Расследование преступлений, совершаемых с использованием кмпьютерных технологий

Факт неправомерного доступа  к информации в компьютерной системе  или сети обычно первыми обнаруживают сами же пользователи информационной системы. Однако они не всегда своевременно сообщают об этом правоохранительным органам. Особенно это относится  к руководителям кредитно-финансовых и банковских учреждений, которые  не желают вызывать у клиентов сомнения в надежности своих учреждений. Они также опасаются, что по этому факту начнется проведение проверок, ревизий и экспертиз, могущих раскрыть их финансовые и иные служебные тайны, вскрыть другие серьезные недостатки. Так же факт незаконного доступа к банковской информации станет известен, после того, как гражданин заметит отсутствие у него на счете определенной суммы денег. О незаконном доступе к сотовым сетям становится известно от служб безопасности сотовых операторов, так как абоненты данных сетей не всегда заметят списание сумм в размере 20-30 рублей.

Установить факт неправомерного доступа к компьютерной информации можно и в процессе проведения проверочных мероприятий в стадии возбуждения уголовного дела либо в  ходе проведения ревизий, судебных экспертиз, иных следственных действий по уголовным  делам, находящимся в производстве следователей, а также при проведении оперативно-розыскных мероприятий.

Установление места несанкционированного доступа в компьютерную систему  или сеть может вызывать определенные трудности, поскольку по делам данной категории может быть несколько  мест совершения одного преступления. Чаще обнаруживается место непосредственного  использования результатов неправомерного доступа к компьютерной информации, особенно связанного с хищением денежных средств. Так, по делу о покушении  на хищение из Центрального банка  РФ более 68 миллиардов рублей таких  мест оказалось сразу девять: одно из них - само помещение этого банка, и восемь - помещения коммерческих банков, в адрес которых были незаконно  переведены из Центрального банка по компьютерной сети крупные суммы  денег путем ввода в электронную  обработку двенадцати фальшивых  платежных документов. Как выяснилось позже, вводились они неустановленными лицами с рабочего места № 83 оператором ввода № 07 с терминала № 07. При  установлении на банковские терминалы  скиммеров местами совершения преступления будут банкомат, где они установлены, место, фиксировалась информация и изготавливались поддельные банковские карточки с занесением на них похищенного магнитного кода карты.  При перехвате сигнала системы безопасности автомобиля местом совершения неправомерного доступа к компьютерной информации будет место, где расположено данное устройство, а место хищения автомобиля или имущества из него будет уже место, где они располагались в момент хищения.

Время неправомерного доступа  к компьютерной информации можно  также установить путем допроса  свидетелей из числа сотрудников  данной компьютерной системы, банка, сотовой  компании, выясняя у них, в какое  время каждый из них работал на компьютере, если оно не было зафиксировано  автоматически.

Конкретный способ несанкционированного доступа к компьютерной информации можно установить в процессе допроса  свидетелей из числа лиц, обслуживающих  эту систему, или ее разработчиков, а также путем производства компьютерно-технической  экспертизы.

Необходимо установить, предусмотрены  ли вообще в данной компьютерной системе  меры защиты от несанкционированного доступа к определенным файлам. В  процессе расследования требуется  установить: во-первых - имеется ли лицензия на производство средств защиты информации от несанкционированного доступа, используемых в данной компьютерной системе.

Практика показывает, что  чем хитрее и сложнее в техническом  плане способ такого проникновения, тем легче «вычислить» преступника, поскольку круг специалистов, обладающих такими способностями, сужается. Причастность конкретного лица к несанкционированному доступу к компьютерной информации помимо свидетельских показаний  может быть установлена также  и по материально-фиксированным  отображениям, обнаруженным при производстве следственного осмотра компьютера и его компонентов. При наличии  достаточных оснований у лиц, заподозренных в неправомерном  доступе к компьютерной информации, производится обыск, в процессе которого могут быть обнаружены компьютерная техника, различные записи, дискеты, содержащие сведения, могущие иметь отношение к расследуемому событию, например коды, пароли, идентификационные номера пользователей конкретной компьютерной системы, а также данные о ее пользователях.³³

В ходе обысков и осмотров следует обращать внимание на литературу и методические материалы по компьютерной технике и программированию. Так, по делу о хищении валютных средств  из Внешэкономбанка, в ходе обыска у  одного из обвиняемых были обнаружены работа на тему «Компьютерные злоупотребления  и способы их пресечения» и  программа его производственной практики в ФРГ - «Изучение состояния  дел с защитой информации при  обработке ее на ЭВМ и подготовка соответствующих рекомендаций с  учетом возможностей программного обеспечения  и принятых в банке технических  и технологических решений по реализации находящихся в эксплуатации задач».³⁴

Все это, хотя и косвенно, указывало на возможную причастность данного обвиняемого к расследуемому  преступлению.

