Особенности расследования сетевых компьютерных преступлений (А.Л. Осипенко, "Российский юридический журнал", N 2, март-апрель 2010 г.)

Особенности расследования сетевых компьютерных преступлений

Автор на основе анализа оперативно-розыскной и судебной практики выделяет и анализирует основные особенности раскрытия и расследования сетевых компьютерных преступлений.

В последние годы в нашей стране заметно растет количество преступлений, связанных с использованием глобальных компьютерных сетей. По данным МВД России, в 2008 г. зарегистрировано более 14 000 таких преступлений. Анализ показывает, что при их расследовании возникает немало проблем, порождаемых уникальными свойствами информационного пространства глобальных компьютерных сетей. При этом специфика новых видов преступлений слабо учитывается практическими работниками при проведении следствия.

Более того, анализ судебной практики позволяет отметить значительное число допускаемых в ходе расследования ошибок, которые объясняются, как правило, недостаточной подготовленностью следователей в вопросах, связанных с функционированием глобальных компьютерных сетей. Названные обстоятельства вынуждают обратиться к рассмотрению основных особенностей расследования сетевых компьютерных преступлений, чтобы найти пути повышения эффективности этого вида деятельности. Надо сказать, что принципы расследования компьютерных преступлений освещались в отечественной литературе*(1), однако в большинстве из работ, на наш взгляд, не нашла достаточного отражения специфика преступлений, совершаемых с использованием глобальных компьютерных сетей.

Обобщение опыта правоохранительных структур дает основания считать, что тактика раскрытия и расследования анализируемых преступлений должна строиться исходя из особенностей возникающих следственных ситуаций. Среди таких особенностей нами выделяются:

1) необходимость привлечения специальных познаний при проведении значительной части следственных действий и оперативно-розыскных мероприятий;

2) существенное "интеллектуальное" сопротивление расследованию со стороны преступника;

3) значительный объем данных (обнаруживаемых преимущественно в электронном виде), которые требуется изучить в ходе следствия;

4) дефицит времени и динамичность обстановки в сетевом окружении, которые определяются краткосрочностью существования и высокой изменчивостью отдельных видов доказательств, находящихся в электронной форме.

Перечисленные особенности приводят к необходимости незамедлительного сбора всей информации, имеющей отношение к преступлению и сохраняемой в сетевых компьютерных системах. Разумеется, тактика проведения расследования в значительной мере определяется видом сетевого компьютерного преступления. Однако для большинства таких преступлений задачи начального этапа расследования сводятся к получению данных, подтверждающих факт совершения преступления, изъятию и приобщению к делу относимых доказательств, определению перспектив получения дополнительной информации от сотрудников сетевого объекта. Немаловажными представляются обследование объекта на предмет надежности защиты компьютерной информации и выявление обстоятельств, способствовавших совершению преступления. Особое значение приобретают мероприятия по определению источника (сетевого адреса) противоправных действий и установлению личности подозреваемых. Успешному проведению этих мероприятий способствует изучение свидетельств, указывающих на целевую направленность и предполагаемые мотивы противоправных действий, уровень квалификации преступника, применение им специального инструментария, знание особенностей организации защиты информации на сетевом объекте. На основе полученных данных следователь формирует собственное мнение о направленности дальнейшего расследования и разрабатывает план действий по оперативной проверке полученной информации. Безусловно, предложенную последовательность действий не стоит рассматривать как строго заданный алгоритм.

Действия следователя (как и оперативного работника) при доступе к компьютеру, содержащему следы противоправной активности (будь то компьютер жертвы или компьютер преступника), крайне важны с точки зрения сохранения доказательственного значения компьютерных данных. При их осуществлении применение конкретных рекомендаций по сохранению компьютерной информации довольно проблематично, поскольку каждая ситуация по-своему уникальна, и действия, в большинстве случаев вполне приемлемые, в определенных ситуациях способны нанести непоправимый ущерб имеющимся данным. В связи с этим лицо, имеющее первоначальный доступ к обследуемому компьютеру, должно не только иметь соответствующую квалификацию, но и в достаточной степени осознавать суть основных процессов, происходящих в вычислительной системе. Предъявление подобного требования к следователю представляется чрезмерным, даже при условии его предварительной специальной подготовки.

