Некоторые организационно-тактические аспекты расследования транснациональных преступлений
(Нурбеков И. М.) ("Российский следователь", 2008, N 15) Текст документаНЕКОТОРЫЕ ОРГАНИЗАЦИОННО-ТАКТИЧЕСКИЕ АСПЕКТЫ РАССЛЕДОВАНИЯ ТРАНСНАЦИОНАЛЬНЫХ ПРЕСТУПЛЕНИЙ
И. М. НУРБЕКОВ
Нурбеков И. М., аспирант юридического факультета МГУ им. М. В. Ломоносова.
Одними из наиболее сложных с точки зрения расследования транснациональных преступлений, т. е. преступлений международного характера, на наш взгляд, являются корыстные компьютерные преступления. Именно с ними в значительной степени связано развитие мер сохранения криминалистически значимой информации в США, а равно спорная практика получения за рубежом доказательств и подозреваемых лиц без обращения к помощи правоохранительных органов иностранных государств. Специфика корыстных компьютерных преступлений, к которым мы относим с точки зрения расследования так называемые кардинг, фишинг, Distributed Denial of Service Attack <1> (далее - DDoS-атака), как видно из выбранной нами терминологии, состоит в наличии двух основных групп следов - связанных с компьютерной информацией и связанных с отчуждением имущества. -------------------------------- <1> Буквальный перевод термина с английского языка: "атака, направленная на распределенный отказ в обслуживании".
Кардинг мы рассматриваем как совокупность преступных действий, направленных на хищение денежных средств клиентов банков, а равно в некоторых случаях <2> - и самих банков, доступных при использовании банковских карт. -------------------------------- <2> В случае возможности использования овердрафта, кредитной линии и других услуг, предоставляемых банком клиенту. На наш взгляд, в случае расходования злоумышленником средств, одновременно списываемых в счет кредитного договора или иных кредитно-заемных обязательств, необходимо говорить о причинении вреда непосредственно банку. Прямой вред финансовым учреждениям наносится и в случаях открытия банковских счетов и получения банковских кредитных карт на вымышленные или чужие имена.
Фишинг и взлом являются совокупностью преступных действий, направленных на хищение денежных средств клиентов банков, а равно в некоторых случаях - и самих банков, доступных при использовании систем дистанционного банковского обслуживания. DDoS-атака - это совокупность преступных действий, направленных на блокирование информации чаще всего в форме блокирования работы интернет-сайтов или инфраструктуры каких-либо компьютерных сетей в целом, в целях принуждения к передаче криминального вознаграждения (вымогательства). DDoS-атака является разновидностью более широкой группы высокотехнологичных преступлений, основанных на создании "отказов в обслуживании", так называемых Denial-of-Service-атак (DOS-атак), которые по своей природе состоят в тесной связи с упомянутым выше взломом. DDoS-атака характеризуется специальным способом создания "отказа в обслуживании". Отметим, что терминология в изучаемой сфере не может быть названа устоявшейся и однозначной и требует отдельного рассмотрения. При работе над настоящей статьей использовались материалы так называемого уголовного дела "балаковских хакеров" о DDoS-атаках на интернет-сайты букмекерских компаний, расположенных в Великобритании. В результате рассмотрения этого дела осуждено трое человек, а именно Максаков Иван Вячеславович, Петров Александр Александрович, Степанов Денис Владимирович. В качестве наказания каждому назначено наказание в виде лишения свободы сроком на 8 лет с отбыванием в исправительной колонии строгого режима со штрафом в размере 100000 руб. Суд признал потерпевшими ряд английских компаний и посчитал доказанными 10 эпизодов вымогательства в отношении этих компаний, а равно усмотрел в деяниях осужденных формальный состав ч. 1 ст. 273 УК РФ. Объединение указанных правонарушений в группу корыстных компьютерных преступлений международного характера и выделение в их механизме одинаковых этапов вызвано тем, что для них характерны: 1. Наличие "информационных" и "финансовых" следов, а равно превалирующая роль "финансовых" следов в получении доказательств и корыстного мотива в уголовно-правовой квалификации деяний. В деле "балаковских хакеров", например, изучение следов различного характера привело правоохранительные органы Великобритании к установлению различного круга подозреваемых лиц в различных регионах России. Например, конечными адресатами денег в России были Мария Зарубина, Тимур и Ян Арутчевы (все - из Северо-Кавказского региона), а распространением бот-модулей в Интернет занимался, по мнению правоохранительных органов Великобритании, Иван Максаков (Саратовская область). 