставлять между собой различные документы, находить в них взаимные противоречия, устанавливать отклонения от стандартного образца, а также определять множества числовых показателей по большому количеству документальных форм, производить другие действия, связанные с хранением, поиском, обработкой накапливаемой оперативной информации значительного объема и содержания и имеющей важное значение для следствия. Помимо этого, возникает постоянная необходимость в корректировке и анализе текстовой информации, потребность поиска в материалах уголовного дела различных причинно-следственных связей, в подготовке многих процессуальных и непроцессуальных документов. Этому есть и практическое подтверждение. Например, исходя из факта конкретного уголовного дела, впервые расследованного с использованием персонального компьютера работниками следственной части ГСУ МВД РСФСР в 1990 г. Об эффективности его применения в расследовании говорят следующие цифры:
— всего по делу проходил 31 обвиняемый;
— было исследовано 24 эпизода хищений государственного имущества, 11 эпизодов краж личного имущества граждан и 21 эпизод иных преступлений, совершенных обвиняемыми, в том числе: подделка документов, незаконное хранение и ношение холодного и огнестрельного оружия и боеприпасов и т. д.;
— на 21 обвиняемого дело было направлено в суд, причем окончательная распечатка всех постановлений заняла всего один рабочий день, хотя объем лишь одного постановления составлял порядка 10-15 страниц машинописного текста;
— печатание обвинительного заключения объемом в 200 машинописных страниц заняло всего 6 рабочих часов.
Отметим, что в условиях роста преступности, снижения уровня раскрываемое преступлений, повышения требований к доказыванию вины обвиняемых, о которых нами говорилось в первой главе настоящей работы, решение задач, стоящих перед правоохранительными органами, уже невозможно только экстенсивным путем, только путем наращивания сил и средств. Усложнение процесса расследования предъявляет совершенно иные, гораздо более высокие требования к мыслительной деятельности следователя. Данный вид деятельности, в свою очередь, требует высочайшей квалификации, большого опыта работы, глубоких знаний из самых различных отраслей науки. Помочь в этом следователю, по нашему мнению, может только активное использование им в работе средств компьютерной техники, и в частности персонального компьютера. Последний потому и называется персональным, что ориентирован на разработку и решение различного рода задач, поставленных пользователем без участия каких-либо посредников — специалистов.
Для нормального и эффективного функционирования любой компьютерной системы, как известно, необходимо соответствующее программное обеспечение, и в частности то, которое непосредственно участвует в информационном технологическом процессе расследования преступления, подчиняющегося, как правило, определенной стандартной процедуре [43].
Исходя из вышесказанного, в настоящее время можно отчетливо выделить два основных направления в разработке программного обеспечения для нужд органов внутренних дел. Рассмотрим их детальнее. (Здесь и далее по тексту используются материалы обобщения практики применения средств компьютерной техники в деятельности ОВД России, подготовленные авторами: Щербининым А.И., Игнатовым Л.Н., Зайченко B.C., Мастинским Я.М., Николаевым В.Н., Котовым И.А., Михайловым М.Ю.)
1. Программы (комплексы) расследования уголовных дел, позволяющие следователю оформлять процессуальные и непроцессуальные документы, осуществлять визуальный анализ материалов уголовного дела и характеризующиеся следующим набором обрабатываемой информации:
— фиксируемой следователем в процессуальных документах (протоколах, постановлениях и т. д.);
— истребованной следователем по запросам (справки, характеризующий материал и т. д.);
— получаемой при анализе процессуальных документов (формула обвинения, обвинительное заключение, постановление о прекращении уголовного дела и т. д.).
Отсюда следует и перечень автоматизируемых функций:
— заполнение процессуальных документов;
— составление формулы обвинения;
— оформление характеризующего материала;
— составление материалов профилактических мероприятий;
— систематизация материалов уголовного дела;
— поиск необходимых сведений в имеющихся материалах уголовного дела (фамилии, имена, клички, даты, суммы, эпизоды, протоколы, постановления и другие реквизиты);
— составление обвинительного заключения или другого необходимого документа;
— подготовка справочных материалов для направления в суд. 2. Программы обработки сопутствующей информации (не использованной в материалах конкретного уголовного дела) и дополнительного анализа материалов уголовного дела для основных видов расследуемых преступлений, где под сопутствующей информацией понимаются сведения, являющиеся рабочим материалом следователя (по типу “записной книжки”) и не оформленные в процессуальных документах, приобщенных к уголовному делу.
