Уголовное преследование по уголовным делам, связанным с использованием компьютерной техники и информационных технологий, сопряжено со значительными трудностями. Некоторые способы проведения таких операций не раскрываются, что затрудняет не только выявление данных, связанных с преступлением, но и их изъятие, конфискацию и последующее расследование. Я также считаю, что следователям, прокурорам и судьям не хватает навыков, возможностей и способностей эффективно и целенаправленно бороться с вышеупомянутыми преступлениями и непредвзято и разумно разрешать дела, связанные с ИТ.
Ключом к победе в обмене информацией и раскрытии преступлений является сотрудничество в области уголовного права и уголовного правосудия эссе272. Уголовное право Российской Федерации начинается с полного обнаружения и исследования компьютерных данных, что нереально без специальных знаний.
Закон не определяет понятие «специальные знания». В юридическом смысле этот термин обычно означает набор теоретических и практических навыков, связанных с определенной наукой, технологией, искусством или ремеслом, приобретенных в результате специальной подготовки или опыта, необходимых для решения вопросов, возникающих в уголовном или гражданском процессе. В области современных информационных технологий определенные компетенции охватывают следующие области специализации: электроника, электротехника, информационные системы и процессы, передовые беспроводные технологии и коммуникации, информационные технологии (включая программирование) и автоматизация.
Конкретные компетенции могут применяться в процедурных и непроцедурных формах, а результаты их использования имеют четкую ценность.
Процессуальной формой применения специальных знаний в области специализированных информационных технологий является участие экспертов в следственных и судебных действиях (ст. 58, 168 и 270 УПК РФ). Используя свои профессиональные знания и навыки, они оказывают содействие в проведении обыска, выемки и изъятия предметов и документов, знакомятся с материалами уголовного дела с помощью технических средств, консультируются с экспертами и представляют дело сторонам и суду в пределах своей профессиональной компетенции. Фактическая информация, установленная экспертом путем непосредственного наблюдения, должна быть зафиксирована в отчете о поиске доказательств или судебных мерах (статья 74).
Если следователь обладает специальными знаниями и соответствующими научно-техническими средствами, он может проводить следственные действия без помощи эксперта. Однако в некоторых случаях эксперт должен принимать непосредственное участие в следственных действиях, предусмотренных законом. Статьи 182 (9.1) и 164 (2) Уголовного кодекса Российской Федерации предусматривают участие экспертов в изъятии электронного оборудования и копировании данных в ходе обыска.
Лица, обладающие опытом в области информационных технологий, могут участвовать в следственных мероприятиях для разъяснения вопросов, связанных с использованием определенных средств информационных технологий в контексте конкретного расследования, а также для определения определенных целей следственных мероприятий и средств, необходимых для их достижения. Эксперты могут помочь следователям в подборе свидетелей. Их также относят к обученным пользователям компьютеров. Желательно также привлекать подготовленных пользователей компьютеров, поскольку только такие свидетели могут правильно идентифицировать операции, выполняемые следователями и экспертами на компьютерном оборудовании.
Основным условием участия эксперта, обладающего соответствующими знаниями и навыками, является отсутствие у него заинтересованности в исходе дела. Если установлено, что эксперт не знаком с информационными технологиями или компьютерным оборудованием, он не может участвовать в качестве эксперта в расследовании компьютерного преступления. Основания для отвода экспертов изложены в Законе о судопроизводстве (статья 71 Закона о судопроизводстве) и Основаниях для отвода экспертов (статья 70 Закона о судопроизводстве). Однако, если эксперт участвовал в качестве эксперта в прошлом, ему не может быть предъявлен отвод. Это означает, что один эксперт может быть вызван более одного раза.
В ходе расследования эксперт может добровольно использовать компьютерные средства для поиска следов мошенничества в самом широком смысле, но это не обязательно входит в общие полномочия расследования и делается под контролем следователя. В ходе расследования эксперт может предоставить следователю или другим членам следственной группы справочную информацию и разъяснения по текущим вопросам, связанным с ИТ, которые относятся к сфере его компетенции.
