Анализ информации из электронных баз данных в следственной группе

(Жуланов В., Ищенко Е.)

("Законность", 2007, N 4)

Текст документа

АНАЛИЗ ИНФОРМАЦИИ ИЗ ЭЛЕКТРОННЫХ БАЗ ДАННЫХ

В СЛЕДСТВЕННОЙ ГРУППЕ

В. ЖУЛАНОВ, Е. ИЩЕНКО

Жуланов В., старший прокурор отдела прокуратуры Московской области.

Ищенко Е., доктор юридических наук, профессор.

Часто расследование тяжких, особо опасных, многоэпизодных преступлений ведут следственные группы, создаваемые в соответствии со ст. 163 УПК РФ. Собранную в ходе расследования доказательственную информацию необходимо анализировать. В настоящее время общий объем информации, сохраняемой на магнитных носителях, видеопленке, бумаге, увеличивается.

Если при расследовании кражи мобильного телефона следователю достаточно подготовить поручение оперативным работникам либо самому запросить в компании сотовой связи сведения об идентификационном номере похищенного телефона (Imei), использованных в нем сим-картах, а затем "вручную" проверить звонки с аппарата после его хищения, то по "громким" преступлениям, раскрытию которых общество придает огромное значение, без аналитической структуры в составе следственной группы не обойтись.

Особенности функционирования мобильной сотовой связи представляют следственным органам дополнительные возможности по раскрытию и расследованию преступлений, при организации и совершении которых она использовалась. Каждый мобильный телефон - это миниатюрная приемо-передающая станция, оснащенная специализированным процессором с необходимым объемом электронной памяти, в которой хранятся служебные данные и информация его владельца (список телефонов, ежедневник и др., в зависимости от модели аппарата).

Мобильные телефоны имеют собственные электронные серийные номера, кодируемые в микрочипе аппарата при его изготовлении. Этот номер указывается на корпусе телефона под аккумулятором. Каждый владелец мобильного телефона при подключении к сотовым линиям связи получает сим-карту, которая, в свою очередь, содержит сведения, необходимые для аутентификации: мобильный идентификационный номер и алгоритм, с помощью которых подтверждается подлинность абонента.

Наиболее криминалистически значимой представляется персональная биллинговая и коммуникационная информация. Первая содержит сведения о количестве и длительности звонков, осуществленных в местной сети и с использованием функции роуминга (междугородних), и позволяет судить об интенсивности и широте круга общения владельца мобильного телефона. Вторая содержит данные о входящих и исходящих звонках с аппарата, включая номер абонента, дату и время начала соединения, его длительность и др.

Регистрация и долговременное (как правило, не менее 3-х лет) хранение основных параметров всех телефонных соединений, жесткая взаимосвязь абонента и базовой станции, а также технические возможности современных компьютерных средств и систем управления базами данных позволяют весьма оперативно обработать колоссальные объемы биллинговой и коммуникационной информации и получить сведения, облегчающие раскрытие и расследование преступлений.

Уголовно-процессуальное законодательство не запрещает осуществлять специализацию внутри следственной группы. Поэтому аналитическая подгруппа, о деятельности которой пойдет речь, - это группа следователей, выделенная специально для осмотра носителей источников информации и ее последующего анализа. Количество следователей в аналитической подгруппе разное по каждому уголовному делу. Однако очень важно, чтобы на протяжении всего расследования в следственной группе оставался человек, обладающий полным объемом информации, полученной из электронных баз данных и других традиционных и нетрадиционных источников.

После изъятия электронных источников доказательственной информации следующим этапом будет ее обработка в аналитической подгруппе. Вначале информация из баз данных, содержащаяся на бумажных носителях, вводится в компьютер, поскольку ее обработка, как правило, чрезвычайно трудоемка. Ранее при небольшом объеме информации ее анализ и сравнение осуществлялись вручную, однако сейчас при анализе больших баз данных без программных средств уже не обойтись.

Выполнение в ходе следственного осмотра простейших экспериментальных действий допустимо. Поэтому, включив компьютер в раздел "Технические средства, применяемые при осмотре", указав тип программного обеспечения, использованного при анализе, и описав избранный порядок осмотра, следователь может получить очень ценную доказательственную и ориентирующую информацию.

Приведем пример. Следователю было предположительно известно, что подозреваемый кроме места преступления был еще на каком-то месте (в частности, это было место хищения автомашины, на которой киллер впоследствии прибыл к месту убийства). Для проверки версии о том, что он по мобильному телефону сообщал заказчику либо организатору о совершенных действиях, в компаниях сотовой связи, действующих в регионе, следователь изъял материальные носители информации о соединениях абонентов с места убийства за восьмичасовой период и с места хищения автомашины за пятичасовой период (он определялся с учетом данных осмотра трупа на месте убийства и показаний потерпевшего о моменте хищения автомобиля).

