4. Розыскная деятельность следователя про делам о преступлениях в сфере компьютерной информации
Особенности расследования отдельных видов преступлений проявляются и в розыскной деятельности следователя. Эта специфика обусловливается многими факторами, одним из которых выступают объекты, подлежащие розыску.
Возникновение разыскиваемого объекта в окружающей среде есть результат действия закономерностей возникновения доказательственной информации. Появление в ходе расследования преступления объекта розыска – это результат тщательной работы следователя по собиранию, исследованию и оценке криминалистически значимой информации.
К числу основных объектов, подлежащих розыску, по делам о преступлениях в сфере компьютерной информации следует относить: лиц, совершивших преступления; орудия, используемые для совершения преступлений; саму компьютерную информацию; специальную литературу, посвященную вопросам совершения неправомерного доступа к компьютерной информации и т.п.
В числе розыскных признаков лиц, совершивших преступления в сфере компьютерной информации, следует выделять:
1. Общие признаки (пол, возраст, национальность, приметы, место жительства, характер, интересы, профессия, уровень образования, преступный опыт, привычки, особенности взаимоотношений с людьми, состояние здоровья (в том числе и психическое состояние), возможность повторного совершения преступления и пр.).
2. Специальные признаки. К ним относятся:
-
обладание навыками в программировании и работе компьютерного оборудования, иных технических средств, которые были использованы при совершении преступления;
-
обладание определенным компьютерным оборудованием, программным обеспечением;
-
данные, которые оставили о себе сами преступники (например, лица, которые стремятся к «известности» среди компьютерной общественности, могут указывать свое имя, прозвище, иногда электронный адрес, пол);
-
данные о месте, откуда совершался неправомерный доступ к компьютерной информации;
-
данные о характере похищенной информации, возможности ее использования.
Современная концепция розыскной деятельности следователя исходит из ее понимания как комплекса процессуальных и не процессуальных действий лица, производящего расследование, направленных на установление известных (следователю) объектов, имеющих значение для расследования по делу. Розыскная работа выступает важным элементом поисковой деятельности следователя, с которой она соотносится как частное с общим.
Розыскная деятельность следователя по своей сущности является процессуальной. Она предусмотрена уголовно-процессуальным законодательством и, в зависимости от реализуемых средств, осуществляется:
а) по уголовному делу, по которому ведется предварительное следствие, но не вынесено постановление о привлечении лица в качестве обвиняемого. В этот период следователь реализует все средства, предусмотренные уголовно-процессуальным законодательством, кроме поручения розыска органу дознания. Последнее не исключает производства розыскных действий по поручению следователя (ст.223 Уголовно-процессуального кодекс Российской Федерации от 18 декабря 2001 года №174-ФЗ (далее – УПК РФ)).
б) по уголовному делу, по которому ведется предварительное следствие, вынесено постановление о привлечении лица в качестве обвиняемого и избрана мера пресечения. На этом этапе следователь реализует все средства, предусмотренные уголовно-процессуальным законодательством, в том числе правомочен, при неизвестности места нахождения обвиняемого, поручить его розыск органу дознания (в соответствии со ст.210 УПК РФ);
в) по уголовному делу, по которому вынесено постановление о привлечении лица в качестве обвиняемого, избрана мера пресечения, но предварительное следствие приостановлено (ст.210 УПК РФ). При этом следователь поручает розыск органу дознания (о таком поручении указывается в постановлении о приостановлении предварительного следствия или выносится специальное постановление), а сам осуществляет процессуальные и организационные мероприятия по розыску скрывшегося обвиняемого без производства следственных действий.
В ходе розыскной деятельности по делам о преступлениях в сфере компьютерной информации принципиальное значение имеют тактические решения; о начале розыска; об объектах розыска; о характере розыскных приемов и их комбинаций, применяемых при установлении местонахождения искомых объектов (средств и методов тактического воздействия на ситуацию); о субъектах и сроках их производства.
Принятое решение может быть облечено в процессуальную форму или отражено в плане расследования.
Основными средствами розыскной деятельности следователя остаются процессуальные действий. В числе процессуальных выделим следственные действия, а также иные процессуальные действия, направленные не на сбор доказательств по делу а на объявление розыска, дачу поручений о розыске органам дознания, привлечению к розыску общественности. В числе розыскных следственных действий традиционно выделяются осмотр места происшествия, обыск, выемка, задержание и проверка и уточнение показаний на месте. Остальные следственные действия рассматриваются как информационно-обеспечивающие розыскную деятельность.
