7.1 Осмотр места происшествия
Все следственные действия по делам о преступлениях в сфере компьютерной информации проводятся в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом следующих основных особенностей:
- следственное действие должно быть заблаговременно подготовлено и детально спланировано; в каждом следственном действии должны принимать участие специалисты, четко представляющие свои задачи, права и обязанности;
- понятые должны обладать минимально необходимыми специальными познаниями в области обработки компьютерной информации (на уровне бытовых пользователей персонального компьютера), следователь и специалисты – познаниями в части полной сохранности (неизменяемости) компьютерной информации, содержащейся на осматриваемом (изымаемом) средстве электронно-вычислительной техники; для осмотра, обыска и выемки компьютерной информации и ее носителей заранее должны быть подготовлены необходимые СВТ и материалы.
При осмотре места происшествия в состав следственно-оперативной группы в зависимости от конкретной следственной ситуации, помимо следователя, должны входить:
- специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории;
- специалист по СВТ;
- сотрудник ФСТЭК, Центра защиты информации [при наличии на месте происшествия конфиденциальной компьютерной информации, машинных носителей с ней, специальных средств защиты от НСД и(или) технических средств негласного получения (уничтожения, блокирования) компьютерной информации];
- специалист по сетевым технологиям (в случае наличия периферийного оборудования удаленного доступа или локальной компьютерной сети);
- специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи);
- оперативные сотрудники (отдела «К» или ОБЭП);
- участковый оперуполномоченный, обслуживающий данную территорию;
- инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом);
- специалист для проведения цветной фото- или видеосъемки следственного действия.
При необходимости в состав СОГ могут быть включены незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (инженеры-электрики, бухгалтеры со знанием СВТ, специалисты спутниковых систем связи, операторы компьютерных систем и сетей электросвязи, др.).
7.2 Особенности тактики производства обыска при расследовании
преступлений в сфере предоставления услуг сети Интернет
Известно, что обыск как самостоятельное процессуальное действие имеет свое определенное место и играет специфическую роль в сфере правоприменительной деятельности полномочных органов в рамках уголовного судопроизводства. Решаемые с его помощью задачи во многом обусловлены той или иной следственной ситуацией, складывающейся в ходе предварительного расследования. Своевременное и грамотное проведение обыска способствует достижению целей отправления правосудия. Результаты данного следственного действия могут быть положены, как в основу обвинительного приговора, так и послужить основанием для исключения факта необоснованного привлечения лица к уголовной ответственности.
По делам о преступлениях в сфере предоставления услуг «Интернет» рассматриваемое следственное действие, как правило, носит неотложный характер. Основанием для его производства является наличие достаточных данных полагать, что в каком-либо месте или у какого-либо лица могут находиться орудия преступления, предметы, документы и ценности, которые могут иметь значение для уголовного дела (ст. 182 УПК РФ).
Цели обыска: обнаружение, фиксация и изъятие перечисленных выше объектов, а также выявление и задержание разыскиваемых и подозреваемых лиц.
В криминалистике в зависимости от объекта выделяют различные виды обыска. По делам о преступлениях в сфере предоставления услуг сети Интернет типичными являются обыск в помещении (жилище) и личный обыск подозреваемого (обвиняемого), который там находится. Эти следственные действия имеют определенную специфику, которая обусловлена как предметом, так и орудием преступного посягательства – компьютерной информацией. Характерные особенности последней накладывают отпечаток на все стадии проведения указанного следственного действия. Рассмотрим их подробнее.
Представляется, что подготовительный этап обыска играет главенствующую роль во всем процессе реализации замысла следственного действия. Тщательная и глубокая проработка всех нюансов сложившейся накануне обыска следственной ситуации во многом определяет его результативность. Практика показывает, что многое зависит от тесного взаимодействия следователя со специализированным органом дознания – Отделом «К» при Управлении специальных технических мероприятий (УСТМ) МВД (УВД) республики, края (области). С его помощью обеспечивается должная оперативная осведомленность следователя об обстоятельствах, связанных с проведением обыска, которая помогает избежать ряда тактических ошибок, а также грамотно решить вопрос о привлечении к его проведению высококвалифицированных специалистов в области компьютерной техники и понятых, имеющих определенные знания в этой сфере.