Установить виновность и  мотивы несанкционированного доступа  к компьютерной информации можно  только по совокупности результатов  всех процессуальных действий. Решающими  из них являются допросы свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, результаты обыска.

Необходимо установить, в  чем выражены вредные последствия  такого доступа (хищение денежных средств  или материальных ценностей, завладение компьютерными программами, информацией  путем изъятия ее машинных носителей  либо копирования, а также незаконное изменение, уничтожение, блокирование или вывод из строя компьютерного  оборудования, введение в компьютерную систему заведомо ложной информации или компьютерного вируса и пр.).

Хищение денежных средств  в банковских электронных системах зачастую обнаруживаются самими работниками  банков или в результате проведения оперативно-розыскных мероприятий. Конкретная сумма хищения устанавливается  судебно-бухгалтерской экспертизой. Неправомерное завладение компьютерными программами вследствие несанкционированного допуска к системе, их незаконное использование выявляются чаще всего самими потерпевшими.

Для преступлений, совершаемых  с использованием компьютерных технологий, типичны три ситуации  первоначального  этапа расследования:

1. Первая ситуация - собственник информации самостоятельно выявил нарушение целостности или конфиденциальности в информационной системе, обнаружил причастное лицо и заявил об этом в правоохранительные органы;
2. Вторая ситуация- собственник информации самостоятельно выявил нарушение целостности или конфиденциальности в информационной системе, однако не смог обнаружить причастное лицо и заявил об этом в правоохранительные органы;
3. Третья ситуация- данные о нарушении целостности данных или о нарушении конфиденциальности информации и о виновном лице стали известны от других источников или непосредственно обнаружены правоохранительными органами.

Для всех первоначальных ситуациях характерны версии о способах, мотивах и соучастниках преступной деятельности и объемах причиненного вреда.  Во всех перечисленных следственных ситуациях первоначальной задачей расследования является выявление следов преступной деятельности.³⁵

Вообще в зависимости  от объема информации, имеющейся в  распоряжении следствия, можно выделить такие ситуации, как:

- отсутствует информация  о способе, мотивах, личности  злоумышленника, известны только  последствия преступного деяния;

- известны способ, мотивы  и последствия преступного деяния, но неизвестна личность злоумышленника;

- имеется информация и  о способе, и о мотивах, и  о личности злоумышленника.

В зависимости от имеющейся  у следствия информации проводится предварительная проверка, в ходе которой должны быть получены: документы, обусловливающие права потерпевшего на компьютерную технику или компьютерную информацию, подвергшуюся атаке; документы, отражающие неправомерно совершенную  операцию.

В первых двух ситуациях  целесообразно строить расследование  по следующей схеме: опрос заявителя  и свидетелей - осмотр места происшествия с участием специалистов - проведение ОРМ для установления причин преступления, выявления злоумышленников - допрос свидетелей и потерпевших - выемка и  изучение компьютерной техники и  документации - задержание злоумышленника - допрос подозреваемого - обыски по месту  жительства и работы - назначение и  производство судебных экспертиз.

В третьей (максимально информативной) ситуации схема может быть несколько  иная: изучение материалов предварительной  проверки и возбуждение уголовного дела - осмотр места происшествия - задержание злоумышленника - допрос подозреваемого - обыски по месту жительства и работы подозреваемого - допросы потерпевших  и свидетелей - выемка компьютерной техники и документации - назначение экспертиз.³⁶

Как известно, процесс выдвижения версий начинается уже с момента  получения исходной информации о преступлении, которая, являясь основанием для возбуждения уголовного дела, может быть получена из различных источников: заявлений, поступивших от потерпевших, сообщений из кредитных организаций, сообщений из торговых и сервисных предприятий. Проведенное преподавателем кафедры уголовного права и процесса юридического факультета Оренбургского государственного аграрного университета А.В. Сизовым исследование показало, что из всего массива зарегистрированных компьютерных преступлений факты их совершения были выявлены следующим образом:

• в результате регулярных проверок организаций собственными службами коммерческой безопасности — 31%;
• установлены с помощью агентурной работы, а также при проведении оперативных мероприятий по проверкам заявлений граждан — 28%;
• случайно — 19%;
• в ходе проведения налоговых, бухгалтерских ревизий — 13%;
• в ходе расследования других видов преступлений — 10%.³⁷