Необходимо иметь ввиду, что при совершении одного преступления, например, неправомерного доступа к компьютерной информации, может быть несколько мест происшествия:
а) рабочее место, рабочая станция – место обработки информации, ставшей предметом преступного посягательства;
б) место постоянного хранения или резервирования информации – сервер или стример;
в) место использования технических средств для неправомерного доступа к компьютерной информации, находящейся в другом месте; при этом место использования может совпадать с рабочим местом, но находиться вне организации, например, при стороннем взломе путем внешнего удаленного сетевого доступа;
г) место подготовки преступления (разработки вирусов, программ взлома, подбора паролей, перехвата) или место непосредственного использования информации (копирование, распространение, искажение), полученной в результате неправомерного доступа к данным, содержащимся на машинных носителях или в ЭВМ.
По прибытии к месту проведения обыска необходимо войти так быстро и неожиданно в обыскиваемое помещение, чтобы успеть предотвратить уничтожение информации на ЭВМ. В некоторых случаях, когда это возможно и целесообразно, непосредственно перед входом в обыскиваемое помещение следует обесточить его. Следует иметь в виду, что такое действие в одних случаях может привести к отключению всей аппаратуры, находящейся в помещении, в других – к ее повреждению. Поэтому делать это необходимо осторожно и только в крайних случаях, к примеру, если обыскивается отдельно стоящее здание, в котором находится много компьютерной техники со значительным количеством интересующей следствие информации, а из-за большой площади обыскиваемых помещений нет возможности начать одновременный обыск во всех. К тому же эти помещения могут располагаться на нескольких этажах и охраняться.
Обесточивание не всегда может привести к нужному результату, поскольку иногда компьютеры снабжены устройствами бесперебойного питания, и в случае отключения электричества в основной цепи эти устройства поддерживают компьютер в работоспособном состоянии некоторое время (около часа). Подобными устройствами укомплектованы, как правило, центральные компьютеры локальной вычислительной сети и компьютеры с наиболее ценной информацией.
Обнаружение лица (лиц), совершившего преступление в сфере компьютерной информации, – важнейшая задача следователя с начала расследования по делу. В одних случаях эти лица становятся известными сразу: при задержании, наличии очевидцев преступления, знающих преступника, иногда при явке с повинной. В других – лицо, совершившее преступление, неизвестно или информация о нем незначительна. В таких случаях требуется напряженная кропотливая работа по его установлению и розыску, связанная с использованием всех имеющихся в арсенале расследования средств и методов. В этой связи можно говорить о разнообразии тактических приемов установления и розыска лица, совершившего компьютерное преступление.
Информация ориентирующего и розыскного характера о лице, совершившем компьютерное преступление, может быть получена при изучении предметов и материальных следов, обнаруженных при осмотре места происшествия, обыске или выемке в местах возможного пребывания преступника, а также в ходе экспертиз, проводимых по делу. Так, могут быть обнаружены следы рук, обуви, иные вещественные доказательства, включая орудия преступления, окурки, волосы, предметы одежды, личные документы и пр. Не следует забывать о возможностях использования в процессе розыска запаховых следов преступника, а также различных микрообъектов (волокна текстиля, частицы почвы и др.).
Кроме того, современные возможности и в то же время недостатки глобальных компьютерных сетей позволяют преступнику маскировать исходную точку доступа. Если имеют место подобные действия можно с уверенностью говорить о высочайшем профессионализме компьютерного преступника.
Информацию о личности преступника и его местонахождении можно получить, произведя комплексный анализ сведений о способе совершения преступления, противодействии расследованию, месте и времени посягательства, мотивах и целях деяния. Так, например, выявление двух признаков: знание паролей различных операций, выполняемых тем или иным компьютером в организации, и наличие доступа к нему или сети ЭВМ значительно сужают круг подозреваемых.
Целесообразно также изучать способы совершения различных компьютерных преступлений в регионе. Способы совершения преступления повторяются у одних и тех же лиц, неоднократно совершавших аналогичные преступления. Обобщенная информация, полученная на основе анализа аналогичных способов совершения преступлений, может дополнить составляемую следователем розыскную модель личности преступника.
Розыскная модель личности преступника представляет собой систему признаков, на основе которых можно установить преступника и его местонахождение.
Приведем следующий пример построения и использования следователем такой модели. При расследовании неоднократного неправомерного доступа к компьютерной информации, находящейся на ЭВМ менеджера, расположенной в торговом зале коммерческой организации, было установлено, что данные преступления были совершены путем непосредственного проникновения в компьютерную систему (во время отсутствия в помещении персонала фирмы) кем-то из посторонних лиц с целью копирования файла (intemetlogin.xis), содержащего информацию о регистрационном имени пользователя сети Интернет, необходимую для бесплатного доступа в эту сеть. Это позволило сделать вывод о том, что преступления совершались одним и тем же лицом, обладающим познаниями в области компьютерных технологий и часто посещавшим торговый зал фирмы. В ходе проверки сотрудников коммерческой организации был установлен молодой человек, совершивший эти преступления.
