тактика. Тактика и технология производства невербальных следственных действий
Скачать 433.27 Kb.
|
Том 74 № 9 (178) сентябрь 2021 102 LEX RUSSICA КиберПроСтранСтво CYBERSPACE DOI: 10.17803/1729-5920.2021.178.9.102-118 Е. Р. Россинская*, И. А. Рядовский** Тактика и технология производства невербальных следственных действий по делам о компьютерных преступлениях: теория и практика 1 Аннотация. В статье рассмотрено учение об информационно-компьютерном криминалистическом обеспечении тактики следственных и судебных действий, входящее в систему частной теории информа- ционно-компьютерного обеспечения криминалистической деятельности. Предмет учения составляют закономерности собирания, исследования и использования компьютерной информации при производ- стве следственных и судебных действий, объектами являются тактика и технология следственных и су- дебных действий. На теоретической основе этого учения разработаны тактика и технология невербаль- ных следственных действий по делам о компьютерных преступлениях: осмотра места происшествия, обыска, выемки, следственного эксперимента с учетом выбора тактического воздействия и принятия тактического решения в зависимости от специфики следственных ситуаций в условиях тактического рис- ка, связанного с возможным противодействием расследованию. Тактико-технологическое обеспечение производства вышеназванных невербальных следственных действий разработано с учетом особенно- стей цифровых следов, которые характеризуются высокой скоростью трансформации, легко уничто- жаются и модифицируются, могут быть представлены практически бесконечным количеством копий, отличаются невозможностью восприятия непосредственно органами чувств, а воспринимаются только с использованием специальных устройств и программ по обнаружению, фиксации и обеспечению со- хранности, подтверждаются контрольными числами (хеш-суммами) либо иными данными, свидетель- ствующими об их целостности. Определены основные принципы работы с цифровыми следами при производстве невербальных следственных действий: сохранность в неизменном виде цифровых следов на всех этапах работы с ними; полное отражение в протоколах следственных действий всех манипу- ляций; исключительная важность подготовительных мероприятий, включающих выбор специалиста и определение его компетенции, наличие необходимого оборудования и программного обеспечения для работы с цифровыми следами. Для каждого из вышеназванных следственных действий при расследо- вании компьютерных преступлений разработаны тактические приемы и технологическое обеспечение наиболее результативного получения криминалистически значимой доказательственной и розыскной информации. © Россинская Е. Р.,Рядовский И. А.,2021 * Россинская Елена Рафаиловна, доктор юридических наук, профессор, директор Института судебных экспертиз, заведующий кафедрой судебных экспертиз Московского государственного юридического университета имени О.Е. Кутафина (МГЮА), заслуженный деятельно науки РФ, почетный работник выс- шего профессионального образования РФ Садовая-Кудринская ул., д. 9, г. Москва, Россия, 125993 elena.rossinskaya@gmail.com ** Рядовский Игорь Анатольевич, заместитель руководителя юридического департамента — руководи- тель отдела расследования компьютерных инцидентов АО «Лаборатория Касперского» Ленинградское ш., д. 39a, стр. 2, г. Москва, Россия, 125212 RyadIA@yandex.ru 1 Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16003. Том 74 № 9 (178) сентябрь 2021 103 LEX RUSSICA россинская е. р., рядовский и. а. Тактика и технология производства невербальных следственных действий по делам о компьютерных преступлениях: теория и практика Ключевые слова: компьютерные преступления; компьютерные средства и системы; цифровой след; хеш- сумма; информационно-компьютерное обеспечение криминалистической деятельности; невербальные следственные действия; тактико-технологическое обеспечение осмотра места происшествия, обыска, выемки, следственного эксперимента. Для цитирования: Россинская Е. Р., Рядовский И. А. Тактика и технология производства невербальных следственных действий по делам о компьютерных преступлениях: теория и практика // Lex russica. — 2021. — Т. 74. — № 9. — С. 102–118. — DOI: 10.17803/1729-5920.2021.178.9.102-118. Tactics and Technology of Non-Verbal Investigative Actions Production