3. Возбуждение уголовного дела

В соответствии со ст. 108 УПК РСФСР поводами к возбуждению уголовных дел, в том числе о преступлениях в сфере компьютерной информации, являются:

- заявления и письма (оформленные и зарегистрированные в установленном порядке) граждан, являющихся владельцами и законными пользователями компьютерной информации, подвергшейся преступному воздействию;     

- непосредственное обнаружение органами дознания признаков какого-либо преступления в сфере компьютерной информации (ст. ст. 272, 273 или 274 УК РФ);

- сообщения предприятий, учреждений, организаций всех форм собственности и должностных лиц;

- статьи, заметки и письма, опубликованные в печати;

- явка с повинной.

В последние три года отмечается устойчивая тенденция возбуждения уголовных дел этой категории по материалам оперативно-розыскных мероприятий специализированных подразделений ФСБ, МВД. В частности, для выявления преступлений в сфере так называемых «высоких технологий» (к которым относятся и компьютерные преступления), а также для установления лиц и преступных группировок, занимающихся преступной деятельностью в этой области, создано Управление «Р» МВД России.

Решение вопроса о возбуждении уголовного дела, как правило, требует тщательной проверки и оценки имеющихся данных.

Исключение составляют редкие случаи задержания правонарушителей с поличным (например, при работе на компьютере в момент несанкционированного копирования конфиденциальной информации, при хищении машинных носителей с такой информацией, передаче их третьим лицам и т.д.). В этих случаях для проведения неотложных следственных действий (личного обыска задержанного, обыска по месту его работы и жительства, где находится его персональный компьютер), а также других проводимых «по горячим следам» (во избежание утраты и уничтожения доказательств совершенного преступления) оперативно-следственных мероприятий уголовное дело необходимо возбудить немедленно.

Во всех других случаях при получении следователем или иным уполномоченным на то лицом сообщения о совершении преступления в сфере компьютерной информации должна быть проведена (как правило, органами дознания) доследственная проверка в порядке и в сроки, предусмотренные ст. 109 УПК РСФСР.

При этом типичными являются следующие ситуации:

- заявители (администрация организации, владелец компьютерной информации) сами выявили факт преступления или признаки совершенного преступления, но не смогли сами установить конкретных лиц, в связи с чем обратились в правоохранительные органы;

- заявители (администрация организации, потерпевший)  не только обнаружили преступление, его признаки, но и выявили установочные данные подозреваемого лица, (чаще всего это номер телефона, сообщенный провайдером услуг глобальной компьютерной сети Интернет, если подсоединение к компьютерной сети произведено с использованием Интернета).

Предварительная проверка (в первом случае) производится в целях объективного подтверждения фактов, изложенных в заявлениях, материалах ведомственной и иной проверки, а именно:

- о нарушении целостности (конфиденциальности) информации в компьютерной системе, сети;

- о наличии причинной связи между неправомерными действиями и наступившими последствиями, предусмотренными диспозицией ст. ст. 272 и 274 УК РФ, в виде копирования, уничтожения, модификации, блокирования информации, нарушения работы ЭВМ (для возбуждения уголовного дела по ст. 273 УК РФ наступление таких последствий не обязательно);

- а также о предварительном размере ущерба, причиненного в результате преступных действий.

В процессе доследственной проверки необходимо принять меры к установлению таких необходимых для возбуждения уголовного дела данных, как:

- следы преступления;

- место неправомерного проникновения в компьютерные сети (внутри потерпевшей организации  или  извне);

- способы совершения неправомерного доступа (копирования, модификации, уничтожения информации, внесения вредоносных программ) и его последствия;

- средства, использованные при совершении преступления (технические, программные, носителей информации или комбинированные);

- способы преодоления информационной защиты (подбор ключей и паролей, хищение паролей, отключение средств защиты и т.д.)

Следует отметить, что копирование, уничтожение, модификация информации могут быть вызваны не только преднамеренными неправомерными действиями, но и ошибками, неумышленным неправильным поведением персонала потерпевшей организации, в том числе:

- при профилактике, техническом обслуживании либо ремонте компьютера, компьютерной системы или сети;

- при случайных неумышленных повреждениях аппаратуры, обрывах соединительных кабелей при нестандартном поведении в помещении, где расположены компьютеры, подключенные к ним устройства, компьютерная система или сеть;

- при ошибочных действиях оператора в процессе работы, приведших к разрушению информационных данных;

- при неумышленном неправильном обращении с машинными носителями информации в ходе их использования и хранения и т.д.

При проведении доследственной проверки производится осмотр места происшествия и опрос персонала потерпевшей организации (показания этих лиц в дальнейшем составят свидетельскую базу по уголовному делу).

Осмотр может проводиться и до возбуждения уголовного дела (в порядке ст. 178 УПК  РСФР). Цель его – с помощью специалистов установить, зафиксировать и изъять следы совершенного преступления, которые в дальнейшем могут быть признаны в качестве вещественных и иных доказательств, а также получить иную указанную выше информацию, необходимую для возбуждения уголовного дела.