Отсюда вытекает желательность (а во многих случаях - обязательность) привлечения к производству определенных следственных действий специалиста в области высоких технологий. Такая возможность предоставлена следователю ст. 168 Уголовно-процессуального кодекса в случаях, когда для выявления обстоятельств и фактов, имеющих значение для уголовного дела, обнаружения, закрепления и изъятия значимых для него предметов и документов, постановки вопросов эксперту, применения технических средств необходимо использование специальных знаний в определенных областях человеческой деятельности.

Добавим, что роль специалиста заключается в оказании помощи в проведении следственных действий, а не в формулировании каких-либо выводов по уголовному делу, при этом результаты его деятельности "не имеют самостоятельного доказательственного значения, а выступают как составная часть совокупной деятельности всех участников данного следственного действия"*(2). В то же время не стоит забывать, что п. 3.1 ч. 2 ст. 74 УПК допускает использование показаний специалиста в качестве доказательств. Напомним, что согласно ч. 4 ст. 80 УПК показаниями специалиста считаются сообщенные им на допросе сведения об обстоятельствах, требующих специальных познаний, а также разъяснения своего мнения в соответствии с требованиями ст. 53, 168 и 271 УПК.

В рассматриваемой сфере от специалиста требуется наличие глубоких познаний в области функционирования аппаратного и программного обеспечения обследуемых вычислительных систем. Кроме того, нередко он должен разбираться в специфических вопросах (особенностях эксплуатации сетевого оборудования, процедурах шифрования информации и т.п.), иметь достаточные навыки их практического решения (например, владеть методикой применения аппаратных и программных средств выявления и фиксации доказательств). Стоит обратить внимание на то, что оценка компетентности лица в рассматриваемой сфере довольно сложна. Несведущие в этой области люди, как правило, воспринимают "компьютерщика" как универсального специалиста, в то время как на практике это далеко не так: в частности, грамотный программист может слабо разбираться в вопросах сетевого администрирования. При этом даже выделить направления специализации (системный программист, прикладной программист, специалист по сетевому оборудованию, системный администратор, специалист по защите информации и т.д.) непросто, поскольку в сфере высоких технологий они постоянно меняются. Полагаем, было бы полезно разработать (и регулярно обновлять) официальный перечень требований, позволяющих представителям следствия определять необходимый уровень квалификации и специализацию привлекаемых специалистов в различных ситуациях.

Проведение большинства следственных действий при расследовании сетевых компьютерных преступлений мало чем отличается от аналогичных действий в отношении иных преступлений. Некоторые же следственные действия заслуживают отдельного обсуждения. В первую очередь это относится к осмотру места происшествия, обыску, выемке*(3). Процессуальное изучение информационного содержимого сетевой вычислительной системы сосредоточивается на поиске относимых к делу компьютерных данных, осуществляемом не только в конкретном компьютере, но и в связанных с ним устройствах, предназначенных для хранения информации. При этом возникает необходимость выполнения некоторых необычных мероприятий, таких как определение конфигурации вычислительной системы, топологии внутренних компьютерных сетей, используемой схемы подключения к глобальным сетям и др. Выделим ряд специфических обстоятельств, которые стоит учитывать при производстве осмотра, обыска и выемки в сетевой компьютерной системе.

1. Компьютерные данные находятся в неосязаемой форме, их невозможно осматривать и изучать без использования особого оборудования и программного обеспечения, для эффективного применения которых требуются специальные знания и навыки. Компьютерные данные могут сохраняться только на специальных носителях, они чрезвычайно чувствительны к внешним воздействиям и легко утрачиваются в результате неквалифицированных действий.

2. При обнаружении искомых данных могут изыматься содержащие их носители информации (и даже вычислительная система в целом или отдельные ее части). Однако не во всех случаях такие действия целесообразны: практически всегда с компьютерных данных на иные носители может быть снята копия, полностью совпадающая с оригиналом. Такое сохранение обнаруженных файлов в интересах следствия трудно однозначно соотнести с обычным ходом выемки предметов. Идентичность копий может подтверждаться использованием специальных компьютерных средств.

3. Искомые данные могут храниться на удаленных компьютерах, связанных с обследуемым компьютером через сеть. При этом возникает вопрос о том, имеет ли право орган, получивший постановление на проведение обыска определенной компьютерной системы, производить осмотр всех носителей информации, к которым имеется дистанционный сетевой доступ с обыскиваемой системы. Допустимость проведения "дистанционного" обыска вычислительной системы также остается предметом дискуссий.