in Computer Crimes Cases: Theory and Practice 2 Elena R. Rossinskaya, Dr. Sci. (Law), Professor, Director of the Forensic Examination Institute, Head of the Department of Forensic Examination, Kutafin Moscow State Law University (MSAL), Honored Scientist of Russia, Honorary Worker of Higher Professional Education of the Russian Federation ul. Sadovaya-Kudrinskaya, d. 9, Moscow, Russia, 125993 elena.rossinskaya@gmail.com Igor A. Ryadovskiy, Deputy Head of the Legal Department, Head of the Computer Incident Investigation Department, Kaspersky Lab JSC Leningradskoe sh., 39a, p. 2, Moscow, Russia, 125212 RyadIA@yandex.ru Abstract. The paper considers the doctrine of information and computer forensic support of investigative and judicial actions tactics, which is part of the system of the private theory of information and computer support of forensic activity. The subject of the teaching is the laws of gathering, scrutinizing and applying computer information in the production of investigative and judicial actions. The objects are the tactics and technology of investigative and judicial actions. Based on the theoretical aspects of the teaching, the authors have developed the tactics and technology of non-verbal investigative actions in cases of computer crimes. Among these are inspection of the scene of the crime, search, seizure, investigative experiment, given the choice of tactical impact and making a tactical decision depending on the specifics of investigative situations in the conditions of tactical risk associated with possible counteraction to the investigation. The tactical and technological support for the production of the above-mentioned non-verbal investigative actions is developed taking into account the features of digital traces, which are characterized by a high speed of transformation, are easily destroyed and modified, can be represented by an almost infinite number of copies, are characterized by the impossibility of perception directly by the senses, but only with the use of special devices and programs for detection, fixation and preservation, are confirmed by control numbers (hash sums) or other data indicating their integrity. The basic principles of working with digital traces in the production of non-verbal investigative actions are determined. They are the preservation of digital traces unchanged at all stages of working with them; full reflection of all manipulations in the protocols of investigative actions; the exceptional importance of preparatory measures, including the selection of a specialist and the determination of his competence, the availability of the necessary equipment and software for working with digital traces. For each of the above-mentioned investigative actions in the investigation of computer crimes, tactical techniques and technological support for the most effective obtaining of criminally significant evidentiary and investigative information have been developed. Keywords: computer crimes; computer tools and systems; digital footprint; hash sum; information and computer support for forensic activities; non-verbal investigative actions; tactical and technological support for the inspection of the scene of the crime, search, seizure, investigative experiment. Cite as: Rossinskaya ER, Ryadovskiy IA. Taktika i tekhnologiya proizvodstva neverbalnykh sledstvennykh deystviy po delam o kompyuternykh prestupleniyakh: teoriya i praktika [Tactics and Technology of Non-Verbal Investigative Actions Production in Computer Crimes Cases: Theory and Practice]. Lex russica. 2021;74(9):102-118. DOI: 10.17803/1729-5920.2021.178.9.102-118. (In Russ., abstract in Eng.). 