Данные программы позволяют следователю обрабатывать следующие категории информации:
— сведения о лицах, данные о которых имеются в деле;
— связи лиц, проходящих по делу;
— сведения о вещественных доказательствах (как появились в деле, их описание, денежная оценка, место хранения и т. д.);
— данные об эпизодах преступлений (описание эпизодов, место, время, участники, способ совершения, наличие вещественных доказательств и т. д.).
Автоматизации подлежат следующие функции: ввод, хранение и обработка (поиск и вывод) информации следующего содержания:
— о лицах, сведения о которых имеются в деле;
— о связях лиц, проходящих по делу;
— о вещественных доказательствах;
— об эпизодах преступлений.
При этом нами особо выделяется следующее обстоятельство:
удельный вес перечисленных выше факторов может существенно изменяться каждым конкретным пользователем в зависимости от количественных и качественных характеристик расследуемого уголовного дела, например от количества эпизодов, участников следственного процесса, вида и состава преступлений.
Как видно из вышеприведенного, основные требования, предъявляемые к программному обеспечению персональных компьютеров, достаточно просты и сводятся к одному понятию: использовать компьютерные системы только в качестве обычной электронной пишущей машинки и автоматизированного банка данных, с чем, естественно, нельзя согласиться. Проведя анализ наиболее распространенных программных средств, используемых в настоящее время в органах внутренних дел, нами было установлено, что все они в основном направлены на решение тех же задач, которые требуют для этих целей чрезвычайно малых вычислительных ресурсов имеющейся на вооружении компьютерной техники, используя при этом ее мощности неэффективно. К ним, в частности, можно отнести следующие программные средства:
1) текстовые редакторы “Фотон” и “Лексикон”;
2) система анализа и учета уголовных дел в интерактивной среде “Мастер” (САУД-М);
3) гипертекстовая система “Интелтекст”, созданная на базе системы “БАГИС” и применяемая только высококвалифицированным пользователем;
4) автоматизированная система “АРСЕНАЛ”, функционирующая на основе начальных версий программного средства “Флинт”;
5) автоматизированные информационно-поисковые системы (АИПС): “Опознание”, “Спрут”, “Кондор”, “Сейф”, “Дакто-эксперт”, “Папилон”, “Портрет”, “Квадрат” и др.;
6) диалоговый конструктор “БИНАР-3” (ДК БИНАР). На последнем программном продукте стоит остановиться более подробно, т. к., по нашему мнению, он в настоящее время наиболее эффективен по сравнению с другими в плане его применения в процессе расследования компьютерных преступлений, связанных с хищением денежных средств в банковских, финансовых и коммерческих структурах, характерной особенностью которых является наличие нескольких десятков и сотен участников процесса, большого числа эпизодов, учетно-бухгалтерских и иных документов.
Программное средство диалоговый конструктор “БИНАР-3” предназначен для решения информационно-справочных и информационно-логических задач на совокупности взаимосвязанных объектов учета (ОУ), задач информационной поддержки принятия решений, задач синтеза новой информации на основе построения цепочек связей и задач идентификации ОУ. ДК БИНАР работает в операционной системе Novell Net Ware (версии не ниже 2.2), предназначенной для работы в сетевом режиме с распределенными базами данных (БД) с отношениями вида М; N, обеспечивающими работу следственной бригады, каждый сотрудник которой вводит информацию и необходимые связи в БД независимо от работы других членов бригады. Причем данной информацией могут воспользоваться только лица, непосредственно работающие по данному уголовному делу. Это достигается с помощью программных средств защиты от несанкционированного доступа, примененных в системе.
ДК БИНАР позволяет хранить и обрабатывать формализованные символьные данные и текстовые фрагменты с подключением (свободной интеграцией) любого текстового редактора (по желанию пользователя); обладает хорошо развитыми средствами настройки БД.
База данных может произвольно изменяться и расширяться пользователем в пределах 32 различных ОУ, что вполне перекрывает практические потребности следствия. Объем записей (количество реализации) по каждому объекту учета практически неограничен — до 1 млн. символов. При этом количество характеристик (реквизитов) одного ОУ — не менее 150 единиц.
