криминалистика. 369_КРИМИНАЛИСТИКА. Астмосква

346
При установлении лиц, совершивших несанкционированный доступ
к закрытой компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить такой доступ могут только специалисты, имеющие достаточно высокую квалифика- цию. Поэтому поиск подозреваемых лучше начинать с технического персонала «атакованных» компьютерных систем или сетей. Это, в пер- вую очередь, их разработчики, а также руководители, операторы, про- граммисты, инженеры связи, специалисты по защите информации и т.д.
Следственная практика свидетельствует, что чем сложнее способ про- никновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующи- ми способностями, весьма ограничен.
Доказыванию причастности конкретного субъекта к несанкциони- рованному доступу способствуют различные следы, обнаруживаемые при следственном осмотре ЭВМ и ее компонентов. Это, например, сле- ды пальцев, записи на внешней упаковке дискет. Для их исследования назначаются криминалистические экспертизы — дактилоскопическая, почерковедческая и др.
У субъектов, заподозренных в неправомерном доступе к компью- терной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе элек- тронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной сис- темы, а также сведения о них. При обыске нужно изымать литературу и методические материалы по компьютерной технике и программирова- нию. К производству обыска и осмотру изъятых предметов рекоменду- ется привлекать специалиста по компьютерной технике.
Установить виновность и мотивы лиц, осуществивших несанкцио- нированный доступ, можно лишь по результатам всего расследования.
Решающими здесь являются показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, а также результаты обысков. В ходе расследования выясняется: 1) с какой це- лью совершен несанкционированный доступ к компьютерной информа- ции; 2) знал ли правонарушитель о системе ее защиты; 3) желал ли пре- одолеть эту систему и какими мотивами при этом руководствовался.
Вредные последствия неправомерного доступа к компьютерной сис-
теме или сети могут заключаться в хищении денежных средств или ма- териальных ценностей, завладении компьютерными программами, а так- же информацией путем копирования либо изъятия машинных носителей.
Это может быть также незаконное изменение, уничтожение, блокирование

347
информации, выведение из строя компьютерного оборудования, внедре- ние в систему компьютерного вируса, заведомо ложных данных и др.
Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их ин- формационным ресурсам, внесения в последние неправомерных изме- нений и дополнений. Их обычно обнаруживают сами работники банков, а сумму хищения определяет бухгалтерская экспертиза.
Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и факты их незаконного использования выявляют, как правило, потер- певшие. Максимальный вред причиняет незаконное получение инфор- мации из различных компьютерных систем, ее копирование и размно- жение с целью продажи для получения материальной выгоды либо ис- пользования в других преступных целях. Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно по- лученная информация является конфиденциальной или имеет катего- рию государственной тайны, то вред, причиненный ее разглашением, устанавливают представители Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
Факты незаконного изменения, уничтожения, блокирования инфор- мации, выведения из строя компьютерного оборудования, вброса в информационную систему заведомо ложных сведений устанавливаются прежде всего самими пользователями компьютерной системы или сети.
При определении размера причиненного вреда учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущен- ная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с ана- лизом баз и банков данных, путем допросов технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяет комплексная экспертиза, проводимая с участием специали- стов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения.
¾ 2. К вредоносным программам для ЭВМ прежде всего относятся так называемые вирусы, могущие внедряться в другие программы, раз- множаться и при определенных условиях повреждать компьютерные системы, хранящуюся в них информацию и программное обеспечение.
Свое название они получили потому, что во многом сходны с природны- ми вирусами. Компьютерный вирус может самовоспроизводиться во всех системах определенного типа. Некоторые из них безопасны, однако большинство приносит существенный вред. Имеются также иные вредо- носные программы, используемые обычно для хищений денежных

