6. Методика выявления лиц, причастных в совершении преступлений в сфере компьютерной информации

Неправомерный доступ к закрытой компьютерной системе или сети является технологически весьма сложным действием, совершить которые могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому установление и поиск лиц, совершивших неправомерный доступ к компьютерной информации, следует начинать с технического персонала пострадавших компьютерных систем или сетей (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в компьютерную систему или сеть, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

Установлению причастности конкретного лица к несанкционированному доступу к компьютерной информации могут способствовать различные обнаруживаемые иногда при осмотре компьютера и его компонентов материально - фиксированные отображения (например, следы пальцев рук, отдельные записи на внешней упаковке дискет, дисков). Для их исследования назначаются криминалистические экспертизы – дактилоскопическая, почерковедческая, технико-криминалистическая.

Чтобы выявить лиц, обязанных обеспечивать соблюдение режима доступа к компьютерной системе или сети, необходимо, прежде всего, ознакомиться с имеющимися инструкциями, устанавливающими полномочия должностных лиц, ответственных за защиту информации, после чего допросить их.

При допросе лиц, обслуживающих компьютерную систему, можно установить, кто запускал нештатную программу, было ли это зафиксировано каким-либо образом. Следует также выяснить, кто увлекается программированием, учится или учился на компьютерных курсах.

У лиц, заподозренных в неправомерном доступе к компьютерной информации, при наличии достаточных оснований производится обыск, в ходе которого могут быть обнаружены: компьютеры разных конфигураций, принтеры, средства телекоммуникационной связи с компьютерными сетями, записные книжки с уличающими записями (в том числе электронные), дискеты, диски, магнитные ленты, содержащие сведения, могущие иметь значение для дела (в том числе коды, пароли, идентификационные номера пользователей конкретной компьютерной системы, также данные о ее пользователях). В ходе обыска следует обращать внимание на литературу, методические материалы по компьютерной технике и программированию.

При решении следственной задачи по установлению лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ, необходимо учитывать, что вредоносную программу может создать человек, обладающий навыками в обращении с компьютером и написании программ. Лучше всего это могут сделать опытные программисты, но они, как правило, не участвуют в их распространении. Поэтому при установлении лица, создавшего вредоносную программу, необходимо продолжить следственную и оперативно-розыскную работу по выявлению лиц, ее распространявших. Оперативная информация о лицах, участвующих в совершении компьютерных преступлений, сосредоточивается в специальных подразделениях по борьбе с преступлениями в сфере высоких технологий МВД и ФСБ России, куда надлежит обращаться с соответствующими поручениями в тех случаях, когда оно не подключено к расследованию преступления на стадии возбуждения уголовного дела.

Наибольшую общественную опасность в этой связи представляют опытные компьютерные взломщики, так называемые «хакеры», которые являются высококвалифицированными специалистами в области компьютерных технологий. Нередко преступления данной категории совершаются группой лиц, т.е. «хакер» создает вредоносные программы, а остальные члены группы обеспечивают его деятельность в материально-техническом и информационном отношениях.

Поиск лиц, причастных к использованию вредоносных программ, требует значительных затрат времени и средств, проведения по указанию следователя оперативно-розыскных мероприятий.

Задержание подозреваемого после его установления должно быть произведено незамедлительно, чтобы не допустить уничтожения компрометирующих материалов. В случае, если вредоносная программа является компьютерным вирусом, от быстроты задержания зависят масштабы возможного распространения вируса и причинения ущерба.

Органу дознания целесообразно дать поручение выявить и проверить лиц, ранее привлекавшихся к ответственности за такое же преступление.

При установлении лица, допустившего преступное нарушение правил эксплуатации ЭВМ, следует иметь в виду, что согласно ч. 1 ст. 274 УК РФ, им может быть лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети. При этом необходимо различать понятия «лицо, имеющее доступ к ЭВМ», и «лицо, имеющее доступ к компьютерной информации», поскольку не всякое лицо, допущенное к ЭВМ, имеет доступ к компьютерной информации. Доступ к ЭВМ, системе или сети ЭВМ, как правило, имеют определенные лица в силу выполняемой ими работы, связанной с применением средств компьютерной техники, среди которых и следует устанавливать нарушителей указанных правил эксплуатации ЭВМ.

В отношении каждого из них устанавливается:

- фамилия, имя, отчество;

- занимаемая должность (относимость к категории должностных лиц, ответственных за информационную безопасность и надежность работы компьютерного оборудования, либо к категории непосредственно отвечающих за обеспечение выполнения правил эксплуатации данной компьютерной системы или сети);

- образование (общее и специальное);

- специальность;

- стаж работы по специальности и на данной должности;

- уровень профессиональной квалификации;

- конкретные обязанности по обеспечению информационной безопасности и нормативные акты, которыми они установлены (положение, приказ, распоряжение, контракт, договор, проектная документация на автоматизированную систему и пр.);

- причастность к разработке, внедрению в опытную и промышленную эксплуатацию данной компьютерной системы или сети;

- наличие и объем доступа к базам и банкам данных;

- данные, характеризующие лицо по месту работы;

- наличие домашнего компьютера и оборудования к нему.

Все это устанавливается посредством допросов свидетелей, самого подозреваемого, истребования соответствующих документов из кадрового органа, осмотра эксплуатационных документов на данную компьютерную систему, осмотра компьютера, оборудования к нему, машинных носителей информации, распечаток.