Особенности производства обыска при расследовании компьютерных преступлений (М.М. Менжега, "Журнал российского права", N 12, декабрь 2003 г.)

Особенности производства обыска
при расследовании компьютерных преступлений

В последние годы в нашей стране довольно широкое распространение получили компьютерные преступления, число которых продолжает увеличиваться пропорционально росту числа пользователей ЭВМ. С каждым днем они представляют все большую опасность для общества.

Статья 273 УК РФ предусматривает ответственность за создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ, или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами. Состав, предусмотренный частью первой этой статьи - формальный. Кроме создания, деяние может выразиться в использовании либо распространении вредоносной программы. Распространение вируса может производиться либо содержащими его машинными носителями (дискеты, компакт-диски) путем возмездной или безвозмездной их передачи другим лицам, либо способами, не связанными с оборотом носителей. Во втором случае распространение происходит посредством сетей ЭВМ: злоумышленник либо рассылает вредоносные программы, либо предоставляет доступ к вредоносным программам неопределенному кругу лиц, активирует программу и создает условия для ее самораспространения.

При расследовании компьютерного преступления, связанного с созданием, использованием и распространением вредоносных программ, наиболее целесообразной представляется следующая последовательность решения основных задач:

1) установление факта и способа создания вредоносной программы для ЭВМ;

2) установление факта и времени использования и распространения вредоносной программы;

3) установление виновных лиц, создавших, использовавших и распространявших вредоносные программы для ЭВМ;

4) установление характера и размера вреда, причиненного данным преступлением;

5) установление обстоятельств, способствовавших совершению расследуемого преступления.

Работникам правоохранительных органов необходимо учитывать ряд особенностей при производстве обыска применительно к преступлению, предусмотренному ст.273 УК РФ. Обыск производится обычно, когда имеется информация о лицах, причастных к преступлению, местах непосредственного использования компьютерного оборудования с целью создания, использования или распространения вредоносных программ для ЭВМ и местах хранения добытой при помощи вредоносных программ информации. Обыск производится, как правило, в местах нахождения компьютерного оборудования. Возможно проведение личного досмотра подозреваемого, в результате которого могут быть изъяты машинные носители с искомой информацией. Традиционно обыск разделяют на четыре стадии: подготовительная, обзорная, детальная и стадия фиксации.

На подготовительной стадии следователь должен решить ряд вопросов организационного характера. Необходимо получить максимум информации об условиях и обстановке места, где предстоит произвести обыск. Для получения указанных данных может быть использована как доказательственная, так и непроцессуальная информация*(1). В процессе планирования обыска следователь собирает необходимую информацию и решает конкретные задачи:

1. Сбор сведений об искомых объектах. Подробно выясняются вид и содержание информации, которая предположительно могла попасть к обыскиваемому преступным путем; характер вредоносных программ, вирусов; программные средства, которые в состоянии определить их наличие, и проч. Выясняется, на каком типе носителей машинной информации могут содержаться искомые данные.

2. Ознакомление с местом предстоящего обыска. Необходимо выяснить сведения о помещении (служебное или жилище). Устанавливается точный адрес, расположение и планировка, пути подхода, наличие службы охраны. Выясняется количество и тип компьютерной техники, наличие локальной сети и ее устройство, количество компьютеров, объединенных в сеть, возможность выхода в Интернет, удаленного доступа, средств защиты информации от несанкционированного доступа (программных и технических), наименование операционной системы. Указанные данные можно получить из документации по строению, у провайдера, путем оперативно-розыскных мероприятий.

3. Определение времени проведения обыска. Время выбирается с учетом особенностей каждой конкретной ситуации. Как справедливо отмечает А.Н. Иванов, поспешность или медлительность могут оказать негативное влияние на процесс расследования*(2). При решении этого вопроса необходимо попытаться обеспечить прежде всего внезапность проведения обыска.

4. Подготовка материально-технического обеспечения. Готовится переносной компьютер, при помощи которого можно будет осмотреть исследуемую информацию, носители машинной информации. Решается вопрос с транспортом и материалами для транспортировки при изъятии оборудования и машинных носителей.

5. Обеспечение необходимых участников обыска. Подбирается соответствующий специалист. В зависимости от обстановки возможно участие двух и более специалистов. По возможности подбираются понятые, обладающие некоторыми познаниями в области компьютерной техники. В случае, когда возможно воспрепятствование проходу следственно-оперативной группе к месту обыска, необходимо решить вопрос о привлечении дополнительных сил и средств*(3).