348 средств и совершения других злоупотреблений в сфере компьютерной информации.
Часть 1 ст. 273 УК РФ предусматривает совершение одного из сле- дующих действий: 1) создание программы или внесение в нее изменений, заведомо влекущих несанкционированное уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети; 2) использование или распространение подоб- ных программ либо машинных носителей с ними. Изменением програм- мы является преобразование алгоритма, описанного в ней на специальном языке, а распространением — расширение сферы ее применения. Часть 2 этой статьи предусматривает более опасное преступление: любое из вы- шеуказанных действий, повлекшее тяжкие последствия. Этим посягатель- ствам свойственна высокая латентность; особенно трудно выявлять соз- дателей вредоносных программ. Основные задачи расследования — уста- новить факт и способ создания, использования и распространения вредоносной программы, а также лиц, виновных в названных деяниях, и причиненный ими ущерб.
Установление факта и способа создания, использования и распро-
странения вредоносной программы для ЭВМ. Такая программа обнару- живается, как правило, когда уже проявились ее вредные последствия.
Однако она может быть выявлена и в процессе антивирусной проверки, особенно если предстоит использование чужих дискет или дисков, флэш- карт, сведений, полученных по электронной почте в сети Интернет.
Разработка вредоносных программ обычно осуществляется одним из двух способов:
1) программа разрабатывается прямо на одном из рабочих мест ком- пьютерной системы, но маскируется под правомерную работу. В силу своих служебных обязанностей разработчик имеет доступ к системе, в том числе кодам и паролям. Сокрытие преступного характера своих действий он осуществляет, удаляя компрометирующие данные или со- храняя их на собственных носителях;
2) программа создается вне сферы обслуживания компьютерной системы, для воздействия на которую она ориентирована. Злоумыш- леннику необходимы сведения о функционирующей в системе инфор- мации, способах доступа к ней, методах ее защиты. Для получения этих сведений он устанавливает связи с кем-либо из пользователей системы либо внедряется в нее посредством взлома.
О создании вредоносной программы свидетельствуют факты ее ис- пользования и распространения, особенно данные, позволяющие запо- дозрить в этом конкретное лицо. Тогда необходимы своевременные и тщательно произведенные обыски в местах работы и жительства подоз- реваемого, а также там, откуда он мог наладить доступ к компьютерной

349
системе. К обыску нужно привлечь специалиста-программиста, который поможет обнаружить все, что относится к созданию вредоносной про- граммы.
Факты использования и распространения вредоносной программы нередко обнаруживаются с помощью антивирусных программ. В ходе расследования такие факты можно установить при осмотре: а) журналов учета рабочего времени, доступа к вычислительной технике, ее сбоев и ремонта, регистрации пользователей компьютерной системы или сети, проведения регламентных работ; б) лицензионных соглашений и догово- ров на пользование программными продуктами и их разработку; в) книг паролей; г) приказов и других документов, регламентирующих работу учреждения и использование компьютерной информации. Эти документы нередко ведутся в электронной форме, поэтому к ознакомлению с ними необходимо привлекать специалиста, который поможет следователю выяснить законность использования того или иного программного обес- печения, систему организации работы учреждения, доступа к информации и компьютерной технике, установить круг лиц, имевших на это право.
Проводя допрос подозреваемого (обвиняемого), нужно выяснить уровень его профессиональной подготовки, опыт работы по созданию программ данного класса на конкретном языке программирования, зна- ние алгоритмов их работы, но особенно тех, которые подверглись не- правомерному воздействию, а также обстоятельства подготовки и со- вершения преступления, алгоритм функционирования вредоносной программы, на какую информацию и как она воздействует.
В ходе допросов свидетелей выясняют, какая информация подвер- галась вредоносному воздействию, ее назначение и содержание; как осуществляется доступ к ресурсам ЭВМ, их системе или сети, кодам, паролям и другим закрытым данным; как организованы противовирус- ная защита и учет пользователей компьютерной системы. При этом нужно иметь в виду, что практикуется множество способов использова- ния и распространения вредоносных программ. Так, нередки случаи запуска программы с другого компьютера или с дискеты, купленной, одолженной, полученной в порядке обмена, либо с электронной «доски объявлений». Вирус, вызывающий уничтожение и блокирование ин- формации, сбои в работе ЭВМ или их системы, может распространяться вследствие использования нелицензионной и несертифицированной программы (чаще игровой), купленной или скопированной у кого-либо.
Доказыванию фактов использования и распространения вредонос- ных программ способствует своевременное производство компьютерно- технической экспертизы, посредством которой можно определить, ка- кие изменения и когда внесены в исследуемые программы, выявить последствия использования и распространения вредоносных программ,