В каждой из компаний сотовой связи (ОАО "МТС" и "Вымпелком", ЗАО "Сонник-Дуо") количество звонков с конкретной антенны каждой из базовых станций составило от 500 до 2000. Обработка такого информационного массива вручную была практически невозможна. Поэтому информация, изъятая на электронных носителях, была обработана в программе Microsoft Excel при помощи формулы сравнения позиций. Обработка информации при таком подходе заняла менее часа и позволила установить мобильный телефон соучастника преступления, который впоследствии был задержан и изобличен.

До начала осмотра источника доказательственной информации следователь, работающий в аналитической подгруппе, должен определить для себя константные обстоятельства и искомые сведения. Это позволит избежать ввода в компьютер ненужных полей базы данных, облегчит установление по делу криминалистически значимых обстоятельств.

Так, константами по делам о безвестном отсутствии граждан всегда будут данные о личности гражданина и времени его исчезновения. Поэтому обнаруженные в любой из обрабатываемых баз данных сведения о нем, а также его автотранспорте, номере кредитной либо дисконтной карты, мобильном телефоне, датированные после внезапного исчезновения, будут иметь важное криминалистическое значение. Понятно, что следственной группе необходимо принимать меры к изъятию источников доказательственной информации, содержащих именно такие поля данных. Например, базы "Сирена" и "Розыск-магистраль" используются для поиска по фамилии, имени и отчеству, детализации по мобильному телефону, информация системы "Поток" очень облегчает розыск автомобиля безвестно отсутствующего и т. д.

При обнаружении трупа с признаками насильственной смерти константами, наряду с обнаруженными в ходе осмотра объектами, содержащими поля баз данных, будут чеки контрольно-кассовых машин, дисконтные карты, вещи, имеющие идентификационные номера. Константами будут служить также время смерти, устанавливаемое судебным медиком, и место обнаружения трупа.

Работа членов аналитической подгруппы с каждым из типов носителей либо объектом, содержащим копию поля базы данных (дисконтная, кредитная карты и т. д.), будет строиться по-разному. Так, обработка бумажных носителей, содержащих систематизированную либо несистематизированную информацию (например, журналы учета посетителей организации, списки работников предприятий, жильцов дома и т. д.), выполняется в ходе осмотра таких документов. При этом для последующей работы и аналитического сопоставления с другими источниками доказательственной информации необходим ввод в компьютер данных, представленных в виде таблицы. Ее столбцы будут содержать те сведения, которые дадут возможность соотнести их с другими доказательствами либо произвести их внутренний анализ.

Отдельно следует остановиться на обработке аналитической подгруппой содержания протоколов следственных действий: допросов, очных ставок, обысков и т. д. При анализе протоколов составляется аналитическая справка (а не осмотр документов с приложением таблицы, как иногда делается на практике). Обычно наиболее важны для раскрытия преступления показания очевидцев. Еще в практике работы следственных органов СССР при расследовании сложных либо многоэпизодных уголовных дел использовались алфавитные карточки на свидетелей, в которых содержались установочные данные свидетеля и кратко указывалась относимость его показаний к предмету доказывания.

Например, по делам о контрабанде это поле базы (совокупность алфавитных карточек по своей сути является базой данных) будет выглядеть так: сотрудник таможни, лжедиректор грузополучателя, водитель, брокеры и т. д. Форма такой систематизации (в виде карточек) была обусловлена прежде всего тем, что можно было изменять данные о каждом из лиц с учетом показаний, полученных в ходе последующих следственных действий, проведенных с его участием.

Появление компьютеров позволяет неограниченное число раз изменять отдельные поля базы данных и одновременно предоставляет возможности по их сортировке. Так, в настоящее время центральными аппаратами следственных органов (где как раз и проводится следствие по делам особой сложности) применяется таблица с такими полями:

- N п/п

- Фамилия, имя, отчество

- Адрес

- Телефон

- Даты производства следственных действий

- Отношение к уголовному делу.

При необходимости анализа еще по каким-либо полям данных столбцы таблицы дополняются. Например: вблизи места убийства располагается крупное промышленное предприятие, оснащенное системой для работы с электронными пропусками. В таком случае следователю необходимо предусмотреть колонку с идентификационными номерами пропусков, чтобы соотнести затем эту таблицу с базой данных службы безопасности предприятия. Если автостоянка перед предприятием оснащена системой видеонаблюдения, позволяющей распознавать номера подъезжавших машин, то таблица соответственно дополнится столбцом "используемое транспортное средство".