2 The reported study was funded by RFBR according to the research project № 18-29-16003. Том 74 № 9 (178) сентябрь 2021 104 LEX RUSSICA КиберПроСтранСтво CYBERSPACE Глобальный процесс цифровизации всех сто- рон жизни человека, общества и государства, взрывное развитие информационно-комму- никационных технологий ожидаемо привели к востребованности новых технологий и пре- ступным сообществом, что породило такой негативный социальный феномен, как кибер- преступность. Ответом явилось инновационное развитие криминалистической науки, отвечаю- щее современным потребностям раскрытия и расследования компьютерных преступлений. Следует подчеркнуть, что дефиниция «компью- терное преступление» давно уже применяется в криминалистическом аспекте и связана не с уголовно-правовой квалификацией деяния, а со способом преступления и, соответственно, с методикой его раскрытия и расследования 3 Поэтому к компьютерным преступлениям (киберпреступлениям) относятся не только преступления, объектом которых выступают общественные отношения в сфере обработки, хранения и передачи компьютерной информа- ции (так называемые киберзависимые преступ- ления), а любые преступные посягательства, совершаемые с применением информационно- коммуникационных технологий (ИКТ) 4 Для теоретического и прикладного обеспе- чения раскрытия и расследования компьютер- ных преступлений нами разрабатывается част- ная теория информационно-компьютерного обеспечения криминалистической деятельно- сти, предметом которой являются закономер- ности возникновения, движения, собирания и исследования компьютерной информации при расследовании преступлений и судебном рассмотрении уголовных дел, а объектами — с одной стороны, сами компьютерные средства и системы как носители розыскной и доказа- тельственной криминалистически значимой информации, с другой — система действий и отношений в механизмах преступлений с ис- пользованием компьютерных средств и систем, а также криминалистических компьютерных технологий собирания, исследования и исполь- зования криминалистически значимой доказа- тельственной и ориентирующей информации. В систему этой теории информационно входит целый ряд учений 5 , одним из которых являет- ся учение об информационно-компьютерном криминалистическом обеспечении тактики следственных и судебных действий. Его пред- метом являются закономерности собирания, исследования и использования компьютерной информации при производстве следственных и судебных действий, в первую очередь по уго- ловным делам, а также судебных действий по гражданским и административным делам. Объ- ектом учения является сама тактика и техноло- гия следственных и судебных действий с учетом следственных и судебных ситуаций, обуслов- ливающих выбор тактического воздействия и принятия тактического решения в условиях так- тического риска 6 В зависимости от формы познания, кото- рая преимущественно используется при их проведении, следственные действия условно подразделяют на вербальные, невербальные и смешанные 7 . Для расследования компью- терных преступлений наиболее характерными невербальными следственными действиями являются осмотр места происшествия, осмотр предметов, обыск, выемка и следственный экс- перимент. Одновременно с развитием информацион- но-коммуникационных технологий возрастает многообразие объектов, предназначенных для поддержания вычислительных процессов: персональные компьютеры, ноутбуки, планше- ты, умные часы, смарт-браслеты, смартфоны, бытовые умные устройства — так называе- мый интернет вещей (IoT), маршрутизаторы, устройства беспроводного доступа, серверы различных типов и видов, в том числе распре- деленные системы, построенные по принципу 3 Россинская Е. Р. Криминалистика : учебник для вузов. М. : Норма, 2016. С. 440–442. 4 McGuire and Dowling. Cybercrime: A review of the evidence. Research Report 75. Chapter 2: Cyber-enabled crimes-fraud and theft // URL: https://assets.publishing.service.gov.uk/government/uploads/system/ uploads/attachment_data/file/248621/horr75-chap2.pdf (дата обращения: 11.07.2021). 5 Россинская Е. Р. Теория информационно-компьютерного обеспечения криминалистической деятель- ности: концепция, система, основные закономерности // Вестник Восточно-Сибирского института МВД России. 2019. № 2 (99). С. 193–202. 6 Россинская Е. Р. Направления инновационного развития криминалистической тактики и методик рас- следования в условиях глобальной цифровизации // II Минские криминалистические чтения : мате- риалы Международной научно-практической конференции (Минск, 10 декабря 2020 г.) : в 2 ч. Минск : Академия МВД Республики Беларусь, 2020. Ч. 1. С. 207–211. Том 74 № 9 (178) сентябрь 2021 105 LEX RUSSICA россинская е. р., рядовский и. а. Тактика и технология производства невербальных следственных действий по делам о компьютерных преступлениях: теория и практика облачных технологий. Все эти устройства пред- назначены для работы с цифровыми данными. Причем в