На верхнем уровне управления ходом расследования преступления ДК БИНАР может быть получена обобщенная информация об объектах преступления и связях, выявленных в ходе анализа накопленной в БД информации. Однако для подготовки текстовых документов возможности БИНАРА ограничены из-за пакетного режима их обработки, а необходимость специальных познаний в области функций программирования системы Clipper, как и сама сложность системы в целом, резко снижает ее эффективность при расследовании уголовных дел средней и малой сложности и объема.
Вышеизложенное свидетельствует о том, что специфические условия, в которых осуществляется процесс раскрытия и расследования преступлений, в том числе и компьютерных, обусловливает существенные изменения в организации решения задач с использованием компьютерной техники. Отсутствие на любой стадии предварительного следствия, вплоть до его окончания, достаточно полных и достоверных данных об обстоятельствах, подлежащих обязательному установлению и составляющих, в силу уголовно-процессуального закона, предмет доказывания, требует новых, более гибких подходов при использовании персональных компьютеров в ходе расследования преступлений. Решение задач следствия уже не может быть обычным запуском готового программного продукта, а представляет собой сложную цепь их модификаций и интеграции, связанных с осмыслением задачи в самом процессе расследования, включением в нее дополнительных входных данных, корректировку ранее введенных, что часто приводит к значительным изменениям всей первоначальной структуры логики программного обеспечения. Подчеркнем, что здесь в первую очередь важна не работа по готовому алгоритму, заданному разработчиком программного средства, а динамическое развитие логики самой задачи, требующей своего разрешения в процессе расследования определенной категории уголовных дел, реализуемое в процессе диалога следователя-пользователя с ЭВМ.
По мнению ряда специалистов, например Баранова А.К., Цветкова С.И., подобных результатов можно достичь лишь при создании и использовании в деятельности органов внутренних дел компьютеризированных систем искусственного интеллекта (экспертных систем), представляющих собой автоматизированные информационные системы, которые на основе своих внутренних ресурсов могут приспосабливаться к возникающей внешней ситуации, определять взаимосвязь между различными факторами, характеризующими эту ситуацию, их место и роль в окружающей систему информационной среде и на основе обработки введенной на первоначальном этапе и вводимой пользователем по запросам системы в процессе ее работы информации и данных вырабатывать набор возможных решений поставленной задачи (задач), снабженных интеллектуальным интерфейсом, позволяющим пользователю обращаться к данным на естественном или профессионально-ориентированном языках.
Как свидетельствует анализ специальной литературы, используемые и разрабатываемые в настоящее время в органах внутренних дел программные средства уже сейчас позволяют формулировать рекомендации в сложных ситуациях, возникающих в процессе расследования преступления. Однако эффективность их использования ограничивается огромным объемом информации и данных о криминалистических, уголовно-правовых и уголовно-процессуальных знаниях, нуждающихся в формализации и введении в память указанных систем. С другой стороны, опыт использования таких систем свидетельствует о том, что значительный объем подобной информации о знаниях является универсальным и может быть использован при расследовании различных категорий преступлений, обусловливая в конечном итоге необходимость создания новых информационных систем, основанных не на данных, а на знаниях, на использовании объективно ориентированного подхода и методах обработки информации в любой форме ее представления (в т. ч. и графической).
По нашему мнению, последнее возможно лишь посредством использования новых информационных технологий, составной частью которых является нетрадиционный (поп von Neumann) подход к организации и управлению информационными ресурсами в компьютерных системах, выраженный в принципе управления потоками данных (знаний) в отличие от управления потоками команд. В данном случае основными орудиями производства информационного продукта являются персональные компьютеры
V и VI поколений (fifth-and sixth-generation computers), характеризующиеся:
— отсутствием использования принципа последовательной передачи управления (счетчиком команд);
— отсутствием реализации концепции переменной (идентификатора);
— использованием в качестве элементной базы сверхбольших интегральных микросхем (СБИС) либо трансфазорных или органических (био-) элементов;
— использованием новых конструкторских решений в архитектуре строения вычислительной среды для реализации принципов искусственного интеллекта;
— возможностью полноценного использования систем виртуальной реальности.