В работе Илюшина Д.А.[91] перечислены мероприятия, которые необходимо осуществить следователем на подготовительном этапе обыска:
1. Определить месторасположение и планировку помещения, которое должно быть подвергнуто обыску. Выяснить характер охраны объекта. Определить пути возможного отхода подозреваемого (обвиняемого).
2. С помощью специалиста в области телекоммуникаций определить расположение в данном помещении узлов связи, локализацию разводки коммуникационных сетей. Рассмотреть возможность наличия на объекте средств радиосвязи, используемых подозреваемым (обвиняемым). Установить их идентификационные характеристики: абонентский номер, позывной, рабочую частоту, логин и пароль доступа для работы в сети Интернет.
3. Выяснить, какие средства электронно-вычислительной техники (далее по тексту «СВТ») находятся в помещении, в котором предполагается провести обыск (по возможности установить их технические характеристики). Данные сведения могут быть получены у провайдера сети Интернет или оператора электросвязи. При этом во многих случаях требуется консультация с соответствующим специалистом. В дальнейшем полученная информация будет использована для определения границ места, подлежащего обыску, и внесет определенность относительно искомых предметов (документов).
4. Установить, какие средства защиты информации и СВТ от несанкционированного доступа находятся по месту, где предполагается провести обыск; выяснить источники их питания и рассмотреть возможность их обесточивания до момента начала обыска. Это позволит исключить факты преднамеренного уничтожения искомых документов или предметов.
5. Установить тип источников электропитания СВТ и расположение пунктов их обесточивания для предотвращения возможных попыток уничтожения искомой компьютерной информации, содержащейся в оперативной памяти компьютерных устройств.
6. Пригласить специалистов, обладающих достаточными знаниями, умениями и навыками для оказания действенной помощи следователю при подготовке и в ходе производства обыска. Для этих целей наиболее подходят универсальные специалисты в области цифровых средств электросвязи и компьютерной техники.
7. Подготовить соответствующие СВТ, специальную аппаратуру и материалы для поиска, осмотра, фиксации и изъятия искомой компьютерной информации, документов и предметов.
8. Определить дату, время и место проведения обыска, его продолжительность, а также меры, направленные на обеспечение его скоротечности и конфиденциальности. Наиболее благоприятной ситуацией является момент отсутствия подозреваемого (обвиняемого) на месте обыска. Это обстоятельство позволяет исключить активное противодействие с его стороны и предоставляет возможность следователю быстро обнаружить и грамотно изъять искомые объекты. При этом следует отметить, что присутствие на месте обыска сослуживцев или близких родственников подозреваемого (обвиняемого), как правило, формирует у них определенное негативное отношение к совершенному преступному деянию. Данное обстоятельство может быть использовано для определения тактики проведения последующих следственных действий, например, допросов свидетелей.
9. Провести инструктаж лиц, привлекаемых к участию в обыске, с постановкой конкретных персональных задач.
10. Изучить личность подозреваемого (обвиняемого). Особое внимание следует обратить на уровень его профессиональных умений и навыков в области компьютерных технологий.
11. Пригласить понятых, обладающих определенными знаниями в сфере компьютерной информации и телекоммуникаций.
По прибытии на место проведения обыска специфика действий следователя будет состоять в следующем:
1. Определить места возможного отхода подозреваемого (обвиняемого) или выноса предметов и документов, имеющих значение для уголовного дела (запасный выход, окна и другие). Принять меры к установлению наблюдения за ними.
2. Быстро и внезапно войти в обыскиваемое помещение (жилище). Если их несколько – одновременно войти во все. На наш взгляд, нельзя согласиться с доводами отдельных авторов, полагающих, что «в некоторых случаях, когда это возможно или целесообразно, непосредственно перед входом в обыскиваемое помещение следует обесточить его».[92] Представляется, что при внезапном отключении электропитания в помещении (жилище) и наличии предположений у преступника о намерении сотрудников правоохранительных органов провести обыск, последним могут быть предприняты меры по уничтожению следов преступного посягательства. Таким образом, теряется не только фактор внезапности, но и ценные вещественные доказательства.
