Руководство для следователей_под ред Мозякова В.В_2005 -912с. Руководство для следователей Под общ ред. В. В. Мозякова. М. Экзамен, 2005. 912 с
 Скачать 11.89 Mb.
|
|
Глава 49. Расследование преступлений в сфере компьютерной информации вие может вывести из строя материальные носители и электронное оборудование, привести к нарушению системы защиты. . Для систем компьютерной информации особую опасность представляют те разновидности вредоносных программ, которые способны к самовоспроизводству и самораспространению. Следует отметить, что некоторые из них способны бездействовать длительное время, ожидая для своей активизации наступления заранее определенных условий или внешней команды, а также самопроизвольно и скрытно присоединяться к иным файлам, программам или базам данных. Следует отметить, что особой популярностью среди пользователей персональных компьютеров и соответственно широкой распространенностью по всей России в последние годы пользуются появившиеся компьютерные компакт-диски под названием «Super Hacker 98 (99; 2000 и т.д.)». Они являются «компактным» сосредоточением практически всех видов вредоносных программ (равно как и его предшествующие, а также последующие версии). Так, Жуков А.Н., имея свидетельство о регистрации частного предпринимателя без образования юридического лица, выданное Администрацией Индустриального района г. Ижевска Удмуртской Республики, осуществлял предпринимательскую деятельность по реализации лазерных компакт- дисков. Приобретя у не установленного следствием лица лазерный компакт-диск «HACKER PRO 99», Жуков, имея высшее техническое образование, опыт работы с ЭВМ и его программным обеспечением, заведомо зная, что на данном диске содержится информация в виде компьютерных программ, зараженных кодом программ-вирусов, которые при запуске заведомо приводят к несанк ционированному уничтожению, блокированию, модификации либо копированию информации, на рушению работы ЭВМ, системы ЭВМ или их сети, умышленно, из корыстных побуждений, пре следуя цель распространения данного диска, 13 марта 1999 года на радиорынке г. Ижевска продал указанный выше лазерный компакт-диск. После приобретения диска покупателем этот диск был изъят сотрудниками милиции. ..--... Кроме того, 30 августа 1998 года Жуков у не установленного следствием лица в г. Москве приобрел для дальнейшей реализации партию лазерных компакт-дисков, в числе которых были диски с порнографическим содержанием, которые он из корыстных побуждений, преследуя цель распространения лазерных компакт-дисков, содержащих порнографические материалы, путем незаконной торговли на радиорынке г. Ижевска осуществлял незаконную торговлю порнографическими материалами. Октябрьский районный суд г. Ижевска квалифицировал действия Жукова А.Н. и осудил его по ч. 1 ст. 273 УК РФ, поскольку он продал, то есть распространил лазерный компакт-диск, являющийся машинным носителем с программами для ЭВМ, заведомо приводящими к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а также по ст. 242 УК РФ, так как он осуществлял незаконную торговлю лазерными компакт-дисками с имеющейся на них информацией в виде видео-или фотоизображений порнографического характера, то есть осуществлял незаконную торговлю предметами порнографического характера1. Таким образом, основным признаком, позволяющим установить, относятся ли подобные программы к категории вредоносных, является несанкционированность их действий и способность уничтожить, блокировать, копировать или модифицировать информацию, находящуюся в «зараженных» ЭВМ или на машинных носителях, привести к нарушению работы ЭВМ, системы или сети ЭВМ. Несанкционированность означает, что лицо, в нарушение действующего законодательства, без разрешения собственника уничтожает, блокирует, модифицирует или копирует информацию. Наряду с этим вредоносная программа может записываться, храниться и выполняться скрытно от пользователя, который не в состоянии предотвратить наступление вредных последствий. О понятиях уничтожение, блокирование, модификация, копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, машинный носитель. Под распространением вредоносных программ или машинных носителей с такими программами понимается создание условий для доступа к программе для ЭВМ, в том числе путем продажи, сдачи внаем, передачи программы или ее копии иным лицам, которые в результате имеют возможность ее использовать. Преступление считается оконченным с момента создания вредоносной программы, внесения