2. Совершение организованными преступными группами (далее - ОПГ). 3. Специализация преступных групп и конкретных преступников на определенных этапах преступной деятельности. 4. Использование преступниками специальных знаний и специализированного (и даже криминального) оборудования и программного обеспечения. 5. Территориальная распределенность участников ОПГ или участников конкретного преступного события, в том числе потерпевших, включая нахождение на территории различных стран. В связи с этим целесообразно говорить не о территориальной, но языковой общности членов ОПГ. 6. Коммуникация между преступными группами или участниками ОПГ, а равно между преступниками и потерпевшими, с использованием псевдонимов. 7. Активная маскировка коммуникаций с помощью использования средств анонимизации обращений к ресурсам Интернет, маскировка обращений к ресурсам Интернет путем использования "мулов", создания защищенных каналов для переговоров и передачи информации, шифрования информации и т. п. Отметим, что в ходе маскировки коммуникации может происходить неоднократная смена сетевых реквизитов с использованием сетей электросвязи на территории нескольких регионов мира. 8. Территориальная распределенность, трансграничность затрагиваемой в ходе преступной деятельности материальной инфраструктуры Интернет, включая ее нахождение на территории различных стран, в основном вне территории Российской Федерации. Это, например, большая часть серверов службы доменных имен, физических активов провайдеров хостинговых и иных услуг <3>. -------------------------------- <3> См., например: http://forum. hostobzor. ru/lofiversion/index. php/t557.php. По состоянию на 26 августа 2007 г.
9. Навязывание услуг информационной безопасности. 10. И другие. Корыстная компьютерная преступность зачастую ориентируется на совершение правонарушений вне пределов государства местонахождения конкретного правонарушителя. Развитие институтов страхования, которые позволяют эффективно компенсировать потери от кардинга и фишинга, а равно высокие репутационные риски финансовых учреждений и иных компаний в случае обнародования фактов кардинга, фишинга, DOS-атак, обеспечивает высокую степень латентности преступлений, направленных против целей, расположенных в странах Европы, Северной Америки, а равно подразделений глобальных финансовых структур в разных странах. Как говорилось ранее, рассматриваемые виды преступной деятельности чаще всего, на наш взгляд, тщательно планируются и совершаются в составе ОПГ с четким распределением ролей. В свою очередь, особенностью такой постоянной организованной группы является ее существование в Интернет, что обусловливает сложность проведения ряда следственных действий, например опознания и очной ставки. Организованность данной преступной деятельности также порождает сложные формы мошенничества и вымогательства, обогащая, например, способы мошенничества с бумажными банковскими чеками, встраивая корыстные компьютерные преступления международного характера в традиционную преступную деятельность. Расследование корыстных компьютерных преступлений международного характера порождает ряд международно-правовых и криминалистических проблем. Так, в ходе расследования в рамках дела "балаковских хакеров" английские правоохранительные органы осуществляли оперативно-розыскную деятельность (далее - ОРД) по установлению сетевых реквизитов злоумышленников. Было установлено, что подозреваемые выходят в Интернет через сетевой адрес, зарегистрированный на российский сегмент адресного пространства. Более того, английские правоохранительные органы входили в активную коммуникацию с подозреваемыми по сетям электросвязи, провоцируя их на пересылку бот-модулей, что означает, на наш взгляд, что ОРД проводилась в пределах российской юрисдикции, территории и лицами, не указанными в российском законодательстве. При этом известно, что Россия планирует подписание Европейской конвенции о киберпреступности <4>. Именно положение о трансграничном осуществлении следственных и оперативно-розыскных действий <5> должно быть сопровождено оговоркой о необходимости его пересмотра. -------------------------------- <4> См.: распоряжение Президента РФ от 15 ноября 2005 г. N 557-рп "О подписании Конвенции о киберпреступности". <5> "Сторона может без согласия другой Стороны... получать через компьютерную систему на своей территории доступ к хранящимся на территории другой Стороны компьютерным данным или получать их, если эта Сторона имеет законное и добровольное согласие лица, которое имеет законные полномочия раскрывать эти данные этой Стороне через такую компьютерную систему".