Сбор максимального количества относимой к расследованию информации обеспечивается при учете следующих обстоятельств. В вычислительной системе, как правило, можно обнаружить специальные разделы, содержащие файлы с электронной корреспонденцией, указатели посещаемых пользователем сетевых ресурсов, регистрационные данные для доступа в глобальные сети, адресную книгу, записи в которой позволяют установить связи разрабатываемых лиц. Кроме того, применение специального программного обеспечения нередко позволяет произвести восстановление информации, удаленной пользователем.

Помимо традиционных, закрепленных многолетней практикой правил производства анализируемых следственных действий при осуществлении их на объектах вычислительной техники могут быть выделены и некоторые специфические требования. Прежде всего, следователь (дознаватель) должен избегать любых действий, последствия которых он не может предусмотреть. Необходимо предотвратить доступ к устройствам ввода данных (в том числе сетевым) обслуживающего персонала и посторонних лиц. Следует принять меры и к тому, чтобы не изменялись условия электроснабжения объекта. Перечень требований может быть продолжен.

Как видим, осмотр, обыск и выемка, применяемые в ходе расследования сетевых компьютерных преступлений, имеют выраженную специфику, по большей части связанную с особенностями информационных объектов и необходимостью применения для их обнаружения и фиксации специальных программных и аппаратных средств. Многие исследователи сетуют по поводу отсутствия уголовно-процессуальной регламентации возможности, порядка и особенностей использования таких средств*(4). Стоит поддержать предложения о выделении средств компьютерной техники как особого объекта следственного осмотра; о сертификации программно-технических средств, обеспечивающих поиск, фиксацию и воспроизводимость обнаруженной компьютерной информации, а также о введении в УПК РФ нормы, регламентирующей выемку компьютерной информации из компьютерной сети*(5).

Известны предложения о целесообразности дополнения УПК РФ новыми следственными действиями, такими как арест электронно-почтовой корреспонденции*(6). Стоит отметить, что УПК предусматривает наложение ареста на почтово-телеграфные отправления, их осмотр и выемку, а также получение сведений о них. При этом не вполне четкая формулировка ст. 185 УПК, упоминающая "другие почтово-телеграфные отправления", казалось бы, позволяет относить к таким отправлениям передаваемые по компьютерным сетям сообщения электронной почты. Однако более детальный анализ доказывает обратное. Так, в Правилах оказания услуг почтовой связи среди видов почтовых отправлений сообщения электронной почты не упоминаются*(7). Кроме того, закрепленный процессуальным законодательством порядок взаимодействия следствия с учреждением связи при наложении ареста на почтово-телеграфные отправления абсолютно неприменим к возможным мероприятиям с участием операторов связи по аресту сообщений электронной почты. Между тем потребность в процедуре наложения ареста на электронную корреспонденцию при расследовании сетевых компьютерных преступлений в ряде случаев не вызывает сомнений. Такие действия в определенных следственных ситуациях позволили бы не только получать важные для следствия фактические данные, но и создавать препятствия обмену информацией между заинтересованными лицами в ходе проведения расследования.

Полагаем, что разработка соответствующей процедуры должна учитывать ярко выраженную специфику электронной почты по сравнению с обычными почтовыми отправлениями. Так, для производства процессуальных действий в отношении обычных почтово-телеграфных отправлений следствию, как правило, достаточно взаимодействовать с единым государственным почтовым ведомством. В глобальных сетях все гораздо сложнее. Сообщения электронной почты могут поступать к адресату через многочисленные почтовые серверы, где не составляет труда создать новый почтовый ящик. В результате абонент может иметь на различных серверах несколько почтовых ящиков, выявление которых может быть проблематичным. Если обычные почтовые отправления (за исключением корреспонденции до востребования) содержат прямое указание на адресата, то сообщения электронной почты, напротив, нередко практически полностью обезличены. Установить принадлежность почтового ящика по его названию также в большинстве случаев затруднительно. В итоге даже при получении доступа к конкретному ящику нельзя быть до конца уверенным, что изымаемые или контролируемые сообщения принадлежат определенному лицу. Хотя у оператора связи, обслуживающего абонента, имеется технологическая возможность выделять весь поток компьютерных данных, направляемых на сетевой адрес абонента, такие действия не укладываются в рамки анализируемого следственного действия и более соответствуют оперативно-розыскному мероприятию "снятие информации с технических каналов связи".