Как обсуждалось в разделе 2.1, инспекции, обыски и изъятия являются основными средствами выявления и изъятия информационных активов. При расследовании компьютерных преступлений необходимо учитывать стратегический характер этих следственных инструментов. Подробное описание всех средств, имеющихся в распоряжении следователей для выявления этих конкретных предметов в ходе предварительного расследования, могло бы стать темой отдельного документа, но из-за обширного объема данного документа здесь будут упомянуты только характеристики этих средств расследования.
Напомним, что экспертиза - это непосредственное изучение, подтверждение и понимание экспертом материальных объектов, имеющих отношение к расследованию. Обыск - это следственное действие, связанное с принудительным поиском и изъятием предметов, необходимых для надлежащего ведения уголовного процесса. Изъятие - это следственное действие, связанное с изъятием предмета, имеющего значение для правильного разрешения уголовного дела, при условии, что следователю известно местонахождение предмета и что изъятие предмета прямо или косвенно не нарушает права лица.
Экспертиза электронных сообщений (и их данных) и их местонахождения основывается на нескольких положениях.
Прежде всего, Уголовно-процессуальный кодекс РФ предусматривает проведение осмотра места совершения преступления, территории, жилища, иных мест, предметов и документов (ст. 176 УПК РФ). Это включает в себя обыск мест преступления (например, мест нахождения преступных организаций, известных полицейским органам) и обыск предметов и документов (например, электронных носителей и содержащихся на них данных).
В объем проверки электронных носителей информации входит не только деятельность следователей в ходе выездной проверки, но и самостоятельные следственные действия, направленные на поиск, фиксацию и изъятие следов преступления (в основном электронных и цифровых следов), а также составление общих и специальных коллекций электронных носителей информации. Кроме того, следы преступления и другие обнаруживаемые объекты могут быть осмотрены во время обыска места преступления (в ходе расследования) или позже, если обыск требует много времени или его трудно провести на месте преступления (статья 177 Уголовно-процессуального кодекса).
Во-вторых, согласно теории криминалистики, деятельность следователя на подготовительном этапе осмотра места происшествия можно условно разделить на деятельность до прибытия на место преступления и деятельность после прибытия на место преступления. Каждый этап имеет свой каталог.
В-третьих, процедура, предусмотренная частью 5 статьи 165 Уголовно-процессуального кодекса Российской Федерации, позволяет провести осмотр дома без согласия жильца. В исключительных случаях судья и прокурор могут быть уведомлены в течение 24 часов после проведения проверки, даже если суд еще не вынес решения. Следует отметить, что на практике следователи могут «прикоснуться» к государственной тайне или другим охраняемым законом секретам (например, при расследовании СМИ, содержащих коммерческую тайну).
Скорость и качество прибытия следствия напрямую зависят от шагов, предпринятых следователем до визита. Характер этой деятельности будет определяться вопросами, которые предстоит решить следователю на этапе рассмотрения.
Хотя исследование места преступления - это способ получения убедительной информации с помощью электронных средств, цели не являются точными. В этом контексте целями исследования места преступления являются 1) получение основной информации для установления криминалистических версий и проверки существующих версий и 2) получение новых доказательств и проверка существующих доказательств.
Однако постановка задачи, связанной с проверкой места происшествия, уникальна тем, что является средством получения доказательственной информации с электронных носителей. Поскольку задача руководствуется деятельностью следователя, задание должно быть разработано с учетом сферы деятельности следователя. В этой связи мандат можно сформулировать следующим образом.
1) Обнаруживать, находить и изымать электронные и цифровые следы в основном преступлений (например, файлы, содержащие информацию о паролях в случае несанкционированного доступа к компьютерным данным).