Вместе с тем специфика ОРД с использованием компьютерных сетей в условиях использования псевдонимов, иерархичности сетевых адресов, международного характера сетей связи и других факторов порождает парадоксальную ситуацию: незаконность проведения ОРД может быть обнаружена во многих случаях только по ее результатам. С описанной проблемой связана такая криминалистическая особенность взаимодействия с иностранными правоохранительными органами, как требование разумно полного изложения сути уголовного дела и необходимых следственных действий в запросах о правовой помощи. Необходимость предварительного установления правоохранительными органами запрашивающей страны личности подозреваемых, свидетелей, потерпевших, а в случае необходимости получения информации, например, из банков - точных реквизитов искомого лица, точного номера счета и названия банка, в котором он открыт <6>, порождает необходимость предварительного обмена ориентирующей информацией. Отсутствие подобной информации, особенно в условиях судебного контроля, может препятствовать исполнению зарубежными правоохранительными органами требуемых следственных действий по мотивам необоснованности. -------------------------------- <6> Целесообразно указывать и интересующие следствие операции и документы, например номера контрактов и наименования контрагентов.
Предварительный обмен данными оперативно-розыскного характера (ориентирующей информацией) осуществляется через правоохранительные органы, имеющие право осуществлять ОРД и обладающие необходимыми правовыми основаниями (договоры и межведомственные соглашения) или каналами сотрудничества (на основе принципа взаимности). Поэтому процедура тактической операции по получению доказательств за рубежом разбивается на три больших этапа: 1) установление максимального объема ориентирующей информации на территории России; 2) запрос ориентирующей информации из-за рубежа; 3) запрос доказательств из-за рубежа. Необходимость предварительного обмена ориентирующей информацией, а равно особенности компьютерной информации как источника доказательств и процедур ее обработки в информационных системах операторов связи в различных странах обусловливают крайнюю важность кратчайших сроков получения такой информации в ходе международного сотрудничества в сфере уголовного судопроизводства. На практике проблема сохранности компьютерной информации в условиях невозможности сокращения сроков ее получения может решаться путем процедур ее резервации по требованию правоохранительных органов. Например, А. Г. Волеводз в 2002 г. приводил пример законодательства США, которое позволяет требовать сохранения информации, определенной родовыми признаками (например, дата и время), до получения разрешения суда о ее изъятии <7>. -------------------------------- <7> См.: Волеводз А. Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. М.: Юрлитинформ, 2002. С. 207 - 208.
Отметим, что в России также используется такой тактический прием, как резервирование криминалистически значимой информации ее обладателем по просьбам сотрудников правоохранительных органов, например в случае необходимости выемки записей камер наружного наблюдения. Вместе с тем законные гарантии сохранности информации в подобных случаях отсутствуют. Согласно правилам § 2703 Свода законов США <8> правоохранительными органами может истребоваться информация как о содержимом почтовых и иных отправлений, так и служебной информации (персональных данных клиента, финансовой информации и технической информации, автоматически создаваемой оборудованием оператора связи). Почтовые и иные отправления <9>, текущий срок хранения которых не превышает 180 дней, могут быть получены без согласия (и уведомления) клиента оператора связи только на основании судебного приказа. Почтовые и иные отправления старше 180 дней могут быть раскрыты на тех же условиях либо с предварительным уведомлением клиента оператора связи и соблюдением определенных условий. Служебная информация может раскрываться на основании судебного приказа либо с согласия клиента оператора связи. Вместе с тем определенные категории служебной информации могут быть раскрыты на основании требования уполномоченного государственного органа без получения санкции суда. Список таких категорий служебной информации в США близок к номенклатуре данных, предоставляемых операторами связи правоохранительным органам в Российской Федерации, что также не требует санкции суда. -------------------------------- <8> См., например: http://www. cybersafe. gov/criminal/cybercrime/ECPA2701_2712.php. По состоянию на 26 августа 2007 г. <9> Имеются в виду только те почтовые и иные отправления, которые передаются по каналам электросвязи.