перечисленных выше изменений в существующую программу, использования такой программы или ее распространения. Субъектом преступления является вменяемое, достигшее 16-летнего возраста лицо. 031 Приговор Октябрьского районного суля Г Ижевска Удмуртской Республики т октября 1409 г по архивному лету 1- Х.05 Глава 49. Расследование преступлений в сфере компьютерной информации Субъективная сторона преступления характеризуется прямым умыслам: лицо заведомо знает о свойствах данной программы и сознает, что своими действиями создает ее или вносит подобные изменения в существующую программу, использует или распространяет вредоносную программу для ЭВМ и желает этого. Между тем следует отметить, что наряду с материальными составами умышленных преступлений, в объективную сторону которых включены юридически значимые общественно опасные последствия, в УК РФ есть формальные составы, объективная сторона которых ограничена лишь общественно опасным действием или бездействием. Именно высокой степенью общественной опасности объясняется то, что уголовный закон преследует достаточно строго за сам факт создания, использования либо распространения вредоносных программ для ЭВМ, не оговаривая наступления каких-либо последствий. В этих случаях умысел формально включает в себя лишь осознание общественной опасности действия (бездействия) и желание его совершения. То есть совсем не обязательно, чтобы лицо знало обо всех вредоносных свойствах программы, а сознавало лишь общий ее характер. , Часть 2 ст. 273 УК РФ предусматривает уголовную ответственность за деяния, перечисленные в части первой, если они повлекли по неосторожности наступление тяжких последствий. Вопрос о наличии (отсутствии) тяжких последствий решается отдельно, в каждом конкретном случае. К ним, например, можно отнести: гибель людей или причинение вреда их здоровью; крупный имущественный ущерб; безвозвратную утрату особо ценной информации; выход из строя уникальных, имеющих важное значение технических средств; длительную приостановку работы предприятия или организации и т.д. Если говорить о субъективной стороне преступления, предусмотренного ч. 2 ст. 273 УК РФ, то необходимо подчеркнуть, что она характеризуется двойной формой вины — умыслом по отношению к созданию, использованию или распространению вредоносных программ для ЭВМ и неосторожностью в форме легкомыслия или небрежности — по отношению к наступившим последствиям. 1.3. Уголовно-правовая характеристика нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. Родовым объектом анализируемого преступления является совокупность общественных отношений, которые составляют основное содержание общественной безопасности и общественного порядка, а видовым — совокупность общественных отношений в части правомерного и безопасного использования компьютерной информации. Непосредственным объектом нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети в соответствии с диспозицией рассматриваемой нами правовой нормы являются общественные отношения по обеспечению безопасности компьютерной информации и нормальной работы электронно-вычислительных машин, их систем или сети. В качестве дополнительного объекта данного преступления выступают материальные интересы потерпевшего. Диспозиция анализируемой статьи УК РФ отсылает правоприменителя к соответствующим нормативным правовым актам, которые устанавливают правила эксплуатации ЭВМ, системы ЭВМ и сети. Необходимым условием для законного и обоснованного привлечения лица к уголовной ответственности по ст. 274 УК РФ является соблюдение действующего порядка установления данных правил. Во-первых, они должны быть утверждены уполномоченным на это должностным лицом с соблюдением требований к подготовке и оформлению таких нормативных актов (в частности, правил эксплуатации ЭВМ, которые должны быть утверждены письменным приказом руководителя). Во-вторых, с указанными нормативными актами должны быть ознакомлены под роспись соответствующие сотрудники, на которых возложена обязанность по эксплуатации ЭВМ, системы ЭВМ, их сети и для этого им выдан соответствующий допуск. В то же время конкретные требования по надлежащей эксплуатации ЭВМ могут содержаться в паспортах качества, технических описаниях и инструкциях по эксплуатации, которые передаются пользователю от производителя при приобретении соответствующего компьютерного устройства или программного обеспечения. Объективная сторона преступления выражается в действии или бездействии и состоит в: а) нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети; б) уничтожении, блокировании или модификации охраняемой законом информации, причинивших существенный вред; в) причинной связи между нарушением правил и наступившими вредными последствиями в виде причинения существенного вреда. При этом нарушение правил эксплуатации состоит в нарушении: а) правил эксплуатации программного обеспечения ЭВМ, системы ЭВМ или сети ЭВМ; б) правил Ш эксплуатации программного обеспечения, которое предназначено для функционирования ЭВМ, системы ЭВМ, сети ЭВМ, Непосредственно противоправное деяние по рассматриваемой нами статье УК РФ состоит в несоблюдении или прямом игнорировании определенных правил, обеспечивающих безопасность компьютерной информации, ЭВМ, системы или сети ЭВМ (в частности, в невыполнении сотрудником обязанностей по проверке используемых машинных носителей информации на наличие вредоносных программ). Анализ следственной практики свидетельствует, что одной из причин необоснованного привлечения граждан по рассматриваемой статье является то, что при производстве предварительного еледствия не выясняется, какие конкретно правила были нарушены лицом, имеющим доступ в ЭВМ, в чем они заключаются, а также наличие причинной связи между этими нарушениями и наступлением описанных в диспозиции ст. 274 УК РФ последствий (т.е. существенного вреда). Поэтому указанные обстоятельства, как один из основных элементов предмета доказывания, должны быть тщательно исследованы. Поэтому не может быть поставлено в вину лицу нарушение тех или иных правил обращения с ЭВМ или компьютерной информацией, если наступивший вред произошел не в результате их нарушения, а в силу каких-либо иных причин. Помимо паспортов качества, инструкций и иных документов эти правила могут содержаться в международных договорах и соглашениях, заключенных РФ, законодательных и нормативных актах РФ и субъектов федерации, подзаконных актах министерств и ведомств, трудовых контрактах и в договорах между отдельными гражданами. Нарушения правил эксплуатации ЭВМ могут заключаться в ошибочных подключениях устройств, оборудования и ЭВМ; нарушении температурного режима в помещении, сроков технического обслуживания; использовании не сертифицированных программных средств, нарушении правил диалога с программными средствами, вводе данных, обработку которых технически невозможно осуществить конкретным средством вычислительной техники, и т.д. О понятиях ЭВМ, системы ЭВМ, сети ЭВМ, лица, имеющего доступ к ЭВМ, системе ЭВМ или их сети; уничтожения, блокирования или модификации, а также охраняемой законом информации компьютерной информации см. комментарий к ст. 272 УК РФ. 5. Понятие «существенный вред» носит оценочный характер, и его наличие (отсутствие) устанавливается в каждом конкретном случае органами предварительного следствия и судом. В частности, вопрос о том, является -ли вред существенным, решается в зависимости от важности самой компьютерной информации, а также от степени нарушения тех или иных информационных, производственных, управленческих процессов. Например, к существенному вреду можно отнести перебои в производственной деятельности, нарушение технологических процессов, остановка работы предприятия или организации, необходимость дорогостоящего ремонта средств вычислительной техники, что в конечном счете приводит как к материальному ущербу, так и упущенной выгоде. Так, в январе 1998 г. главный врач санатория «Лебяжье» В. присвоила информационно-обрабаты-вающий центр установки лазерной терапии стоимостью 59 тыс. рублей. Она, используя компьютер в личных целях, загрузила его новыми программами, при этом медицинские программы из-за нехватки оперативной памяти были уничтожены. В результате действий В. была уничтожена охраняемая законом информация и причинен существенный вред санаторию, выразившийся в утрате информации, требующейся для лечения, и дезорганизована работа установки лазерной терапии. Органами предварительного следствия при Юргинском РОВД Кемеровской области В. была привлечена к уголовной ответственности и ее действия квалифицированы по ч. 1 ст.274 и ч. 3 ст. 160 УК РФ1. Оконченным преступление считается тогда, когда непосредственно причинен существенный вред. Субъектом преступления является вменяемое, достигшее 16-летнего вбзраста лицо, которое имеет доступ к ЭВМ, системе ЭВМ и(или) их сети. Часть 2 анализируемой статьи УК РФ в качестве квалифицирующего признака предусматривает наступление тяжких последствий в результате нарушения правил эксплуатации ЭВМ (о понятии указанного признака см. комментарий к ст. 273 УК РФ). Говоря о субъективной стороне преступления, следует отметить, что оно может быть совершено как умышленно (лицо осознает, что оно нарушает правила аппаратного или программного обеспечения ЭВМ, системы ЭВМ или сети ЭВМ, предвидит, что в результате своих действий могут на- ' Материалы архивного уголовного дела № 960S9X-1998 г. ГУВД Кемеровской области. 