7. Допрос  подозреваемого (обвиняемого)

При подготовке, планировании и в ходе проведения допросов подозреваемых и обвиняемых по уголовным делам о компьютерных преступлениях следует учитывать особенности составов данного вида преступлений и, прежде всего, их субъект и субъективную сторону.

1. Преступления в сфере компьютерной информации относятся к категории так называемой «беловоротничковой» преступности, в связи с чем перед проведением допроса необходимо проконсультироваться у специалиста, а при необходимости пригласить его для участия в допросе (что должно быть процессуально оформлено), а также составить детальный план допроса.

В начальной стадии допроса выясняются следующие обстоятельства общего характера, интересующие следствие:

- имеет ли подозреваемый (обвиняемый) навыки обращения с компьютером, где, когда и при каких обстоятельствах он освоил работу с компьютерной техникой и с конкретным программным обеспечением;

- место его работы и должность, работает ли он на компьютере по месту работы, имеет ли правомерный доступ к компьютерной технике и к каким видам программного обеспечения;

- какие операции с компьютерной информацией выполняет на рабочем месте;

- имеет ли правомерный доступ к глобальной сети Интернет, работает ли в Интернете;

- закреплены ли за ним  по месту работы идентификационные коды и пароли для работы в компьютерной сети;

- если не работает, то какие операции выполняет на своем персональном компьютере либо персональных компьютерах других лиц из своего ближайшего окружения, где и у кого приобрел программы для своей ЭВМ;

- каковы обстоятельства, предшествовавшие совершению преступления, т.е.:

когда у него возникло намерение совершить преступление в сфере компьютерной информации, кто или что повлияло на принятие такого решения;

почему им выбран данный объект для преступного посягательства (организацию, структуру, где сам работал или стороннее учреждение, предприятие);

каковы мотивы совершения преступления: корысть, месть, зависть, проверка своих способностей и т.д.;

какова цель совершения  преступления (только ли наступление таких последствий как копирование, уничтожение, блокирование, модификация информации, нарушение работы ЭВМ, системы ЭВМ, сети ЭВМ, либо компьютерная техника являлась средством и способом совершения иных, традиционных преступлений, например, хищение, уклонение от уплаты налогов, промышленный шпионаж и т.д.);

Выяснить конкретные преступные действия, совершенные с использованием компьютерных технологий (неправомерный доступ к информационным базам данных, создание, использование и распространение вредоносных программ, нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети).

2. Анализ практики свидетельствует о том, что на смену «хакерам – одиночкам» приходят организованные преступные группы и сообщества, для которых характерно четкое распределение ролей в совершенном преступлении (причем «хакеры» нередко используются по найму).

В ходе допросов подозреваемых (обвиняемых) необходимо установить:

- наличие сговора с другими лицами на совершение преступления, кто эти лица;

- кто является инициатором совершения преступления;

- время, место и иные детали состоявшейся преступной договоренности;

- распределение ролей между участниками преступления (преступлений);

- каковы конкретные действия по подготовке преступления (предварительное изучение объекта преступного посягательства, подтверждение наличия интересующей соучастников информации, принятие мер для нелегального получения идентификационных кодов, паролей для доступа в сеть, открытие лжепредприятий, либо счетов в существующих банках, получение кредитных карточек для перевода похищенных денежных средств и т.д.);

- какова доля каждого из соучастников, которую он должен был получить в результате совершения преступления (преступлений).

3. Используя современные телекоммуникационные сети, в том числе глобальную сеть Интернет, злоумышленники получили возможность совершать преступления буквально «не выходя из дома», со своего рабочего места в офисе или из квартиры. Объект преступного воздействия может находиться далеко от места совершения преступления, в другом конце города, другой области и даже в другом государстве. Такие вторжения в компьютерные сети потерпевших организаций «извне» составляют до половины всех совершенных компьютерных преступлений.

Исходя из этого, при допросах подозреваемых (обвиняемых) очень важно детально уточнить «технологию» совершенного преступления или преступлений, получить сведения о том, какие электронные и вещественные доказательства содеянного имеются (или могли сохраниться), где можно обнаружить интересующую следствие информацию.

Поскольку эта часть допроса требует специальных познаний в компьютерной технике, изобилует специальной терминологией и специфической лексикой, допрос подозреваемого (обвиняемого), как указывалось выше, следует проводить с участием специалиста в этой области (в соответствии со ст. 1331 УПК РСФСР).

