7. Допрос подозреваемого (обвиняемого)
При подготовке, планировании и в ходе проведения допросов подозреваемых и обвиняемых по уголовным делам о компьютерных преступлениях следует учитывать особенности составов данного вида преступлений и, прежде всего, их субъект и субъективную сторону.
1. Преступления в сфере компьютерной информации относятся к категории так называемой «беловоротничковой» преступности, в связи с чем перед проведением допроса необходимо проконсультироваться у специалиста, а при необходимости пригласить его для участия в допросе (что должно быть процессуально оформлено), а также составить детальный план допроса.
В начальной стадии допроса выясняются следующие обстоятельства общего характера, интересующие следствие:
- имеет ли подозреваемый (обвиняемый) навыки обращения с компьютером, где, когда и при каких обстоятельствах он освоил работу с компьютерной техникой и с конкретным программным обеспечением;
- место его работы и должность, работает ли он на компьютере по месту работы, имеет ли правомерный доступ к компьютерной технике и к каким видам программного обеспечения;
- какие операции с компьютерной информацией выполняет на рабочем месте;
- имеет ли правомерный доступ к глобальной сети Интернет, работает ли в Интернете;
- закреплены ли за ним по месту работы идентификационные коды и пароли для работы в компьютерной сети;
- если не работает, то какие операции выполняет на своем персональном компьютере либо персональных компьютерах других лиц из своего ближайшего окружения, где и у кого приобрел программы для своей ЭВМ;
- каковы обстоятельства, предшествовавшие совершению преступления, т.е.:
когда у него возникло намерение совершить преступление в сфере компьютерной информации, кто или что повлияло на принятие такого решения;
почему им выбран данный объект для преступного посягательства (организацию, структуру, где сам работал или стороннее учреждение, предприятие);
каковы мотивы совершения преступления: корысть, месть, зависть, проверка своих способностей и т.д.;
какова цель совершения преступления (только ли наступление таких последствий как копирование, уничтожение, блокирование, модификация информации, нарушение работы ЭВМ, системы ЭВМ, сети ЭВМ, либо компьютерная техника являлась средством и способом совершения иных, традиционных преступлений, например, хищение, уклонение от уплаты налогов, промышленный шпионаж и т.д.);
Выяснить конкретные преступные действия, совершенные с использованием компьютерных технологий (неправомерный доступ к информационным базам данных, создание, использование и распространение вредоносных программ, нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети).
2. Анализ практики свидетельствует о том, что на смену «хакерам – одиночкам» приходят организованные преступные группы и сообщества, для которых характерно четкое распределение ролей в совершенном преступлении (причем «хакеры» нередко используются по найму).
В ходе допросов подозреваемых (обвиняемых) необходимо установить:
- наличие сговора с другими лицами на совершение преступления, кто эти лица;
- кто является инициатором совершения преступления;
- время, место и иные детали состоявшейся преступной договоренности;
- распределение ролей между участниками преступления (преступлений);
- каковы конкретные действия по подготовке преступления (предварительное изучение объекта преступного посягательства, подтверждение наличия интересующей соучастников информации, принятие мер для нелегального получения идентификационных кодов, паролей для доступа в сеть, открытие лжепредприятий, либо счетов в существующих банках, получение кредитных карточек для перевода похищенных денежных средств и т.д.);
- какова доля каждого из соучастников, которую он должен был получить в результате совершения преступления (преступлений).
3. Используя современные телекоммуникационные сети, в том числе глобальную сеть Интернет, злоумышленники получили возможность совершать преступления буквально «не выходя из дома», со своего рабочего места в офисе или из квартиры. Объект преступного воздействия может находиться далеко от места совершения преступления, в другом конце города, другой области и даже в другом государстве. Такие вторжения в компьютерные сети потерпевших организаций «извне» составляют до половины всех совершенных компьютерных преступлений.
Исходя из этого, при допросах подозреваемых (обвиняемых) очень важно детально уточнить «технологию» совершенного преступления или преступлений, получить сведения о том, какие электронные и вещественные доказательства содеянного имеются (или могли сохраниться), где можно обнаружить интересующую следствие информацию.
Поскольку эта часть допроса требует специальных познаний в компьютерной технике, изобилует специальной терминологией и специфической лексикой, допрос подозреваемого (обвиняемого), как указывалось выше, следует проводить с участием специалиста в этой области (в соответствии со ст. 1331 УПК РСФСР).