807 Глава 49. Расследование преступлений в сфере компьютерной информации ступить уничтожение, блокирование или модификация информации, желает или сознательно допускает наступление указанных последствий), так и по неосторожности (лицо предвидит уничтожение, блокирование, модификацию информации в результате нарушения им правил эксплуатации, но по неоправданной самонадеянности рассчитывает на предотвращение указанных выше последствий, а также хотя и не предвидит наступление этих последствий, но должно было и могло предвидеть). §2. Особенности производства отдельных следственных действий по делам о преступлениях в сфере компьютерной информации 2.1. Обыск к выемка компьютерных объектов. Говоря о специфике производства обыска по делам о преступлениях в сфере компьютерной информации, необходимо в первую очередь остановиться на целях его проведения. Так, целями проведения обыска при расследовании преступлений в сфере компьютерной информации являются обнаружение и изъятие (в случае необходимости и возможности его осуществления) материальных объектов, способных по своим физико-техническим свойствам содержать информацию, имеющую отношение к расследуемому преступлению. К таким объектам могут быть отнесены:
вспомогательные системы, обеспечивающие нормальное функционирование автоматизированных информационных систем (линии электропитания, заземления и т.п.). Существенной особенностью обыска при расследовании преступлений в сфере компьютерной информации является то, что следователь, проводящий данное следственное действие, как правило, не может оценить на месте значение обнаруживаемой информации, т.к., во-первых, он сталкивается с огромными ее объемами и, во-вторых, она представлена в специальном виде и для ее восприятия необходимы определенные специальные познания, а иногда специальные аппаратные и программные средства. В связи с этим, как показала практика, наиболее целесообразным действием следователя при проведении обыска является изъятие всех обнаруженных носителей информации в машинном виде (магнитных дискет, лазерных компакт-дисков, магнитных лент и винчестеров из системных блоков компьютеров). Особое внимание необходимо обратить на способы изъятия винчестеров. В настоящее время в специальной литературе встречается много рекомендаций изымать не весь компьютер целиком, а лишь его жесткие магнитные диски как основное хранилище всей обрабатываемой на компьютере информации. У такой рекомендации, наряду с очевидными положительными сторонами, есть и негативные моменты. Положительной стороной изъятия одного винчестера (вместо всего компьютера или же системного блока), несомненно, являются его малые размеры, что весьма удобно при его транспортировке от места проведения обыска и при хранении у следователя. Однако эти удобства оборачиваются большими проблемами при проведении осмотра отдельного винчестера на рабочем месте следователя. Учитывая невысокую обеспеченность средствами вычислительной техники органов внутренних дел (как правило, устаревшими моделями на основе Pentium I и даже 80486 или 80386 процессоров), весьма непросто найти компьютер, к которому можно было бы легко подключить винчестер большой емкости. В этой ситуации у следователя возникает два пути: либо отправить все изъятое на экспертизу, либо самостоятельно экспериментировать с вариантами подключения винчестеров с помощью штатного специалиста, имеющегося в данном правоохранительном органе. Вариант с отправкой всего изъятого на компьютерно-техническую экспертизу в ряде случаев вообще нереален из-за того, что в ряде регионов таких экспертиз не делают вообще. Более того, поручение проведения экспертизы большого объема информации на магнитных носителях приводит к резкому увеличению сроков ее завершения. Самостоятельное подключение, как правило, приводит к использованию нестандартных режимов включения винчестеров, в результате чего может быть уничтожена часть информации, либо часть информации останется недоступной для просмотра стандартными средствами (например, не будут видны последние логические диски на винчестере или логические диски, использующие другие файловые системы и т.