6. Получение судебного решения на производство обыска. Внезапность проникновения на место обеспечивается общими тактическими приемами обыска: транспорт оставляется вне возможного поля зрения лиц, находящихся в обыскиваемом помещении; организуется наблюдение за окнами и входом в помещение; подход к дому осуществляется, как правило, несколькими группами, чтобы не вызвать подозрений. Для проникновения в квартиру используют помощь работников коммунальной службы, соседей. Возможно приурочить проникновение к входу-выходу кого-либо из квартиры. В соответствии с ч.6 ст.182 УПК РФ следователь может вскрыть любое помещение, если владелец отказывается открыть его добровольно. Следует помнить о необходимости постоянного присутствия понятых, чтобы они воспринимали все происходящее с самого начала. В случае проникновения в помещения организаций, имеющих контрольно-пропускные пункты, используется помощь сотрудников специальных подразделений. Попытки извещения кого-либо о проникновении должны пресекаться.

По прибытии на место следует сразу же принять меры по обеспечению сохранности ЭВМ и имеющихся в них данных и ценной информации. Для этого прежде всего необходимо:

1) решить вопрос (в зависимости от конкретной ситуации) о необходимости отключения электроэнергии и, в некоторых случаях, иных средств коммуникации на объекте (телефон, сетевой кабель и т.д.) для предотвращения уничтожения информации;

2) не разрешать никому из лиц, находящихся на объекте, прикасаться к ЭВМ;

3) не производить никаких манипуляций со средствами компьютерной техники без участия квалифицированного специалиста.

Представляется несколько спорной точка зрения о необходимости отключения электроснабжения объекта для того, чтобы не уничтожить информацию, содержащуюся в оперативной памяти ЭВМ*(4). Совершить компьютерное преступление, не оставив каких-либо следов на жестком диске или дискете, на наш взгляд, маловероятно. На указанных носителях информации должна оставаться определенная информация, исходные тексты вредоносной программы, различные следы ее создания либо распространения. К тому же совершающее противоправное деяние лицо, как правило, не сидит в помещении с открытым доступом, и осуществить немедленную изоляцию его от компьютера очень нелегко даже при самом быстром и оперативном реагировании правоохранительных органов. В случае принудительного вскрытия входной двери оперативной группой злоумышленнику вполне может хватить затраченного на это времени для безвозвратного уничтожения компрометирующей информации и уж тем более для отключения электропитания при необходимости. Заблаговременное же отключение электричества может помешать злоумышленнику удалить информацию. Однако существует определенная сложность в том, что ЭВМ могут быть оснащены источниками бесперебойного питания, позволяющими некоторое время поддерживать компьютер включенным при отключении электроэнергии. Этого времени вполне достаточно для удаления злоумышленником информации. Таким образом, вопрос о целесообразности отключения электроснабжения должен решаться в каждом конкретном случае. Немаловажное значение при этом имеет возможность внезапного и быстрого проникновения следственно-оперативной группы на место.

Необходимо отметить весьма важный тактический вопрос о выборе следственного действия, которое надлежит произвести в некоторых ситуациях.

Для производства осмотра жилища требуется согласие проживающих в нем лиц или судебное решение (ч.5 ст.177 УПК РФ). Запрашивание согласия жильцов нецелесообразно, так как, если у них имеется какая-либо компрометирующая компьютерная информация, она может быть уничтожена в считанные минуты. Судебное же решение на осмотр жилища выдается лишь при отсутствии согласия проживающих в нем лиц (п.4 ч.2 ст.29 УПК РФ). Таким образом, следователь, намеревающийся провести осмотр жилища, вынужден как бы предупредить возможного преступника о своем намерении. Учитывая, что компьютерная информация может быть удалена намного легче и быстрее, чем какие-либо иные следы, и при этом может не остаться даже признаков, указывающих на то, что происходил процесс удаления, результативность такого осмотра может быть весьма низка. Исходя из вышесказанного, осмотр жилища, где, по мнению следователя, находится оборудование, которое использовалось в преступных целях, следует проводить лишь в исключительных случаях, на стадии решения вопроса о возбуждении уголовного дела. Так, если имеется достоверная информация о создании или распространении вредоносных программ, следователь может до возбуждения уголовного дела и получения судебного решения (с последующим уведомлением судьи в 24-часовой срок) произвести осмотр жилища, руководствуясь п.5 ст.165 УПК РФ. В остальных же случаях, на наш взгляд, целесообразнее произвести обыск. Это объясняется тем, что для получения решения суда на производство обыска не требуется согласия проживающих в жилище лиц, и таким образом реализуется необходимый элемент неожиданности, без которого эффективность обнаружения и фиксации доказательств резко снижается.