2) Запись места преступления, оставляющая цифровой след. Эти экологические данные могут быть использованы для идентификации электронных коммуникаций, используемых правонарушителями, а также обнаруженных и изъятых правоохранительными органами. Это может иметь значение при оценке качества доказательств в электронных данных (например, обнаружение электронных носителей с «пиратским» программным обеспечением, установленным на территории проверяемого лица, может свидетельствовать о том, что электронные носители имеют отношение к уголовному делу, попадающему в категорию цензуры) (это может свидетельствовать о том, что электронные носители имеют отношение к уголовному делу, попадающему в категорию цензуры).
Постановка вышеуказанных задач позволяет достичь цели квалификации. В этом случае необходимо упомянуть только те задачи, которые выполняются в контексте «получения исходной информации, необходимой для производства судебной версии, и пересмотра существующей судебной версии». Для достижения этих целей экспертиза должна быть направлена на конкретное правонарушение и конкретный вариант правонарушения (например, конкретный типичный вариант в случае несанкционированного доступа к компьютерным данным).
При определении мест для осмотра следователи должны сосредоточить внимание на вероятном местонахождении электронных носителей информации. Поэтому интерес представляют также металлические шкафы, узлы локальных сетей (серверы), персональные компьютеры, ноутбуки и другие периферийные устройства.
Сроки проведения осмотра места преступления относятся к этапу расследования, конкретной дате и предполагаемому времени начала и окончания следственных действий. Он должен обеспечить, чтобы уголовные дела, связанные с компьютерными данными, рассматривались на ранней стадии расследования преступления. В противном случае данные, содержащиеся на электронных носителях, могут быть повреждены или уничтожены.
Привлечение экспертов значительно повысит качество экспертизы на месте происшествия. Это связано с тем, что в противном случае следователь не сможет идентифицировать содержание электронного носителя в ходе осмотра.
Согласно действующему законодательству, эксперты могут оказывать содействие следователям при производстве обыска, закреплении и изъятии предметов и документов, использовании технических средств для исследования документов по уголовным делам и допросе экспертов (часть 1 статьи 58 Уголовно-процессуального кодекса Российской Федерации). В то же время эксперты могут участвовать в обсуждении вопросов, связанных с назначением и проведением судебной экспертизы (статьи 57 (1), (3), (4) и 197 (1) Уголовно-процессуального кодекса Российской Федерации).
Осмотр места тестирования электронных носителей информации и фиксация результатов - заключительный осмотр подготовительного осмотра направляет работу данного следственного действия и его переход в завершающую стадию.
В этом случае деятельность следователя делится на несколько уровней: во-первых, производится обыск в помещении, где находится компьютерная техника, и фиксируется местонахождение данного объекта, что необходимо для связи объекта, содержащего данные электронного носителя, с преступлением; во-вторых, производится обыск на рабочем месте, где находится компьютер, и фиксируется местонахождение объекта, содержащего данные электронного носителя. Второй шаг - обыск рабочего места, где находится компьютер, привязка предмета к преступлению и запись обстановки, в которой было найдено электронное устройство. В-третьих, электронные носители должны быть изучены на предмет наличия доказательств.
Обследование объекта, где находится вычислительное оборудование Следователь должен получить обзор объекта, определить границы помещения, количество и расположение рабочих станций (включая то, подключены ли они к локальной или глобальной сети и тип сетевых коммуникаций), расположение вычислительного оборудования, а также необходимо определить местонахождение электронных носителей информации. Основная цель этого уровня валидации - документировать элементы, которые могут быть вовлечены в «электронное взаимодействие». В качестве примера можно привести расположение розеток питания и наличие или отсутствие кабелей, соединяющих ПК с локальной сетью.
Стратегический подход, используемый для статических и динамических проверок, не является специфическим для каждого сценария, а только для узлов (отдельных ПК), при этом статические проверки выполняются в первую очередь, а динамические - во вторую.
Последующие проверки ПК выполняются в сети; при проверке проводных подключений к локальной сети убедитесь в их универсальной идентичности и отсутствии нестандартных подключений устройств.