п.). 808 Глава 49. Расследование преступлений в сфере компьютерной информации Ряд следователей, столкнувшихся в своей практике с такими проблемами, изымают уже не отдельные винчестеры, а целые системные блоки, т.к. в этом случае они будут гарантированно защищены от проблем, связанных с взаимодействием материнской платы и винчестера, а также получат весь спектр устройств чтения внешних носителей информации, используемых лицом, у которого проводился обыск (дисководы, устройства чтения магнито-оптических дисков, лазерных компакт-дисков и т.п.). Такой подход, кроме указанных плюсов, также имеет определенные недостатки. Во-первых, остаются проблемы, связанные с необходимостью настройки необходимого для просмотра оборудования — монитора, клавиатуры и даже мыши (особенно в операционных системах, использующих механизм-«Plug and Play»). Во-вторых, наличие «практически целого комплекта» компьютера в руках следователя подталкивает его к просмотру содержимого винчестеров с использованием этого же системного блока (особенно в условиях дефицита вычислительной техники в правоохранительных органах), т.е. под управлением операционной системы, установленной на этом же изъятом и просматриваемом винчестере и с использованием установленного здесь же программного обеспечения. Это, на наш взгляд, недопустимо по целому ряду причин. Во-первых, при запуске операционной системы и другого программного обеспечения с исследуемого винчестера на нем же создаются временные файлы, которые размещаются в местах стертой ранее информации. И если перед проведением обыска кто-либо стер компрометирующую его информацию с использованием стандартных средств (а использование специализированных средств, гарантированно уничтожающих информацию, требует значительно большего времени, которого у обыскиваемых лиц нет), то после простого запуска операционной системы и стандартного набора программ восстановить стертые ранее файлы доступными средствами будет уже невозможно и они будут утеряны для следствия. Во-вторых, большинство операционных систем (например, Windows NT), да и стандартных прикладных программ (например, MS Word или MS Excel) используют парольную защиту от входа постороннего лица, и система может быть настроена так, что при неполучении заданного пароля она самостоятельно уничтожит критическую информацию. Некоторые следователи, сталкиваясь с подобной ситуацией, принимают решение изымать полный комплект вычислительной техники, включая принтеры вплоть до коврика для мыши. Учитывая изложенное, можно сформулировать следующие рекомендации относительно изымаемого в ходе обыска комплекта оборудования:
Теперь рассмотрим основные приемы проведения обыска при расследовании преступлений в сфере компьютерной информации. При этом сразу необходимо отметить, что все основные тактические рекомендации, выработанные криминалистами, являются абсолютно справедливыми для таких «традиционных» объектов обыска, как предметы (не являющиеся носителями или источниками информации в виде, пригодном для автоматизированной обработки), и документы, и мы будем лишь рассматривать рекомендации, обусловленные спецификой преступлений в сфере компьютерной информации. Для участия в производстве обыска следователю целесообразно пригласить соответствующего специалиста. Особенности расследования преступления в сфере компьютерной информации делают участие специалиста в проведении данного следственного действия особенно актуальным. В частности, если в осматриваемом компьютере установлен пароль на доступ в операционную систему или на загрузку и лицо, у которого производится обыск, отказалось его сообщить следователю, то без привлечения специалиста обойти данное препятствие не представляется возможным. В случае, когда изъятие средств вычислительной техники по каким-либо причинам невозможно, а обыскиваемый или лицо, присутствующее при обыске, отказывается добровольно предоставить доступ в автоматизированную информационную систему, может быть использован тактический прием, основанный на реальной угрозе изъятия всех имеющих отношение к предмету обыска. Например, оборудование локальной вычислительной сети фирмы провайдера, предоставляющей услуги доступа в Интернет, представляет достаточно сложную систему, состоящую, как правило, из нескольких десятков модемных пулов, локальной вычислительной сети с десятком компь- 809 |