Так, следами совершенного преступления могут быть:

- при неправомерном доступе к компьютерной системе, сети или нарушения правил ее эксплуатации – изменения в файловой системе, в заданной ранее конфигурации компьютера;

- при внесении в компьютер вредоносной программы – нестандартные проявления в его работе (в загрузке операционной системы, реакции на ввод с клавиатуры, разрушение файлов, программ и т.д.);

- при проникновении посторонних лиц в помещение, где расположена компьютерная среда, – следы орудий взлома, пальцев рук, обуви, микрочастиц, бумажные носители информации (распечатки на принтере, записи кодов, паролей и т.д.)

Весьма важным при решении вопроса о возбуждении уголовного дела являются объяснения сотрудников (персонала) потерпевшей организации: администраторов сети, инженеров-программистов, разработавших программное обеспечение и осуществляющих его сопровождение (т.е. отладку и обслуживание), операторов, специалистов, занимающихся эксплуатацией и ремонтом компьютерной техники; системных программистов; инженеров по средствам связи и телекоммуникационному оборудованию; специалистов, обеспечивающих информационную безопасность, работников службы безопасности и других.

В процессе получения объяснений выясняются обстоятельства, предшествовавшие совершению преступления (с целью установления круга подозреваемых лиц), обстоятельства обнаружения факта преступления (признаков его совершения, способов и средств, наступивших негативных последствий), наличия и функционирования информационной защиты, ее недостатках, иных причинах и условиях, которые могли быть использованы для совершения противоправных действий.

В тех случаях, когда персоналом потерпевшей организации (как правило, ее службой безопасности) самостоятельно проведена проверка по установлению лиц, причастных к совершению преступления, и выявлен подозреваемый (круг подозреваемых лиц), в ходе предварительной проверки проводится комплекс оперативно-розыскных и иных мероприятий по проверке заподозренного лица (или лиц) и, по возможности, задержание его (или их) с поличным (например, в момент получения в банке или банкомате похищенных денежных сумм, на фирмах заказанных через Интернет вещей, приобретенных на похищенные «электронные деньги» и т.д.). Иногда при задержании изымается компьютерная техника (переносной компьютер, машинные носители информации, содержащие следы совершенного преступления), при этом специалистами проводится лабораторный анализ изъятого.

Решение о возбуждении уголовного дела принимается не только на основании материалов предварительных проверок заявлений потерпевших, организаций и должностных лиц, но и, как указывалось выше, по материалам органов дознания при реализации оперативных разработок, результатов оперативно-розыскных действий по выявлению преступлений в сфере компьютерной информации и лиц, их совершивших.

В соответствии со ст. 11 Федерального закона «Об оперативно-розыскной деятельности» результаты этой деятельности могут служить поводом и основанием для возбуждения уголовного дела и использоваться в доказывании по уголовным делам в соответствии с положениями уголовно-процессуального законодательства, регламентирующими собирание, проверку и оценку доказательств.

Имеющиеся в оперативных службах материалы, полученные в результате оперативно-розыскных мероприятий, могут представляться (в легализованной в соответствии с требованиями закона форме) прокурору, начальнику следственного подразделения, следователю для предварительного ознакомления и определения достаточности данных для возбуждения уголовного дела, а при положительном решении этого вопроса – возможности задержания правонарушителя (правонарушителей), оформления и закрепления полученных оперативных данных процессуальным путем в качестве доказательств.

С учетом специфики компьютерных преступлений в направляемых для возбуждения уголовного дела материалах должны  содержаться:

- сопроводительное письмо руководителя органа дознания (оперативной службы);

- рапорт сотрудника, проводившего оперативно-розыскные и иные мероприятия;

- документы, фиксирующие этапы проведения оперативно-розыскных мероприятий (за исключением сведений, составляющих государственную тайну);

- протоколы наблюдений и контрольных закупок (при продаже, распространении компакт-дисков с вредоносными компьютерными программами);

- протоколы и стенограммы прослушивания телефонных переговоров и иных сообщений (радиообмена, пейджинговых, модемных), перехвата информации с иных каналов связи, свидетельствующие о неправомерной деятельности подозреваемых лиц;

- протоколы перехвата и регистрации информации электронной почты лиц, причастных к преступлению;

- протоколы оперативного наблюдения с приобщенными фото и видео кадрами;

- материалы оперативных экспериментов;

- протоколы изъятия образцов для сравнительного исследования с участием специалистов;

- бумажные распечатки информации с изъятых машинных носителей информации и информации, находившейся на жестком диске переносного компьютера подозреваемого (при негласном снятии информации или при добровольной выдаче компьютерного оборудования);

- материалы лабораторных исследований содержимого системных блоков и машинных носителей, изъятых у подозреваемого;

- протоколы осмотров финансовых документов, кассовых чеков, свидетельствующих о внесенных изменениях в базы данных компьютеров, некоторых видов кассовых аппаратов, являющихся разновидностью ЭВМ;

- протоколы использования специальных химических средств (химловушек) при фиксации использования компьютерного оборудования в целях неправомерного доступа, краж машинных носителей информации;

- объяснения должностных и иных лиц;

- инструкции, справки, другие документы и материалы.         

Если представленных материалов для возбуждения уголовного дела недостаточно, они должны быть возвращены для проведения дополнительной проверки.

После получения материалов прокурор, начальник следственного подразделения или следователь выносят постановление о возбуждении уголовного дела в соответствии с содержанием преступного деяния по признакам статей 272, 273 или 274 УК РФ. При этом следователь принимает дело к своему производству и приступает к расследованию.