В качестве примера можно привести опыт использования потоковых и редукционных компьютеров для решения задач правоохранительных органов в зарубежных странах: ФРГ, США, Канаде, Англии, Японии (57, с. 84; 100]. Из указанных литературных источников видно, что ведущие подразделения правоохранительных органов зарубежных стран с начала 90-х гг. начали активно оснащаться указанными компьютерами с соответствующим программным обеспечением, стоимость которого достигает 40 тыс. долл. США (например, программные пакеты проведения автоматической ревизии машинной информации и тестирующих проверок компьютерных систем с целью установления и фиксации фактов потерь финансовых средств). В настоящее время в полиции зарубежных государств широкое распространение получили портативные персональные компьютеры типа Toshiba-5200, ThinkPad, Latitude и Laptop в блокнотном (notebook) и субблокнотном (весом менее 1,5 кг - subnotebook) исполнении.
Основными фирмами-производителями являются: IBM, Compaq, NEC, Del, Toshiba, Motorola, Fujitsu, Olivetti, Vobis Microcomputers, a также фирма Apple, производящая компьютеры типа Macintosh на платформе ОС, совместимой с IBM PC с использованием процессора PowerPC нового поколения [59].
Как показывает анализ специальной литературы, в последние годы исследование проблем искусственного интеллекта становится одним из ведущих направлений в отечественной науке, охватывая при этом самые различные отрасли знаний. Общенаучные основы данной проблемы исследуются в рамках разнообразных междисциплинарных теорий. Тем не менее, объективно оценивая сложившуюся неблагоприятную общественно-политическую и экономическую ситуацию в России (о чем подробно говорилось в первом параграфе первой главы настоящей работы), считаем, что пока рано конкретно вести речь о создании интегрированных сложных экспертных систем (искусственного интеллекта) для нужд органов внутренних дел. Это обусловлено как Значительными ресурсными затратами, так и общей профессиональной неподготовленностью сотрудников в этой области знания. Поэтому в настоящее время, с нашей точки зрения, целесообразнее всего говорить, учитывая современное состояние дел и существующую материально-техническую базу органов внутренних дел, о разработке и использовании новых программных средств принятия тактических решений, например следователем в процессе расследования конкретного уголовного дела по типу автоматизированного рабочего места (АРМ).
Особенно перспективным, на наш взгляд, направлением в этом является использование для этих целей программного комплекса FLINT (Formal Language of INteractive Talk), позволяющего пользователю, имеющему минимальные познания, самому создавать необходимые базы данных (БД) и работать с ними без помощи специалистов. Использование FLINT облегчает проектирование на персональных IBM-совместимых компьютерах типа IBM PC/XT/AT автоматизированных рабочих мест как универсального, так и специального назначения и ориентированных на обработку документальной информации анкетного (вопрос-ответ) вида с формированием БД по типу картотеки [96]. Рассмотрим его более подробно.
Практически для любого объекта инструментальное средство (ИС) FLINT позволяет легко и быстро создавать интегрированные БД, функционирующие как в автономном, так и в сетевом режимах, поддерживая их работоспособность за счет более 200 специальных функций, воплощенных в ИС.
Программы FLINT написаны на языке Clipper (Nantucket Corp.) ver. 5.01. Структура информационных файлов (DBF) соответствует стандартному формату AshtonTate для БД реляционного типа, а структура индексных файлов (NTX) при этом соответствует самому формату Clipper. ИС FLINT функционирует в среде операционной системы MS DOS версий 3.30 и выше, которые позволяют пользователю работать в сети через NET BIOS, либо любую другую сетевую среду, разработанную по стандартам DOS, хотя заметим, что основной средой, гарантирующей качественную работу FLINT, является NetWare ver. 2.1 и выше.
В системе предусмотрен и такой немаловажный, по нашему мнению, функциональный блок, как ведение паролей пользователей (программный модуль fl4.exe), предназначенный для разграничения и предотвращения несанкционированного доступа к информации [96, с. 7].
В заключение отметим, что, как видно из вышеприведенного, в настоящее время имеется немало возможностей, способствующих раскрытию компьютерных преступлений. Однако их эффективность зависит от ряда рассмотренных нами объективных и субъективных обстоятельств, из которых на первое место выступает, по нашему мнению, создание в системе правоохранительных органов России общего организационно-методического центра, координирующего всю работу в этом направлении, наделенного соответствующими полномочиями и способного по своему профессиональному составу заниматься всем спектром поднятых нами проблем.
«все книги «к разделу «содержание Глав: 7 Главы: 1. 2. 3. 4. 5. 6. 7.