Получение обоих типов информации обеспечивается указанным А. Г. Волеводзом правом правоохранительных органов США требовать от операторов связи сохранения интересующей их информации на основании постановления уполномоченного сотрудника на срок до получения санкции суда (приказа), если она необходима, или требования уполномоченного государственного органа, но не более 90 дней. Данный срок может быть продлен на 90 дней. В отношении сохранения служебной информации операторов связи в Российской Федерации <10> в настоящее время установлено правило о необходимости хранения некоторых категорий информации в течение срока не менее трех лет и в базе данных, к которой у правоохранительных органов имеется прямой доступ. Это в значительной степени снимает вопрос сохранения необходимой правоохранительным органам Российской Федерации служебной информации на территории России. -------------------------------- <10> Сходные требования установлены законодательством ряда стран - членов Европейского союза.
Вместе с тем в отношении содержания почтовых и иных отправлений подобных правовых механизмов сохранения без раскрытия на территории Российской Федерации, на наш взгляд, не установлено. Более того, формальное отсутствие права следователя или органа, осуществляющего оперативно-розыскную деятельность, отдельно требовать сохранения компьютерной информации служебного характера, а равно почтовых и иных отправлений до получения решения суда или предъявления запроса лишает возможности требовать в ходе международного сотрудничества в сфере уголовного судопроизводства правовой помощи в форме сохранения данных до их фактического получения правоохранительными органами. Таким образом, в настоящее время можно говорить о том, что вопрос резервации компьютерной информации на территории Российской Федерации до ее фактического получения правоохранительными органами российским законодательством в определенной части урегулирован, но существующая разница в правовом регулировании не позволяет использовать в международном сотрудничестве в сфере уголовного судопроизводства с рядом стран, например США, способы, снижающие риски утраты компьютерной информации, хранящейся за рубежом. Мировой практике известны как минимум три случая, когда правоохранительные органы иностранных государств, отказываясь от использования возможностей международной правовой помощи и института экстрадиции, осуществляли тактическую операцию по выманиванию подозреваемых ими в совершении корыстных компьютерных преступлений международного характера лиц на территорию иностранных государств либо на собственную территорию для задержания, проведения следственных действий и предъявления обвинения. Не рассматривая правовой аспект подобного рода тактических операций, мы хотели бы изучить их механизм на примере опыта Соединенных Штатов Америки. Под указанными случаями мы имеем в виду задержание в результате совместной операции правоохранительных органов США и Великобритании Олега Зезева, гражданина Казахстана (далее - дело N 1), вымогавшего денежные средства у корпорации "Блумберг" (США), которого под предлогом передачи криминального вознаграждения склонили к поездке в Великобританию <11>. Данная операция проводилась наряду с сотрудничеством с правоохранительными органами Казахстана в целях получения доказательств. -------------------------------- <11> См., например: http://www. fbi. gov/congress/congress03/farnan040303.php; http://lenta. ru/world/2003/02/03/alex. По состоянию на 26 августа 2007 г.
Перекрестным примером является "дело Горшкова и Иванова" <12> (далее - дело N 2), организовавших хищение персональных данных и финансовой информации у бизнесменов США, а равно шантаж, при расследовании которого имели место как трансграничный доступ к компьютерным данным без согласия правоохранительных органов России, так и тактическая операция по выманиванию подозреваемых на территорию США. Поводом для приезда было трудоустройство Василия Горшкова и Алексея Иванова в компании, занимавшейся предоставлением услуг в области информационной безопасности, которая была специально создана сотрудниками Федерального бюро расследований США (далее - ФБР США). -------------------------------- <12> См., например: http://www. fbi. gov/page2/oct03/hack100703.php; http://bugtraq. ru/library/underground/hunting. html; http://www. fsb. ru/smi/remark/2002/021009.php. По состоянию на 26 августа 2007 г.
Последним известным случаем является дело Игоря Клопова (далее - дело N 3), задержанного в США по обвинению в краже персональных данных и мошенничестве <13>. Преступления совершались в составе международной организованной группы, сложившейся с помощью общения в сети Интернет. Поводом для приезда и задержания явилась сделка по приобретению золота в слитках с помощью банковского чека, якобы выданного потерпевшим. При этом первый контакт правоохранительных органов США и И. Клопова состоялся на территории Доминиканской Республики, и его точный характер неизвестен. -------------------------------- <13> http://www. nytimes. com/2007/08/17/nyregion/17theft. html? ex=1188273600&en=26edcf67c8c59487&ei=5070. По состоянию на 26 августа 2007 г.