Во время осмотра рекомендуем обратить внимание на следующие моменты
1. расположение проверяемой зоны в здании
2. наличие и состояние системы сигнализации
3. данные о микроклимате (температура, влажность), связанные с работой компьютера во время аудита
Соображения по поводу рабочего места, на котором используется компьютер При рассмотрении вышеуказанного рабочего места необходимо принять во внимание следующие моменты.
1. персональный компьютер, не подключенный к локальной вычислительной сети (ЛВС) организации или Интернету
2. компьютер, подключенный к локальной вычислительной сети (ЛВС) организации или Интернету
3. хост-компьютер для сервера локальной сети).
4. коммуникационные линии сети
5. соединительные кабели
6. периферийные устройства (принтеры, модемы, сканеры и т.д.)
При проверке компьютера, независимо от того, подключен ли он к локальной сети или Интернету, следует помнить о следующих моментах
1. расположение и соответствие компьютера и его периферийных устройств (принтер, монитор, клавиатура, дисковод и т.д.)
2. подключены ли вышеуказанные устройства друг к другу и каким образом.
3. подключен ли компьютер к локальной сети или Интернету и каким образом.
4. переключатели на компьютерном блоке и устройствах, а также индикаторы на блоке
5. таблица информационного содержания, отображаемого на экране компьютера, и оптические сигналы различных индикаторов.
6. состояние кабельных соединений (последовательность, любые признаки подключения нестандартных устройств)
7. наличие и разборчивость всех маркировок, специальных символов, штампов и наклеек на компьютерной технике и оборудовании
8. наличие и проверка механических повреждений компьютерного оборудования 9;
9. наличие и проверка нестандартного и разнородного оборудования на компьютере; 10.
10. наличие и актуальность признаков повреждения охранного оборудования и признаков, влияющих на компьютерное оборудование
11. наличие и расположение электронных носителей информации
В случае работоспособных компьютеров следует также обратить внимание на наличие программ, запущенных на момент проверки (свертки).
Документирование результатов инспекции на месте означает запись каждой информации, обнаруженной на месте, в формате, предусмотренном законом. В нем описываются действия, предпринятые в ходе инспекции, и фиксируется общее состояние объекта, а также сопоставление, данные и характеристики отдельных частей объекта.
Основным способом установления результатов и выводов проверки показаний на месте является фиксация выявленных в ходе следственного действия обстоятельств в протоколе, составленном в соответствии с требованиями статей 166, 167 и 180 УПК РФ. Отчет должен быть подписан следователем и лицами, участвовавшими в осмотре места преступления.
При обыске на месте преступления должны быть изъяты предметы, имеющие отношение к делу (в том числе электронные носители, электронные носители информации и информация на электронных носителях). Компьютерное оборудование должно быть изъято раз и навсегда (если транспортировка не представляется возможной, изъятое оборудование должно быть помещено в специальное охраняемое помещение). Некоторые изъятые аппаратные средства и электронные носители информации не должны передаваться организации по причине «служебной необходимости». Это связано с тем, что файлы и программное обеспечение могут быть изменены в процессе, а существующие компьютерные данные могут быть повреждены или потеряны.
Как отмечалось выше, важно отметить, что стратегия расследования на месте дает следователям особенно эффективные инструменты для осмотра помещений с компьютерным оборудованием и рабочих мест с персональными компьютерами. Изъятие предметов в помещении, а также удостоверение фактов, процессов, перечней содержания и результатов обыска должны проводиться по определенным правилам.
Подробное обсуждение общих вопросов, связанных с подготовкой обысков и выемок, выходит за рамки данной статьи. Мы ограничимся освещением нескольких ключевых дел и вскользь коснемся оглавления этапа предварительного обыска и предварительного изъятия (и возможного расследования) изъятия электронных носителей информации. Значительное внимание уделяется стратегиям поиска. Это связано с тем, что основная часть процедуры обыска включает в себя выемку (ст. 183 Уголовно-процессуального кодекса РФ). Кроме того, на практике он особенно часто используется для обысков: по результатам осмысления уголовных дел Б.Я. Гавриловым, В.Ф. Васюковым, Л.Д.А. Кузнецовым, обыски проводятся в 85,7% случаев. С другой стороны, 42,9% уголовных дел были изъяты.