Просмотр видеозаписей, хранящихся на магнитных носителях, также предполагает ввод данных в компьютер. Особое значение здесь имеют дата и точное время появления объекта. Поэтому уже при изъятии член следственной группы должен указать технические данные записывающей аппаратуры, сверить их с точным временем.

На сегодня наиболее результативны для анализа данные о людях и транспортных средствах. Причем при фиксации последних телекамерой в большинстве случаев удается распознать марку и модель транспортного средства, реже - номерные знаки. Именно эти поля и будут содержаться в аналитической таблице, прилагаемой к протоколу осмотра.

В этой связи следует отметить, что в нашу жизнь все активнее внедряются системы распознавания видеоизображений, которые способны устанавливать личность человека по форме лица, уха, радужной оболочке глаза. В Москве в крупных казино подобные системы используются для того, чтобы вести своеобразное досье на клиентов, дабы исключить проникновение за игровой стол мошенников.

Успешно применяется на практике система "Поток" по распознаванию видеоизображений государственных регистрационных знаков автотранспорта. В дальнейшем практика использования систем распознавания видеоизображений будет расширяться, что повлечет их более активное использование в процессе раскрытия и расследования преступлений.

Особое криминалистическое значение имеет обработка электронной информации, содержащейся на жестких дисках компьютеров. Здесь необходимо акцентировать внимание на том, что любой просмотр электронного носителя вносит в него изменения, поэтому необходимо предварительное проведение компьютерно-технической экспертизы. Соответствующие лаборатории имеются как в РФЦСЭ, так и в экспертных учреждениях органов внутренних дел и ФСБ России.

В ходе экспертизы, в частности, составляется полная распечатка данных, содержащихся в компьютере. Однако производство такой экспертизы достаточно продолжительно, что обусловлено еще и загруженностью экспертных учреждений. А при раскрытии тяжкого преступления важны каждые сутки, каждый час. В таких случаях следователю необходимо произвести осмотр компьютера с участием специалиста в области вычислительной техники. В ходе осмотра изготавливается точная копия жесткого диска, с которой и проводится дальнейшая работа по анализу сведений, интересующих следствие.

Удобство работы с электронными носителями доказательственной информации заключается в том, что данные в них уже на момент начала осмотра упорядочены и доступны для анализа. Жесткие диски персональных компьютеров в любом случае изымаются вместе с системными блоками и периферийным оборудованием, чтобы избежать изменений на жестком диске, в том числе системного времени компьютера. Но даже и в таких случаях системное время компьютера нельзя принимать за абсолютное. Его необходимо соотносить с другими сведениями, например, с показаниями свидетелей о доступе пользователя к компьютеру. Столбцы аналитической таблицы, прилагаемой к протоколу осмотра, могут содержать такие поля: "Дата, время", "Вид операции" и др.

Важнейшее значение имеет проверка следственным и оперативным путем полученных аналитических данных о свидетелях, местах, где подлежат выемке носители баз данных, и т. д. Работа аналитической подгруппы позволяет выявить лиц, автотранспорт, владельцев мобильных телефонов и других объектов, находившихся в "нужное время в нужном месте".

Однако с учетом того, что большинство объектов, содержащих поля базы данных, может быть доверено владельцем третьему лицу, необходимы дальнейшие поисково-проверочные мероприятия в рамках ФЗ "Об оперативно-розыскной деятельности" либо следственные действия, направленные на тщательную отработку установленных лиц. В то же время вся поступающая от оперативного обеспечения по делу информация об установленных лицах, используемых ими средствах мобильной связи и автомашинах также подлежит проверке по уже систематизированной базе данных по уголовному делу, расследуемому следственной группой.

Например, соотнесение базы данных владельцев автомашин, зарегистрированных системой "Поток", данных военкомата об участниках боевых действий, знакомых с подрывным делом, биллинга соединений в районе места совершения преступления может выявить некое лицо, которое фигурирует во всех трех базах. Однако это вовсе не означает, что следует сразу проводить мероприятия, связанные с существенным нарушением конституционных прав гражданина: обыск, а тем более задержание.

Полученная информация дает лишь основания для дальнейшей проверки оперативным путем действительной принадлежности мобильного телефона и автомашины данному человеку, установления наличия либо отсутствия у него алиби, в том числе электронного. Только при получении дополнительной доказательственной информации о причастности лица к расследуемому преступлению проводятся следственные действия, направленные на его изобличение.

------------------------------------------------------------------

Название документа