Тактическая операция - "тактический комплекс, включающий помимо деятельности следователя приемы и методы оперативно-розыскных, контрольно-ревизионных органов и иных вспомогательных служб" <14>, вместе с тем в буквальном прочтении данный термин к изучаемому предмету неприменим в силу различий в структуре и организации деятельности правоохранительных органов за рубежом. -------------------------------- <14> Криминалистика / Отв. ред. Н. П. Яблоков. М.: Юристъ, 2005. С. 402.
Рассматриваемая тактическая операция обычно занимает около полугода (шесть месяцев - дело N 1 и N 2; семь месяцев - дело N 3). Территория ее завершения (задержания подозреваемого) может быть как территорией США, так и территорией иных государств. Ключевым является использование корыстного мотива подозреваемых, так как способы совершения преступления, порождающие информационные следы, не требуют личного присутствия преступника на территории иностранного государства. Во всех описанных случаях, по имеющимся данным, целью поездки подозреваемых было получение имущества либо иных выгод, а не, например, отдых. Специфика механизма корыстных компьютерных преступлений обусловливает активное использование таких оперативно-розыскных мероприятий, как оперативный эксперимент и оперативное внедрение, в том числе вместо заранее задержанного сообщника, сотрудничающего с правоохранительными органами. Данные оперативно-розыскные мероприятия облегчаются принятой в сети Интернет практикой использования псевдонимов и отсутствием личных контактов, а равно отсутствием расходов, характерных для обычного оперативного внедрения. Наличие в Посольствах США за рубежом атташе по правовым вопросам, являющихся специальными агентами ФБР США, значительно облегчает выезд подозреваемых из страны их пребывания, так как обеспечиваются беспрепятственная выдача виз и другие условия. Можно предполагать, что их участие характерно для последних этапов операции, когда подозреваемые уже согласились на поездку. Вместе с тем важным условием успешности данной операции является точная идентификация подозреваемого лица. В деле N 2 идентификация была осуществлена с помощью сотрудничавшего с ФБР США американского гражданина, имевшего личные контакты с одним из подозреваемых, а равно путем поиска информации в Интернете (было обнаружено резюме) и в ходе переписки. В деле N 1, например, О. Зезев в ходе общения с потерпевшим упомянул, что он родился 25 июля и ему исполнилось 27 лет, это позволило выделить его из списка пассажиров самолета как гражданина Казахстана мужского пола с днем рождения 25 июля 1973 г. Также эта тактическая операция имеет ярко выраженный межведомственный характер. В нее вовлекаются представители различных правоохранительных органов, а равно происходит субординационная координация внутри ведомства. Более того, данная операция может координироваться и Государственным департаментом США, как это происходило, например, в деле N 2. Если в деле N 1 и деле N 2 выманивание осуществлялось ФБР США, то в деле N 2 расследование осуществлялось Секретной службой США, которая структурно находится в ведении Министерства финансов США, а также полицией штата Нью-Йорк, которая структурно независима от федеральных органов власти США. Поэтому можно говорить, что подобные операции полномочны производить не только федеральные правоохранительные органы США, но и полиция отдельных штатов. В заключение отметим, что эффективность такого рода тактических операций в целом, на наш взгляд, недостаточна, и их осуществление позволяет расследовать лишь некоторые эпизоды преступной деятельности, так как практически всегда подобные правонарушения совершаются в составе ОПГ, большинство членов которых не арестовывается и не задерживается, а следовательно, продолжает совершать преступления, в том числе и из мотивов мести. Это нашло определенное подтверждение как в деле N 1 (призыв О. Зезева к неустановленным лицам продолжать шантаж и опубликовать данные об уязвимости информационной системы компании "Блумберг"), так и в деле N 2 (обнаружение сотрудниками ФБР США на обыскиваемом ими российском компьютере послания угрожающего характера, оставленного после раскрытия факта задержания В. Горшкова и А. Иванова). Расследование же национальными правоохранительными органами дает возможность установить и задержать на территории России всех виновных лиц.
Название документа