350 а также примененный преступником способ преодоления программной и аппаратной защиты (подбор ключей и паролей, отключение блоки- ровки и др.).
Приустановлении лиц, виновных в создании, использовании и рас-
пространении вредоносных программ, необходимо учитывать, что их может создать опытный программист, который, как правило, не участ- вует в его распространении.
Использовать и распространять вредоносные программы может лю- бой пользователь ПК. Однако наибольшую потенциальную опасность представляют опытные компьютерные взломщики — хакеры, а также квалифицированные специалисты в области электронных технологий.
Преступления этой категории иногда бывают групповыми: хакер- профессионал создает вредоносные программы, а его сообщники помо- гают ему в материально-техническом и информационном отношениях.
Мировой практике борьбы с компьютерными преступлениями известны случаи связей между хакерами и ОПФ. Последние выступают в роли заказчиков, обеспечивают хакеров необходимой техникой, а те органи- зуют хищения денежных средств из банковских компьютерных систем.
Поиск лица, причастного к распространению вредоносных программ для ЭВМ, сопряжен со значительными затратами времени, сил и средств.
Органу дознания нужно поручить выявление и проверку лиц, ранее при- влекавшихся к ответственности за аналогичные преступления. Установив подозреваемого, его немедленно задерживают, чтобы предотвратить уничтожение компрометирующих материалов. Кроме того, если вредо- носная программа является компьютерным вирусом, промедление может увеличить масштабы его распространения и причиненный ущерб.
Допрашивая подозреваемого, необходимо выяснить его профессию, взаимоотношения с коллегами, семейное положение, круг интересов, привычки и наклонности, навыки программирования, ремонта и экс- плуатации компьютерной техники, какими ее средствами, машинными носителями, аппаратурой и приспособлениями он располагает, на какие деньги их приобрел, где хранил и т.д.
Для проверки возможности создания вредоносной программы опре- деленным лицом, признавшимся в этом, проводится следственный экс- перимент.
При установлении вреда, причиненного преступлением, следует помнить, что вредоносная программа может практически мгновенно размножиться в большом количестве экземпляров и очень быстро зара- зить многие компьютерные системы. Это реально, ибо компьютерные вирусы могут: а) заполнить весь диск или всю свободную память ПК своими копиями; б) смешать файлы так, что отыскать их на диске практически невозможно; в) испортить таблицу размещения файлов;

351
г) отформатировать диск или дискету, уничтожив все ранее записанное; д) замедлить работу ПК; е) внести изменения в таблицу определения ко- дов, сделав невозможным пользование клавиатурой; ж) раскрыть инфор- мацию с ограниченным доступом; з) привести ПК в полную негодность.
¾ 3. Большой ущерб ЭВМ, их системе или сети может причинить нарушение правил эксплуатации, обычно приводящее к сбоям в обра- ботке информации, а в конечном счете дестабилизирующее деятель- ность соответствующего предприятия или учреждения.
При расследовании дел данной категории необходимо прежде всего доказать факт нарушения эксплуатационных правил, повлекший унич- тожение, блокирование или модификацию компьютерной информации и причинение существенного вреда. Кроме того, следует установить и доказать: 1) место и время (период времени) нарушения правил экс- плуатации ЭВМ, их системы или сети; 2) характер компьютерной ин- формации, подвергшейся уничтожению, блокированию или модифика- ции; 3) способ и механизм нарушения правил; 4) характер и размер причиненного ущерба; 5) факт нарушения правил определенным лицом и виновность последнего.
Доказывая факт преступного нарушения правил эксплуатации
ЭВМ, необходимо тщательно изучить эти правила, поскольку они опре- деляют порядок получения, обработки, накопления, хранения, поиска, распространения и представления потребителю компьютерной инфор- мации, а также ее защиту.
Статья 274 УК РФ охраняет информацию, имеющую ограниченный доступ, которая подразделяется на отнесенную к государственной тайне и конфиденциальную. Именно эти две категории сведений, циркули- рующих в компьютерных системах и сетях, нуждаются в особой защите от преступных посягательств.
Порядок накопления, обработки, предоставления пользователю и защиты информации с ограниченным доступом определяется органами государственной власти либо собственником такой информации. Соот- ветствующие правила установлены в органах государственной испол- нительной власти, в госархивах, информационных системах, обрабаты- вающих конфиденциальные сведения, и те, которые составляют госу- дарственную тайну.
Владельцы и пользователи системы или сети ЭВМ первыми обна- руживают отсутствие необходимой информации либо ее существен- ные изменения, негативно отразившиеся на деятельности предпри- ятия, учреждения, организации. Владелец документов, их массива или информационной системы обязан оповещать ее собственника обо всех фактах нарушения режима защиты информации.