До того как приступить непосредственно к обыску, следователь в соответствии с п.5 ст.182 УПК РФ предлагает добровольно выдать подлежащие изъятию предметы, документы и ценности, которые могут иметь значение для уголовного дела. Если они выданы добровольно и цель обыска - получить именно эти объекты, - следователь вправе не проводить обыск.

Следует принять во внимание, что в ходе обыска возможны попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных, а также возможно наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые могут уничтожить информацию. Для предотвращения удаления или модификации информации необходимо обращаться за консультацией к специалисту, не заинтересованному в исходе дела, а не за помощью к персоналу. При производстве следственных действий необходимо участие понятых, при этом понятым подробно разъясняются все производимые манипуляции.

Можно поспорить с точкой зрения некоторых авторов о том, что, приступая непосредственно к осмотру ЭВМ, следует детально описывать изображение на экране монитора, производить фото- и видео-съемку*(5). На наш взгляд, подробно фиксировать изображение на экране монитора нужно лишь в том случае, когда будет установлено (посредством консультации со специалистом), что отображаемая информация имеет или может иметь отношение к расследуемому деянию. В большинстве же случаев на экране отображается информация об исполняемой программе - текстовый редактор, игровое приложение, так называемый хранитель экрана (screensaver). Изображение при этом может динамично изменяться, и процесс его детального описания или заснятия на фото- видеосъемку будет весьма долгим, накладным и нецелесообразным. Существует и опасность уничтожения информации: в то время как оперативная группа будет с усердием протоколировать и фотографировать причудливое изображение на экране, программа уничтожения информации благополучно сможет удалить всю компрометирующую информацию. В связи с этим по прибытии на место следует оперативно установить характер исполняемых программ и при необходимости пресечь их исполнение. Вся информация, содержащаяся в ЭВМ, должна быть исследована на наличие вредоносных программ, конструкторов вирусов, исходных текстов вредоносных программ, сканеров сети, документации к ним, ссылок на сайты, содержащие такие программы. Особое внимание уделяется поиску скрытых и удаленных файлов. Фиксируется настройка оборудования на связь с определенным абонентом.

Все машинные носители информации подлежат исследованию; при необходимости используется портативный компьютер следователя. Важно помнить, что множество пользователей, не надеясь на свою память, записывают информацию по доступу в систему на отдельных листках, в тетрадках и т.д., поэтому следует обратить внимание на такие записи и при необходимости изъять их. При изъятии информации можно ограничиться изъятием непосредственно машинных носителей, ее содержащих. На машинном носителе с компрометирующей информацией (CD-диск, дискета) целесообразно попытаться обнаружить и зафиксировать отпечатки пальцев.

В случае необходимости изъятия всего системного блока его нужно опечатать, чтобы исключить возможность работы с ним, разукомплектования и повреждения основных рабочих компонентов в отсутствие владельца или эксперта. Опечатывается системный блок листом бумаги с подписями следователя, понятых и представителя персонала. Этот лист крепится, например, густым клеем на заднюю панель компьютера с разъемами электропитания и захлестывается на боковые стенки. Возможны и другие способы опечатывания - в зависимости от устройства корпуса системного блока. Важно лишь, чтобы опечатанный системный блок нельзя было подключить или разобрать без повреждения опечатки.

В заключение необходимо отметить, что системные блоки должны храниться и перемещаться в специальной упаковке, исключающей разрушающее воздействие различных электромагнитных полей или излучений. Нельзя подносить к компьютерной технике металлоискатели и другие источники магнитного поля, а также сильные осветительные приборы и некоторую спецаппаратуру ближе чем на один метр.

М.М. Менжега,

преподаватель Саратовской государственной академии права,

аспирант кафедры криминалистики

"Журнал российского права", N 12, декабрь 2003 г.

-------------------------------------------------------------------------

*(1) См.: Иванов А.Н. Производство обыска: уголовно процессуальные и криминалистические аспекты / Под ред. В.И. Комиссарова. Саратов, 1999. C. 62.

*(2) См.: Иванов А.Н. Указ. соч. C.63.

*(3) См.: Актуальные вопросы раскрытия и расследования преступлений. Ч. 2. Следственный бюллетень N 3. Казань: Мастер Лайн, 2001 С.124.

*(4) См.: Там же. С. 108.

*(5) См.: Быстряков Е.Н., Иванов А.Н., Климов В.А. Расследование компьютерных преступлений. Саратов, 2000. С.65; Актуальные вопросы раскрытия и расследования преступлений. С.111.