На данной стадии допроса фиксируются (отражаются в протоколе допроса) конкретные детали, способы и средства совершения преступления и преодоления имеющихся у потерпевших средств информационной защиты.

4. При неправомерном доступе к компьютерной информации, подозреваемый (обвиняемый) допрашивается по следующим вопросам:

- о месте неправомерного проникновения в компьютерную систему (сеть), т.е. внутри потерпевшей организации (путем выдачи соответствующих команд с компьютера, на котором находится информация и т.д.) или извне;

- каким образом произошло проникновение в помещение, где установлена компьютерная техника (если не имел к ней доступа или не работал в данной организации);

- как осуществлен неправомерный доступ в компьютерную сеть, каковы способы преодоления информационной защиты:

путем подбора ключей и паролей (вход в систему, сеть под именем и паролем одного из легальных пользователей, присвоение имени другого пользователя с помощью программы, которая изменяет данные, и пользователь получает другое имя и т.д.);

путем хищения ключей и паролей (визуальный перехват информации, выводимой на экран дисплея или вводимой с клавиатуры, о паролях, идентификаторах и процедурах доступа; перехват паролей при подключении к каналу во время сеанса связи; электронный перехват в результате электромагнитного излучения; сбор и анализ использованных распечаток, документов и других материалов, содержащих сведения о паролях и процедурах доступа и т.д.);

путем отключения средств защиты;

путем разрушения средств защиты;

путем использования несовершенства средств защиты.

- от кого им получены данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;

- какие средства использованы при совершении преступления:

технические;

программные;

носители информации;

комбинированные (т.е. использование двух или всех трех указанных выше);

- об иных технических уловках и ухищрениях, используемых для неправомерного доступа:

считывание информации при подключении к кабелю локальной сети при приеме электромагнитного излучения сетевого адаптера;

перехват электромагнитного излучения от дисплеев серверов или рабочих станций локальной сети для считывания и копирования информации;

копирование данных с машинных носителей информации, оставленных без присмотра или похищенных из мест их хранения;

считывание информации с жестких дисков и гибких дискет (в том числе остатков стертых и временных файлов), магнитных лент при копировании данных с оборудования потерпевшей организации;

хищение портативного компьютера, машинных носителей с целью получения доступа к содержащейся в них информации и т.д.

- о способах сокрытия неправомерного доступа (программных, указание ложных данных о лице, совершившем  неправомерный доступ и т.д.);

- об обстоятельствах и количестве фактов незаконного вторжения в информационные базы данных;

- об использовании для неправомерного доступа своего служебного, должностного положения и в чем это конкретно выразилось.

5. При создании, использовании и распространении вредоносных программ для ЭВМ следователю в ходе допроса подозреваемого (обвиняемого) необходимо выяснить:

- обстоятельства создания таких программ, в том числе:

на каком компьютерном оборудовании, когда и где разрабатывалась программа;

является ли данная программа оригинальной разработкой либо модификацией лицензионной программы с изменением ее первоначальных функций и для чего она предназначена;

какое программное обеспечение использовалось при создании программы;

возможно ли самопроизвольное распространение данной программы (т.е. является ли она вирусом).

- каким образом использовалась вредоносная программа:

заражение программного обеспечения компьютеров третьих лиц;

загрузка вредоносной программы в компьютер (компьютеры) посредством локальной сети или глобальной сети Интернет и т.д.

- к какому виду относятся созданные и использованные им (соучастниками) вредоносные программы («логические бомбы», «троянские кони», «захватчики паролей», «черви» и т.д.), каков алгоритм их функционирования, на какую информацию они воздействуют и т.д.

- способы распространения вредоносных программ:

продажа через торговую сеть;

сбыт неофициальным путем, в том числе в порядке обмена;

сдача в прокат, передача в заем, во временное пользование;

дарение и т.д.

- отношение подозреваемого (обвиняемого) к последствиям, которые неизбежны при изготовлении, использовании и распространении вредоносных (вирусных) программ;

- корыстная заинтересованность в создании, использовании и распространении вредоносных программ, размеры полученной наживы;

- способы сокрытия преступления и своего участия в нем.