3. В случае оказания активного сопротивления со стороны лиц, находящихся на объекте обыска, принять меры по нейтрализации противодействия и скорейшему проникновению в обыскиваемое помещение (жилище).
4. Организовать охрану места обыска и наблюдение за ним. Охране подлежат: периметр обыскиваемых площадей; СВТ; хранилища машинных носителей информации (МНИ); все пункты (пульты) связи, охраны и электропитания, находящиеся на объекте обыска (в здании, помещении, на производственной площади); специальные средства защиты от несанкционированного доступа; хранилища ключей (кодов, паролей) аварийного и регламентного доступа к СВТ, помещениям и другим объектам (пультам, пунктам, стендам, сейфам и т. п.), попавшим в зону обыска.
По поводу дальнейших действий следователя на месте обыска в современной криминалистической литературе дискутируются различные точки зрения.[93] Мы, в свою очередь, полагаем, что после реализации вышеуказанных мероприятий следователь должен перейти к обзорной стадии обыска и выполнить следующие действия:
1. Определить местонахождение подозреваемого (обвиняемого) на объекте обыска (если обыск осуществляется в его присутствии). При обнаружении – принять меры к отстранению его от пультов управления техническими устройствами, дистанцировать от них и организовать охрану.
2. Определить и отключить специальные средства защиты информации и СВТ от несанкционированного доступа, особенно те, которые автоматически уничтожают компьютерную информацию и МНИ при нарушении процедуры доступа к ним, порядка их использования и (или) установленных правил работы с ними; принять меры к установлению пароля (кода) санкционированного доступа и ключа шифрования-дешифрования информации.
3. Установить наличие телекоммуникационной связи между СВТ, СВТ и каналами электросвязи. При наличии компьютерной сети любого уровня технической организации в первую очередь должна быть осмотрена и подвергнута обыску управляющая ЭВМ – сервер, который хранит в своей оперативной и постоянной памяти наибольшую часть компьютерной информации, управляет другими СВТ, имеет с ними прямую и обратную связь. В этом случае следует учитывать то обстоятельство, что у сообщников подозреваемого (обвиняемого) или у него самого (если обыск производится в его отсутствие) имеется реальная возможность уничтожения искомой компьютерной информации дистанционно с помощью СВТ, находящихся вне периметра обыскиваемой зоны (в другом помещении, здании, населенном пункте и т. д.). Применительно к этому положению вызывает недоумение утверждение некоторых авторов о том, что «… подключением компьютера к телефонной или телетайпной линиям невозможно уничтожить или изменить информацию на нем. Эта информация может быть лишь пополнена или куда-либо передана»[94].
Для предупреждения вышеуказанных негативных последствий необходимо в зависимости от ситуации и рекомендаций специалиста временно или на длительный срок, частично или полностью отключить СВТ или локальную вычислительную сеть от технических устройств, находящихся за периметром обыскиваемой зоны. Отключение может быть произведено как на программном, так и аппаратном уровне. Если СВТ работает в режиме «электронной почты», то предпочтительнее оставить его до конца обыска в работающем состоянии в режиме «приема почты», исключив возможность какой-либо обработки и обратной передачи информации. Эту работу может сделать только квалифицированный специалист. Все выполняемые им действия должны быть зафиксированы с помощью видеозаписи и отражены в протоколе рассматриваемого следственного действия.
4. Определить СВТ, находящиеся во включенном состоянии, характер выполняемых ими операций и название программ. Особое внимание необходимо уделить печатающим и видеоотображающим устройствам (принтерам и мониторам). Распечатки информации (листинги) при необходимости должны быть изъяты и приобщены к протоколу следственного действия; изображение на экране монитора – видеограмма[95] изучено и детально описано в протоколе (можно также зафиксировать его на видеопленку либо сделать распечатку на бумаге с использованием специальных сканирующих программ).
Если специалист установит, что на момент обыска на каком-либо СВТ происходит уничтожение информации либо ее машинного носителя, необходимо срочно всеми возможными способами приостановить этот процесс и начать обследование с данного места или СВТ.