352
При нарушении правил эксплуатации, когда это привело к вредным последствиям, необходимо допросить всех лиц, которые работали на
ЭВМ и обслуживали компьютерное оборудование в интересующий след- ствие период. К участию в допросе целесообразно привлечь специалиста.
Выяснению подлежит следующее: 1) круг обязанностей допрашиваемого при работе с ЭВМ либо ее оборудованием, какими правилами он установ- лен? 2) какая конкретно работа на ПК и в каком порядке выполнялась, когда произошло уничтожение, блокирование, изменение компьютерной информации? 3) какие неполадки в компьютерной системе обнаружились при работе на ЭВМ, не было ли при этом каких-либо сбоев, чреватых причинением существенного вреда? 4) какие конкретно правила работы с
ПК были нарушены? 5) каким образом должны фиксироваться факты уничтожения, блокирования или модификации компьютерной информа- ции? 6) связаны ли уничтожение, блокирование, модификация информа- ции с нарушением правил эксплуатации ЭВМ и каких именно?
Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования. Обычно оно проводится отделом информационной безопасности предприятия, на котором про- изошел уголовно наказуемый инцидент. В этих материалах можно най- ти ответы на многие из вышеприведенных вопросов. По материалам служебного расследования могут быть установлены также место и
время преступного нарушения правил, другие обстоятельства, подле- жащие доказыванию.
Конкретное место нарушения правил эксплуатации ЭВМ определя- ют и при осмотре рабочих мест пользователей компьютерной системы или сети. Осмотру подлежат все подключенные к ним ПК. Осмотр дол- жен проводиться с участием специалиста, помогающего выяснить дис- локацию компьютера, работа на котором привела к вредным последст- виям. Необходимо установить, где расположена станция, эксплуатация которой велась с грубыми отступлениями от требований информацион- ной безопасности. В первую очередь следует определить места, где дислоцированы рабочие станции, имеющие собственные дисководы, так как именно на них есть потенциальные возможности для преступных нарушений правил эксплуатации компьютерной сети.
Рекомендуется производить следственный осмотр учетных дан- ных, в которых могут быть отражены сведения о расположении кон- кретной рабочей станции, использующей файловый сервер. Кроме того, следует допросить в качестве свидетелей администратора сети и спе- циалистов, обслуживающих сервер, в котором произошло уничтожение, блокирование или модификация компьютерной информации. Подобные допросы позволяют выяснить: на какой рабочей станции могли быть на- рушены правила эксплуатации компьютерной сети, где она расположена;

353
Могли ли быть нарушены правила эксплуатации данной локальной вычислительной сети на конкретной рабочей станции?
Если правила нарушены непосредственно на файловом сервере, то места нарушения и наступления вредных последствий совпадают. Ме- сто нарушения правил поможет установить компьютерно-техническая экспертиза.
При определении времени нарушения правил эксплуатации ЭВМ не- обходимо установить и зафиксировать еще и время наступления вред- ных последствий. Нарушение правил и наступление таких последствий могут произойти одновременно. Например, когда отключается электро- питание, а его резервные источники отсутствуют (т.е. нарушены прави- ла обеспечения информационной безопасности), могут быть мгновенно уничтожены очень важные данные, которые не успели записать на дис- кету или флэш-карту.
Возможен и большой временной интервал между моментом нару- шения правил и временем наступления вредных последствий. Так, на
Волжском автозаводе оказалось умышленно расстроенной работа трех линий главного сборочного конвейера, управляемого компьютером.
Произошло это по вине инженера-программиста, который из низмен- ных побуждений пять месяцев назад ввел в одну из взаимодействующих программ управления накопителем механических узлов заведомо не- правильную последовательность команд счета подвесок и подачи шасси на главный конвейер. Тем самым предприятию был причинен крупный материальный ущерб; кроме того, из-за сверхнормативного простоя главного сборочного конвейера не было выпущено около 500 автомоби- лей «Жигули» (упущенная выгода). Это было одно из первых компьютер- ных преступлений, совершенных в Советском Союзе.
Время нарушения правил обычно конкретизируется по учетным данным, которые фиксируются в процессе эксплуатации ЭВМ. К ним относятся сведения о результатах применения средств автоматического контроля, регистрирующих пользователей компьютерной системы и моменты подключения к ней абонентов, содержание журналов учета сбойных ситуаций, передачи смен операторами ЭВМ, распечатки вы- ходной информации.
Указанные данные могут быть получены в ходе осмотра места про- исшествия, выемки и осмотра документов. Осмотр, напомним, прово- дится с участием специалиста. Время нарушения правил можно устано- вить также путем допросов свидетелей из числа лиц, участвующих в эксплуатации ЭВМ. Допрашиваемые могут пояснить, как в этой компьютерной системе фиксируются факты и время отклонения от установленных правил эксплуатации, когда могло быть нарушено определенное правило, что повлекло вредные последствия. Время