Намерение является основой всех мер, включая обыск при подготовке к обнаружению электронных носителей информации (которые могут быть найдены). Целью обыска является получение новых доказательств, связанных с состоянием уголовного дела, а также ознакомление с имеющимися доказательствами и криминалистическими зацепками.
Эта цель может быть достигнута путем решения конкретной задачи. В задачи, решаемые в ходе обыска, входят поиск, выявление и изъятие предметов, изделий, документов и ценностей, имеющих отношение к уголовному делу, а также выявление разыскиваемых лиц и трупов (статья 182 Уголовно-процессуального кодекса).
Согласно исследованию, во время обысков часто изымаются следующие виды электронного оборудования
1. блоки персональных компьютерных систем, включая тяжелые диски (50% уголовных дел); 2.
2. оптические диски (41,7% уголовных дел)
3. персональные компьютеры, включая ноутбуки (33,3 процента правонарушений); и
Другие средства массовой информации (16,7% правонарушений).
Эта категория преступлений с использованием электронных средств массовой информации включает в себя генерируемые компьютером информационные потоки, которые могут быть легко нарушены или изменены лицами, обладающими компьютерными знаниями, навыками или опытом. Поэтому существует острая необходимость в поиске электронных носителей (которые можно найти).
В то же время в исключительных случаях могут быть получены основания для производства обыска, не являющиеся основанием для отложения (ч. 5 ст. 165 Уголовного кодекса Российской Федерации).
1. основания, возникающие в контексте других следственных действий. Например, г-н Д использовал свой доступ к локальной сети организации для создания «скрипта» вредоносной программы, используя свои данные и навыки компьютерного программирования, чтобы намеренно вызвать несанкционированное удаление данных и нанести ущерб компьютерным системам (г. Кемерово). Затем, после установления соединения с Интернетом, с учетом времени и объема данных (сетевого трафика), полученных пользователями Интернета (в результате - данные были повреждены, а компьютер вышел из строя), использовался удаленный доступ и программы для внесения изменений в программный код организации. Следователь допросил администратора организации потерпевшего, который был свидетелем, и пояснил, что после изучения следов несанкционированного доступа он обнаружил имя пользователя «Replay_5» и номер телефона. Этот номер использовался для доступа к модему, который подключал преступника к сети организации. Это был D.D., который ранее работал в организации и использовал то же имя пользователя. Кроме того, номер телефона принадлежал Д. Учитывая глубокие познания Д в области распространения компьютерных данных и возможность немедленного уничтожения следов преступления в электронно-цифровой форме, следователь мог принять решение о выполнении процедур, предусмотренных частью I.5 RF 165 в УПК РФ.
Ранее мы уже обсуждали круг сторон, участвующих в экспертизе электронных данных, и место их обнаружения. Поэтому в отношении обысков стоит напомнить, что желательно или необходимо (в зависимости от ситуации) привлекать экспертов, сотрудников органов внутренних расследований, свидетелей, лиц, проводящих обыск на своей территории, и представителей организаций, проводящих обыск на своей территории.
Обыск может включать следующие элементы: расследование, инструктаж лиц, участвующих в обыске, подготовка специального оборудования и упаковочных материалов, подготовка документов и т.д.
На эффективность обыска также влияет информация, которой располагает следователь об обыскиваемом лице. В этом случае следователя может интересовать такая информация, как наличие у разыскиваемого лица знаний, навыков и опыта в области информационных технологий и продолжительность его работы в этой сфере.