5. При обследовании персонального компьютера необходимо:
а) установить последнюю исполненную программу и (или) операцию, а при возможности – все, начиная с момента включения компьютера;
б) произвести экспресс-анализ компьютерной информации, содержащейся на жестком диске и в оперативной памяти с целью получения данных, имеющих значение для следствия (их скорейшее получение позволит скорректировать тактику обыска и порядок производства последующих следственных действий).
6. В случае совершения преступления выделенной категории с помощью портативного или малогабаритного (мобильного) СВТ, например, коммуникатора или сотового радиотелефона, организовать производство личного обыска подозреваемого (обвиняемого) или лиц, находящихся в обыскиваемом помещении. Это возможно лишь в тех случаях, когда у следователя имеются достаточные основания полагать, что лицо скрывает при себе предметы либо документы, которые могут иметь значение для уголовного дела (ч. 2 ст. 184 УПК РФ). Личный обыск такого лица производится по правилам, изложенным в ч. 3 ст. 184 УПК РФ.
Детальный этап обыска является очень трудоемким и требует слаженной работы всех участников следственного действия. Необходимо четко организовать поисковые мероприятия, направленные на выявление тайников, в которых могут находиться предметы и документы. Ими могут быть и сами компьютерные устройства – аппаратные и программные модули, входящие в состав ЭВМ, системы ЭВМ или их сети.
Следует также уделить внимание действиям, направленным на обнаружения записей, которые содержат сведения о чужих логинах и паролях доступа в компьютерную сеть «Интернет». Например, в 2002 году при производстве обыска у подозреваемого Б. сотрудниками Отдела «К» при УСТМ ГУВД Самарской области были изъяты листы бумаги, содержащие 19 конфиденциальных реквизитов пользователей сети Интернет (логинов и паролей), напротив каждого из которых стояли даты и время. В ходе дальнейшего расследования уголовного дела, возбужденного по ст. 165 ч. 1 и ст. 272 ч. 1 УК РФ, было установлено, что записи выполнены собственноручно Б. и полностью соответствуют реквизитам протокола провайдера, отражающим все сеансы работы пользователей в сети Интернет. Эти вещественные доказательства в совокупности с другими доказательствами, даже с учетом активного противодействия следствию со стороны Б., позволили привлечь его к уголовной ответственности за совершение 38 преступлений.
На заключительном этапе обыска составляются: протокол следственного действия и описи к нему; вычерчиваются планы обыскиваемых помещений, схемы расположения СВТ относительно друг друга, инженерно-технических коммуникаций, а также схема соединения СВТ между собой и с другими техническими устройствами; проводится дополнительная фотосъемка или видеозапись.
... работы включает в себя введение, 2 главы и заключение. Отдельные главы работы посвящены исследованию компьютерной информации, как предмету уголовно-правовой защиты, подробному уголовно-правовому и криминологическому анализу преступлений в сфере компьютерной информации, а также международному и отечественному опыту борьбы с компьютерными преступлениями. 1. Уголовно-правовая характеристика ...
... определенной деятельностью, получило определенное образование. Главное, чтобы оно имело доступ к ЭВМ. ГЛАВА 3. ОСОБЕННОСТИ КВАЛИФИКАЦИИ ПРЕСТУПЛЕНИЙ СОВЕРШАЕМЫХ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ 3.1 Квалификация преступлений в сфере компьютерной информации, совершенных группой лиц по предварительному сговору и организованной группой Одним из квалифицирующих признаков состава преступления, ...
... или кому причинен вред: информации, бизнесу, репутации фирмы или гражданина. Очевидно, ответы на эти вопросы даст лишь судебная практика. 3. Виды преступлений в сфере компьютерной информации. 3.1 НЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ. Данная норма является базовой из указанных статей в гл.28 УК. Такое решение законодателя является вполне оправданным, поскольку на отечественном рынке ...
... доступ, то собственник сервера не идет в милицию, а нанимает хакера и «залатывает брешь» в защите. ГЛАВА 2. УГОЛОВНО-ПРАВОВАЯ ХАРАКТЕРИСТИКА ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ 2.1. Неправомерный доступ к компьютерной информации В статье 272 Уголовного кодекса РФ предусмотрена ответственность за неправомерный доступ к компьютерной информации, охраняемой законом, т.е. информации на ...
0 комментариев