6. При нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети в ходе допросов подозреваемых (обвиняемых), а таковыми могут быть только лица, имеющие правомерный доступ к компьютерному оборудованию и сети, компьютерной информации (операторы, программисты, техники-наладчики и др.), необходимо акцентировать внимание на следующих моментах:

- был ли ознакомлен подозреваемый (обвиняемый) с установленными режимом и правилами; в каком документе такое ознакомление отражено, и в каком подразделении по месту работы подозреваемого (обвиняемого) он находится;

- место и время (период времени) факта нарушения правил эксплуатации;

- в чем конкретно выразилось нарушение правил эксплуатации, каковы технические аспекты способа и механизма нарушения правил (выполнение не предусмотренных операций или, наоборот, не выполнение предписанных действий, нарушение технологии обработки информации и т.д.);

- каковы последствия допущенных нарушений (нестандартная или нештатная ситуация с компьютером и его устройствами, повлекшая уничтожение, модификацию или копирование информации; выведение из строя компьютерной системы, вызвавшее блокирование информации и нарушение работы организации, учреждения, предприятия, систем управления и связи и т.д.);

- место наступления вредных последствий (далеко не всегда совпадает с местом нарушения правил, т.е. нарушение может произойти на рабочей станции локальной сети, а  уничтожение информации – в сервере и т.д.).

7. Важнейшей задачей в ходе допросов подозреваемых (обвиняемых) об обстоятельствах совершения компьютерных преступлений является установление формы и степени их вины в содеянном, а также их отношения к наступившим вредным последствиям.

При этом в ходе допросов подозреваемых (обвиняемых) устанавливаются обстоятельства совершения ими не только компьютерных преступлений (т.е. использования компьютерной техники в качестве орудия или средства для совершения традиционных преступлений), но и соответствующих «традиционных» преступлений.

При совершении преступлений против собственности (предусмотренных ст. ст. 158, 159, 160, 164, 165 УК РФ) в ходе допросов выясняется: 

- каким образом (с использованием своего служебного положения, правомерного доступа или путем несанкционированного проникновения в сеть) и с какой целью и в какие именно информационные базы данных подозреваемый (обвиняемый) внес изменения:

для подделки и фальсификации бухгалтерских и финансовых документов;

для изменения расчетной программы и перечисления, зачисления денег и ценных бумаг на определенный счет (счета) в другом кредитно-финансовом  учреждении;

для нарушения правильности обработки первичных бухгалтерских документов, отражающих кассовые операции, движение товарно-материальных ценностей;

для искажения исходных данных, необходимых для принятия управленческих решений по товарообороту, производству платежей и т.д.

- подробности использования глобальной сети Интернет для доступа к чужим банковским счетам, данным кредитных карточек, а также махинаций, осуществляемых через Интернет – магазины и сферы услуг («раскручивания» финансовых пирамид, азартных игр, лотерей с помощью страниц Интернета);

- способы обналичивания созданного неучтенного резерва «электронных денег», ценных бумаг и товарно-материальных ценностей, их изъятия в кредитно-финансовых и торговых организациях и хищения;

- способы вуалирования совершаемых хищений с использованием компьютерных данных, каналы сбыта и места хранения похищенного имущества и ценностей;

- иные обстоятельства совершенных хищений, роль соучастников и др.

При уклонении от уплаты налогов и таможенных платежей (ст. ст. 199, 194, 198 УК РФ), так же, как и при расследовании хищений, совершенных с использованием компьютерных технологий, подозреваемые (обвиняемые) допрашиваются:

- о произведенных изменениях и манипуляциях компьютерными данными о количестве поставленных (в том числе по импорту) и реализованных товарно-материальных ценностей, вырученных от их продажи денежных суммах и полученной прибыли;

- о количестве скрытых от таможенных платежей товаров и от налоговой инспекции объектов, подлежащих налогообложению;

- по другим вопросам, касающимся данных составов преступлений.

При незаконном получении и разглашении сведений, составляющих государственную, коммерческую или банковскую тайну (ст. ст. 283 и 183 УК РФ) у обвиняемых (подозреваемых) выясняется:

- кто заказчик, кому были переданы конфиденциальные сведения, добытые в результате неправомерного доступа и копирования;     

- каким образом была использована (или должна была быть использована) скопированная информация;

- какими мотивами руководствовался подозреваемый (обвиняемый) и какие цели преследовал при копировании и передаче информации третьим лицам;

- какую материальную выгоду он получил в результате передачи заказчику (заказчикам) конфиденциальной информации и т.д.

Аналогичные вопросы задаются и при совершении с использованием компьютерных технологий других традиционных преступлений.