Одним из факторов, который может оказать существенное влияние на качество расследования по целевой категории уголовных дел, является прозрачность дела. В криминалистической литературе, как правило, вторжение в объект исследования должно быть внезапным. Для рассматриваемого преступления, т.е. статьи 270 УК РФ, это требование очень важно, поскольку в статье 270 УК РФ говорится об электронных носителях и информации в электронной форме. Эти предметы могут быть выведены из строя одним нажатием клавиши на компьютере. Специальные устройства и программное обеспечение также могут быть использованы для повреждения или уничтожения объекта.
Оперативные фазы поиска можно разделить на обзорную и детальную. Следователь должен выполнить следующие действия в рамках обзорной фазы поиска
1. определить и отключить конкретные средства безопасности и компьютерное оборудование для предотвращения несанкционированного доступа
2. определить, существует ли связь между компьютерным устройством и каналом связи
3. с помощью специалиста определить, включено ли компьютерное оборудование, и задокументировать характер выполняемой операции и программное обеспечение, используемое для ее выполнения
Работа, выполняемая исследователем на этапе детального поиска, зависит от типа поиска. В зависимости от количества объектов, подлежащих поиску, поиск может быть последовательным (поисковая группа переходит от одного объекта к другому и обыскивает все объекты в зоне поиска) или выборочным (поиск ведется по наиболее вероятному местонахождению искомого объекта). Давайте рассмотрим пример последовательного и избирательного поиска искомого объекта.
Следствие 1: В 2002 году в Воронеже К. и О., с целью получения несанкционированного доступа к компьютерным данным организации, оказывающей услуги мобильной связи, в заранее подготовленные мобильные телефоны по заранее оговоренной схеме через Интернет загрузили специальное программное обеспечение для изготовления дубликатов шаблонов. Метод изготовления заключается в следующем Метод изготовления заключается в замене электронного серийного номера (ESN) и идентификационного номера мобильного телефона (MIN), запрограммированных в памяти изготовленного мобильного телефона, на ESN и MIN мобильного телефона, должным образом подключенного к сети организации. В ходе операции (проверочная закупка) были зафиксированы преступные действия К и О и возбуждено уголовное дело по статье 272 Уголовного кодекса Российской Федерации. Был проведен обыск по месту жительства г-на О. Многократный поиск считался оправданным из-за небольшого размера портативных коммуникационных устройств и CD-ROM, содержащих специальное программное обеспечение, а также возможности использования самодельного оборудования.
2. выборочно; в 2006 году Z, руководитель ООО ПКФ «Гамма», умышленно предоставил ложную информацию в своих налоговых декларациях, чтобы умышленно избежать уплаты НДС. В ходе расследования следователь получил информацию о том, что Б оказывал бухгалтерскую поддержку организации и что Б использовал свой личный ноутбук для бухгалтерских целей. Следователь решил провести обыск в доме г-на Б., чтобы обнаружить ноутбук. В данных обстоятельствах выборочный обыск был разумным, учитывая характеристики обыскиваемых предметов.
По уголовным делам, связанным с электронными сообщениями, фиксация фактов, хода, содержания и результатов обыска и выемки производится по общим правилам, установленным Уголовно-процессуальным кодексом.
В любом случае протокол составляется в соответствии с требованиями статьи 166 Уголовно-процессуального кодекса Российской Федерации. Документ содержит информацию об объектах, обнаруженных в ходе обыска и выемки, таких как электронное оборудование, данные в электронной форме и т.д., и может быть использован для разработки теорий о существовании и местонахождении такого оборудования и данных.
В отличие от отчета об обыске, отчет об обыске не обязательно должен содержать подробную информацию об изъятых предметах. Это связано с тем, что данная информация может быть дополнена при последующем изучении предметов или документов. В противном случае все найденные или изъятые предметы будут регистрироваться в соответствии с действующими правилами обыска.
Завершая данный параграф, следует отметить, что обыски и выемки электронных носителей информации по различным видам рассмотренных уголовных дел проводятся в соответствии с положениями УПК РФ и Общих криминалистических рекомендаций, хотя стратегия следователя может меняться в зависимости от вида расследования и других факторов.