На данной стадии допроса фиксируются (отражаются в протоколе допроса) конкретные детали, способы и средства совершения преступления и преодоления имеющихся у потерпевших средств информационной защиты.
4. При неправомерном доступе к компьютерной информации, подозреваемый (обвиняемый) допрашивается по следующим вопросам:
- о месте неправомерного проникновения в компьютерную систему (сеть), т.е. внутри потерпевшей организации (путем выдачи соответствующих команд с компьютера, на котором находится информация и т.д.) или извне;
- каким образом произошло проникновение в помещение, где установлена компьютерная техника (если не имел к ней доступа или не работал в данной организации);
- как осуществлен неправомерный доступ в компьютерную сеть, каковы способы преодоления информационной защиты:
путем подбора ключей и паролей (вход в систему, сеть под именем и паролем одного из легальных пользователей, присвоение имени другого пользователя с помощью программы, которая изменяет данные, и пользователь получает другое имя и т.д.);
путем хищения ключей и паролей (визуальный перехват информации, выводимой на экран дисплея или вводимой с клавиатуры, о паролях, идентификаторах и процедурах доступа; перехват паролей при подключении к каналу во время сеанса связи; электронный перехват в результате электромагнитного излучения; сбор и анализ использованных распечаток, документов и других материалов, содержащих сведения о паролях и процедурах доступа и т.д.);
путем отключения средств защиты;
путем разрушения средств защиты;
путем использования несовершенства средств защиты.
- от кого им получены данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;
- какие средства использованы при совершении преступления:
технические;
программные;
носители информации;
комбинированные (т.е. использование двух или всех трех указанных выше);
- об иных технических уловках и ухищрениях, используемых для неправомерного доступа:
считывание информации при подключении к кабелю локальной сети при приеме электромагнитного излучения сетевого адаптера;
перехват электромагнитного излучения от дисплеев серверов или рабочих станций локальной сети для считывания и копирования информации;
копирование данных с машинных носителей информации, оставленных без присмотра или похищенных из мест их хранения;
считывание информации с жестких дисков и гибких дискет (в том числе остатков стертых и временных файлов), магнитных лент при копировании данных с оборудования потерпевшей организации;
хищение портативного компьютера, машинных носителей с целью получения доступа к содержащейся в них информации и т.д.
- о способах сокрытия неправомерного доступа (программных, указание ложных данных о лице, совершившем неправомерный доступ и т.д.);
- об обстоятельствах и количестве фактов незаконного вторжения в информационные базы данных;
- об использовании для неправомерного доступа своего служебного, должностного положения и в чем это конкретно выразилось.
5. При создании, использовании и распространении вредоносных программ для ЭВМ следователю в ходе допроса подозреваемого (обвиняемого) необходимо выяснить:
- обстоятельства создания таких программ, в том числе:
на каком компьютерном оборудовании, когда и где разрабатывалась программа;
является ли данная программа оригинальной разработкой либо модификацией лицензионной программы с изменением ее первоначальных функций и для чего она предназначена;
какое программное обеспечение использовалось при создании программы;
возможно ли самопроизвольное распространение данной программы (т.е. является ли она вирусом).
- каким образом использовалась вредоносная программа:
заражение программного обеспечения компьютеров третьих лиц;
загрузка вредоносной программы в компьютер (компьютеры) посредством локальной сети или глобальной сети Интернет и т.д.
- к какому виду относятся созданные и использованные им (соучастниками) вредоносные программы («логические бомбы», «троянские кони», «захватчики паролей», «черви» и т.д.), каков алгоритм их функционирования, на какую информацию они воздействуют и т.д.
- способы распространения вредоносных программ:
продажа через торговую сеть;
сбыт неофициальным путем, в том числе в порядке обмена;
сдача в прокат, передача в заем, во временное пользование;
дарение и т.д.
- отношение подозреваемого (обвиняемого) к последствиям, которые неизбежны при изготовлении, использовании и распространении вредоносных (вирусных) программ;
- корыстная заинтересованность в создании, использовании и распространении вредоносных программ, размеры полученной наживы;
- способы сокрытия преступления и своего участия в нем.