354 их наступления устанавливается по материалам служебного расследо- вания и результатам осмотра места происшествия, а также путем допро- са свидетелей и производства судебных экспертиз.
При осмотре места происшествия могут быть обнаружены машинные носители информации, на которых ранее хранились охраняемые законом данные. Последние вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблоки- рованными. На носителях может быть зафиксировано время наступления таких последствий, что выясняется также с помощью специалиста.
Указанные последствия часто обнаруживаются пользователями, а также администраторами базы данных. Поэтому при их допросах в качестве свидетелей следует уточнить, когда они впервые обнару- жили отсутствие или существенное изменение информации, находив- шейся в определенной базе данных.
Способ нарушения правил эксплуатации ЭВМ может быть активным или пассивным. Первый выражается в самовольном выполнении не предусмотренных операций, второй — в невыполнении предписанных действий. Механизм нарушения правил связан с технологией обработки информации на ЭВМ. Это, например, ее неправильное включение и выключение, использование посторонних дискет без предварительной проверки на компьютерный вирус, невыполнение правил об обязатель- ном копировании информации на случай уничтожения оригинала. Спо- соб и механизм нарушения правил выясняется путем допросов свидете- лей, подозреваемых и обвиняемых, проводимых с участием специали- стов, в ходе следственного эксперимента, производства компьютерно- технической экспертизы.
Характер ущерба, причиненного преступным нарушением правил эксплуатации ЭВМ, может заключаться в уничтожении, блокировании или модификации охраняемой законом информации. Для определения размера ущерба, причиненного преступным нарушением правил экс- плуатации ЭВМ, их системы или сети, степень секретности и конфи- денциальности информации имеет решающее значение. Ущерб носит либо чисто экономический характер, либо вредит интересам государст- ва вследствие утечки сведений, составляющих государственную тайну.
Разглашение или утрата такой информации может создать серьезную угрозу внешней безопасности страны, что влечет уголовную ответст- венность еще и по ст. 283 и 284 УК. Размер ущерба устанавливается посредством информационно-экономической экспертизы, разрешающей вопрос: «Какова стоимость информации, уничтоженной (или изменен- ной) вследствие нарушения правил эксплуатации ЭВМ?»
При установлении виновного, следует иметь в виду, что к ЭВМ, их системе или сети, как правило, имеют доступ определенные люди в силу

355
выполняемой ими работы, связанной с применением средств компью- терной техники. Среди них и следует искать нарушителей правил.
Виновность лица, совершившего преступное нарушение правил эксплуатации ЭВМ, устанавливается по результатам допросов свидете- лей и подозреваемого, осмотра и изучения эксплуатационных докумен- тов на данную компьютерную систему, осмотра компьютера, оборудо- вания к нему, машинных носителей информации и распечаток.
Контрольные вопросы
1. Какие виды преступлений совершаются в сфере компьютерной информации? Охарактеризуйте каждый из них с криминалистической точки зрения.
2. Каковы особенности методики расследования случаев неправо- мерного доступа к компьютерной информации?
3. В чем состоит специфика расследования фактов создания, ис- пользования и распространения вредоносных программ для ЭВМ?
4. Охарактеризуйте методику расследования нарушения правил экс- плуатации ЭВМ, их системы или сети.
5. В чем состоит специфика следственных действий, проводимых по делам данной категории?