Приведенные рассуждения во многом относятся и к такому следственному действию, как контроль и запись переговоров (ст. 186 УПК). С одной стороны, законодатель определил процессуальный порядок контроля телефонных и иных переговоров, в которых могут содержаться сведения, имеющие значение для уголовного дела. С другой стороны, в соответствующих нормах практически не нашли отражения такие распространенные в настоящее время формы ведения переговоров, как обмен sms-сообщениями, участие в сетевых формах общения (чат, форумы, ICQ, IP-телефония, видеоконференции на основе сервиса Skype и др.). Таким образом, уголовно-процессуальные нормы сегодня не обеспечивают следствие механизмами доступа к современным средствам обмена сообщениями, которые могут использоваться подозреваемыми, обвиняемыми и иными лицами. Добавим, что при расследовании сетевых компьютерных преступлений нередко возникает потребность в резервировании компьютерных данных. Такая процедура призвана защитить от изменений компьютерные данные, которые в текущий момент хранятся на сервере оператора связи, но по тем или иным причинам недоступны для следствия*(8).

Завершая рассмотрение особенностей расследования сетевых компьютерных преступлений, отметим, что помимо обозначенных относительно общих проблем следствие нередко сталкивается и с многочисленными довольно сложными частными вопросами (процессуальными, технологическими и др.). Однако обсудить их здесь не представляется возможным. Добавим лишь, что эффективному разрешению ряда проблем при расследовании указанных преступлений способствует обоснованное использование оперативно-розыскных методов и средств в информационном пространстве глобальных сетей. Кроме того, повышение эффективности расследования сетевых компьютерных преступлений и уголовного преследования по делам рассматриваемой категории все в большей степени зависит от соответствующей профессиональной подготовленности следователей, оперативных работников, прокуроров, судей.

А.Л. Осипенко,

кандидат юридических наук, доцент,

докторант Омской академии МВД России (Омск)

"Российский юридический журнал", N 2, март-апрель 2010 г.

-----------------------------------------------------------

*(1) См., например: Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ. Волгоград, 2004; Махтаев М.Ш. Методика расследования компьютерных преступлений. М., 2007; Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Рос. следователь. 2004. N 1. С. 9-15; Погодин С.Б. Особенности расследования преступлений в сфере компьютерной информации // Там же. N 7. С. 6-9; Гавло В.К., Поляков В.В. Следовая картина и ее значение для расследования преступлений, связанных с неправомерным удаленным доступом к компьютерной информации // Рос. юрид. журн. 2007. N 5. 

*(2) Орлов Ю. Специалист - это сведущее лицо, не заинтересованное в исходе дела // Рос. юстиция. 2003. N 4. С. 36-37.

*(3) Вехов В.Б. Особенности организации и тактика осмотра места происшествия при расследовании преступлений в сфере компьютерной информации // Рос. следователь. 2004. N 7. С. 2-6; Менжега М. Особенности производства обыска при расследовании компьютерных преступлений // Журн. рос. права. 2003. N 12. С. 120-125; Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность. 1999. N 3. С. 12-15. 

*(4) См., например: Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. М., 2002. С. 224; Краснова Л.Б. Компьютерные объекты в уголовном процессе и криминалистике: автореф. дис. ... канд. юрид. наук. Воронеж, 2005. С. 18-20. 

*(5) Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М., 2001. С. 99.

*(6) Усов А.И. Концептуальные основы судебной компьютерно-технической экспертизы: автореф. дис. ... д-ра юрид. наук. М., 2002. С. 14. 

*(7) См.: Об утверждении Правил оказания услуг почтовой связи: Постановление Правительства РФ от 15 апреля 2005 г. N 221 // СЗ РФ. 2005. N 17. Ст. 1556. Стоит отметить, что в прежней редакции Правил такое упоминание присутствовало (Об утверждении Правил оказания услуг почтовой связи: Постановление Правительства РФ от 26 сентября 2000 г. N 725 // Там же. 2000. N 41. Ст. 4076).

*(8) На необходимость закрепления подобной процедуры (правда, с несколько иных позиций) уже обращал внимание А.Г. Волеводз (Волеводз А.Г. Правовые основы новых направлений международного сотрудничества в сфере уголовного процесса: дис. ... д-ра юрид. наук. М., 2002. С. 14-15).