случае с облачными хранилищами компьютерная информация хранится и обраба- тывается уже не в одном месте, а «в нескольких центрах данных в различных географических точках» 8 При этом осмотр и предварительное иссле- дование средств вычислительной техники, обнаруженных на месте происшествия либо в ходе обыска; информации, хранящейся на уда- ленных вычислительных ресурсах, в том числе построенных по принципу облачных техно- логий; цифровых данных, передающихся по компьютерным сетям, значительно расширяют возможности процесса доказывания по уго- ловным делам, поскольку позволяют собирать криминалистически значимую компьютерную информацию о событиях или действиях, отра- женную в материальной среде, в процессе ее возникновения, обработки, хранения и переда- чи и представляющую собой цифровые следы 9 С криминалистической точки зрения можно го- ворить об особом виде доказательств — цифро- вых доказательствах. По мнению зарубежных ученых-криминали- стов, к цифровым доказательствам (англ. digital evidence) относятся данные в любом виде пред- ставления, которые можно извлечь из компью- терных систем для использования в доказы- вании, подтверждения либо опровержения проверяемых фактов и обстоятельств 10 Близкое по сути определение предлагают и российские криминалисты. Так, по мнению В. Б. Вехова, электронные доказательства — это любые сведения (сообщения, данные), представленные в электронной форме, на основе которых суд, прокурор, следователь, дознаватель в определенном процессуальным законодательством порядке устанавливает на- личие или отсутствие обстоятельств, подлежа- щих доказыванию при производстве по делу, а также иных обстоятельств, имеющих значение для правильного рассмотрения и разрешения дела 11 Цифровые следы являются следами мате- риальными, так как, будучи оставленными в результате определенных событий, отража- ются на материальных объектах, хотя в некото- рых случаях период их существования весьма невелик. По происхождению цифровые следы являются технологическими, поскольку форми- рование данных следов обусловлено специфи- кой реализации информационных технологий. Информационная составляющая становится доступной для восприятия только после их интерпретации с помощью прикладного про- граммного обеспечения и с использованием средств вывода 12 . Поэтому в процессе поиска и изъятия цифровых следов следователь прак- тически не использует чувственную форму по- знания. Собирание цифровых следов произво- дится в процессе невербальных следственных действий с применением специальных крими- налистических систем, предназначенных для их поиска и обработки, иного программного обеспечения и средств вычислительной техни- ки, приспособленных для решения этой задачи. С учетом этого при проведении невербальных следственных действий требуется обязатель- ное применение специальных технических средств, что обусловливает многократно воз- растающую роль специалиста и требований, предъявляемых к его компетенции 13 В ходе невербальных следственных дей- ствий грамотно организованная работа по 7 Россинский С. Б. Следственные действия : монография. М. : Норма, 2018. С. 70–71. 8 Introduction to Cybercrime. United Nations Office on Drugs and Crime // URL: https://www.unodc.org/e4j/ en/tertiary/cybercrime.html (дата обращения: 11.07.2021). 9 Россинская Е. Р., Семикаленова А. И. Основы учения о криминалистическом исследовании компью- терных средств и систем как часть теории информационно-компьютерного обеспечения кримина- листической деятельности // Вестник Санкт-Петербургского университета. 2020. Т. 11. Вып. 3 : Право. С. 745–759. 10 Maras M.-H. Cybercriminology. Oxford University Press, 2016. P. 44. 11 Вехов В. Б. Электронные доказательства: проблемы теории и практики // Правопорядок: история, тео- рия, практика. 2016. № 4 (11). С. 46–50. 12 Россинская Е. Р., Рядовский И. А. Концепция цифровых следов в криминалистике // Аубакировские чте- ния : материалы Международной научно-практической конференции (19 февраля 2019 г.). Алматы : Алматинская академия МВД Республики Казахстан, 2019. С. 6–9. 13 Рядовский И. А. Компетенции специалиста по работе с цифровыми следами при производстве след- ственных действий // Законы России. Опыт. Анализ. Практика. 