6. При нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети в ходе допросов подозреваемых (обвиняемых), а таковыми могут быть только лица, имеющие правомерный доступ к компьютерному оборудованию и сети, компьютерной информации (операторы, программисты, техники-наладчики и др.), необходимо акцентировать внимание на следующих моментах:
- был ли ознакомлен подозреваемый (обвиняемый) с установленными режимом и правилами; в каком документе такое ознакомление отражено, и в каком подразделении по месту работы подозреваемого (обвиняемого) он находится;
- место и время (период времени) факта нарушения правил эксплуатации;
- в чем конкретно выразилось нарушение правил эксплуатации, каковы технические аспекты способа и механизма нарушения правил (выполнение не предусмотренных операций или, наоборот, не выполнение предписанных действий, нарушение технологии обработки информации и т.д.);
- каковы последствия допущенных нарушений (нестандартная или нештатная ситуация с компьютером и его устройствами, повлекшая уничтожение, модификацию или копирование информации; выведение из строя компьютерной системы, вызвавшее блокирование информации и нарушение работы организации, учреждения, предприятия, систем управления и связи и т.д.);
- место наступления вредных последствий (далеко не всегда совпадает с местом нарушения правил, т.е. нарушение может произойти на рабочей станции локальной сети, а уничтожение информации – в сервере и т.д.).
7. Важнейшей задачей в ходе допросов подозреваемых (обвиняемых) об обстоятельствах совершения компьютерных преступлений является установление формы и степени их вины в содеянном, а также их отношения к наступившим вредным последствиям.
При этом в ходе допросов подозреваемых (обвиняемых) устанавливаются обстоятельства совершения ими не только компьютерных преступлений (т.е. использования компьютерной техники в качестве орудия или средства для совершения традиционных преступлений), но и соответствующих «традиционных» преступлений.
При совершении преступлений против собственности (предусмотренных ст. ст. 158, 159, 160, 164, 165 УК РФ) в ходе допросов выясняется:
- каким образом (с использованием своего служебного положения, правомерного доступа или путем несанкционированного проникновения в сеть) и с какой целью и в какие именно информационные базы данных подозреваемый (обвиняемый) внес изменения:
для подделки и фальсификации бухгалтерских и финансовых документов;
для изменения расчетной программы и перечисления, зачисления денег и ценных бумаг на определенный счет (счета) в другом кредитно-финансовом учреждении;
для нарушения правильности обработки первичных бухгалтерских документов, отражающих кассовые операции, движение товарно-материальных ценностей;
для искажения исходных данных, необходимых для принятия управленческих решений по товарообороту, производству платежей и т.д.
- подробности использования глобальной сети Интернет для доступа к чужим банковским счетам, данным кредитных карточек, а также махинаций, осуществляемых через Интернет – магазины и сферы услуг («раскручивания» финансовых пирамид, азартных игр, лотерей с помощью страниц Интернета);
- способы обналичивания созданного неучтенного резерва «электронных денег», ценных бумаг и товарно-материальных ценностей, их изъятия в кредитно-финансовых и торговых организациях и хищения;
- способы вуалирования совершаемых хищений с использованием компьютерных данных, каналы сбыта и места хранения похищенного имущества и ценностей;
- иные обстоятельства совершенных хищений, роль соучастников и др.
При уклонении от уплаты налогов и таможенных платежей (ст. ст. 199, 194, 198 УК РФ), так же, как и при расследовании хищений, совершенных с использованием компьютерных технологий, подозреваемые (обвиняемые) допрашиваются:
- о произведенных изменениях и манипуляциях компьютерными данными о количестве поставленных (в том числе по импорту) и реализованных товарно-материальных ценностей, вырученных от их продажи денежных суммах и полученной прибыли;
- о количестве скрытых от таможенных платежей товаров и от налоговой инспекции объектов, подлежащих налогообложению;
- по другим вопросам, касающимся данных составов преступлений.
При незаконном получении и разглашении сведений, составляющих государственную, коммерческую или банковскую тайну (ст. ст. 283 и 183 УК РФ) у обвиняемых (подозреваемых) выясняется:
- кто заказчик, кому были переданы конфиденциальные сведения, добытые в результате неправомерного доступа и копирования;
- каким образом была использована (или должна была быть использована) скопированная информация;
- какими мотивами руководствовался подозреваемый (обвиняемый) и какие цели преследовал при копировании и передаче информации третьим лицам;
- какую материальную выгоду он получил в результате передачи заказчику (заказчикам) конфиденциальной информации и т.д.
Аналогичные вопросы задаются и при совершении с использованием компьютерных технологий других традиционных преступлений.
«все книги «к разделу «содержание Глав: 8 Главы: < 3. 4. 5. 6. 7. 8.