2020. № 9. С. 94–100. Том 74 № 9 (178) сентябрь 2021 106 LEX RUSSICA КиберПроСтранСтво CYBERSPACE поиску, обнаружению и предварительному исследованию цифровых следов, имеющих криминалистическое значение, позволяет не- посредственно на месте получить сведения о способах преступления, обнаружить, зафикси- ровать и изъять методом консервирования на электронном носителе информации эти цифро- вые следы, выявить иные обстоятельства про- исшествия. Это исключительно важно, посколь- ку большинство компьютерных преступлений совершается в условиях неочевидности, когда потерпевший сталкивается с наступившими в результате совершенного деяния негативными последствиями, например с утечкой конфиден- циальной информации либо несанкциониро- ванным списанием денежных средств со своего банковского счета, но ни способ преступления, ни преступник не известны. В этом случае фор- мальный подход к следственному действию может повлечь безвозвратную утрату доказа- тельственной информации, что обусловлено в первую очередь такими свойствами цифровых следов, как высокая скорость модификации в вычислительных системах, а также возмож- ность их уничтожения либо фальсификации с целью сокрытия преступления. Международный опыт по регламентации работы с цифровыми следами преступления подтверждает значимость этой проблемы. Так, в 2012 г. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) опублико- вали международные стандарты, касающиеся обращения с цифровыми доказательствами 14 В 2014 г. для добровольного применения был утвержден национальный стандарт Россий- ской Федерации ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и сред- ства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой фор- ме», идентичный указанному международному стандарту ИСО и МЭК 15 Стандартом предусмотрены четыре этапа обращения со свидетельствами, представлен- ными в цифровой форме: идентификация, сбор, получение, сохранение. Рассмотрим эти этапы подробнее. В ходе этапа идентификации производится выявление средств вычислительной техники, электронных носителей информации и иных устройств, которые могут содержать цифровые следы преступления либо иную криминали- стически значимую информацию. Одновре- менно проводится анализ на предмет опре- деления приоритетов в изучении устройств с учетом степени риска утраты хранящейся на них информации. Например, данные, содер- жащиеся в оперативной памяти работающего компьютера, характеризуются высокой степе- нью волатильности, в то время как состояние данных, хранящихся на внешнем энергонезави- симом электронном носителе информации, не подключенном к компьютеру, стабильно. Но если такой носитель информации подключен к работающей компьютерной системе, невер- ное определение очередности работы с обна- руженными на месте следственного действия объектами может привести к утрате доказа- тельств при отключении электронного носителя информации от компьютера либо вследствие обесточивания компьютера в том случае, если данные на носителе информации были заши- фрованы. На следующем этапе сбора принимается ре- шение об изъятии обнаруженных объектов для последующего осмотра либо проведения экс- пертизы. На такое решение могут влиять раз- личные факторы. Например, как было указано выше, выключение работающего компьютера для изъятия приведет к потере информации, содержащейся в оперативной памяти, либо к утрате доступа к зашифрованным данным на носителях информации. В то же время изъятию средств вычислительной техники могут препят- ствовать иные обстоятельства, такие как недо- пустимость приостановления непрерывного производственного процесса. Собирание цифровых следов — дальней- ший этап работы с данными. Как авторы уже неоднократно отмечали, основной кримина- листический принцип при работе с компью- терной техникой и электронными носителями информации — сохранение в неизменном виде хранящихся на них цифровых следов. При невозможности следования этому правилу, 14 ISO/IEC 27037. Guidelines for identification, collection, acquisition and preservation of digital evidence // URL: https://www.iso.org/ru/standard/44381.html (дата обращения: 11.07.2021). 15 ГОСТ Р ИСО/МЭК 27037-2014. Информационная технология. Методы и средства обеспечения безопас- ности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме // URL: http://docs.cntd.ru/document/1200112857 (дата обращения: 11.07.2021). Том 74 № 9 (178) сентябрь 2021 |