Анализ способа совершения преступления (нескольких преступлений), иной информации о преступнике в некоторых случаях позволяет предположить, где может появиться или находится преступник. В этой ситуации необходимо провести специальный комплекс мероприятий, направленных на создание условий, побуждающих разыскиваемого действовать в затруднительной для себя обстановке, мешающих ему свободно передвигаться. В частности, целесообразно производить систематические обыски в местах вероятного нахождения разыскиваемого, мероприятия по информированию общественности о его личности, организовывать засады в местах возможного появления преступника, давать поручения органам дознания о проведении оперативно-розыскных мероприятий в среде лиц, увлекающихся компьютерными технологиями и программированием, занимающихся изготовлением и торговлей компьютерным оборудованием и программным обеспечением.
Местонахождение разыскиваемого лица может быть установлено в момент совершения им нового компьютерного преступления. Для достижения этой цели необходимо провести комплекс следственных, оперативно-розыскных и технических мероприятий по установлению возможного объекта нового преступного посягательства со стороны разыскиваемого лица: установить за этим объектом технический контроль, позволяющий определить местонахождение преступника (в случае совершения преступления путем удаленного доступа к компьютерной информации), либо организовать визуальное наблюдение (если предполагается непосредственный доступ к компьютерной информации либо использование похищенной информации в преступных целях).
На возможный объект преступного посягательства указывают:
• характер похищенной компьютерной информации (например, сведения о пароле и регистрационном имени, необходимые для доступа в сеть Интернет, какую-либо компьютерную систему, о кодах кредитных карточек потерпевшего и пр.);
• направленность подготовительных действий преступника (сбор информации о конкретном лице, организации; приобретение необходимого для реализации определенного преступного замысла компьютерного оборудования, программного обеспечения; подбор сообщников и пр.);
• неоднократные попытки преступника получить несанкционированный доступ к определенной информации;
• традиционно интересующая разыскиваемого преступника информация. В этой связи интересен опыт зарубежных правоохранительных органов, применяемых для установления местонахождения разыскиваемого преступника, способ, называемый «приманка», который заключается в заманивании его к определенному объекту и удерживании на связи в течении времени, достаточного для установления его местонахождения, В качестве приманки используются файлы с информацией, которая может заинтересовать преступника. При этом рекомендуется воспользоваться специальными файлами, появление которых у того или иного лица в позволит установить, что именно он осуществлял незаконный доступ к компьютерной информации. Для установления и задержания лиц, занимающихся распространением технических носителей, содержащих вредоносные программы, на практике часто проводится специальный комплекс оперативно-розыскных мероприятий, среди которых в качестве ключевого действия выступает проверочная закупка. После установления местонахождения преступника проводятся его задержание.
В некоторых случаях сведения о местонахождении разыскиваемого лица можно получить в ходе мероприятий по контролю за каналами связи, по которым преступник общается со своими близкими, друзьями. Для достижения этой цели целесообразны: контроль и запись телефонных и иных переговоров, выемка почто во-телеграфной корреспонденции, установление оперативно-технического контроля за электронными средствами связи, которыми может воспользоваться разыскиваемый.
Ряд преступлений в сфере компьютерной информации, связанные с хищением денежных средств, разработкой и распространением вредоносных программ, коммерческим шпионажем, совершается преступными группами. В связи с этим перед следователем стоит задача установления и розыска всех соучастников преступления. Сведения об их личности и местонахождении могут быть получены от уже установленных лиц.
Так, в ходе расследования компьютерных преступлений целесообразно изучить и проверить круг знакомств обвиняемого. К основным источникам информации, на основании которых можно определить весь круг знакомств и связей обвиняемого, относятся: супруги, родственники, иные близкие люди; соседи, сослуживцы по работе; документы личного и делового характера (например, записные книжки, письма, расписки, доверенности); фотографии, кино- и видео материалы; иные предметы и документы, которые могут указать на связи и контакты лица, обвиняемого в совершении преступления (открытки; телефонные счета за междугородние переговоры и др.).
Источники информации о знакомых обвиняемого, которые предположительно явились соучастниками преступления, могут быть обнаружены при личном обыске, а также обыске по месту жительства или работы обвиняемого. Это записные книжки (в том числе электронные), письма, телеграммы, счета, фотографии, материалы видеозаписи и т.д. Учитывая особенности рассматриваемого вида преступлений, интересующая следствие информация может храниться также в памяти персонального компьютера, на машинных носителях информации.
Установленные преступники, их родственники и знакомых допрашиваются в целях: определения происхождения тех или иных документов; личности людей, изображенных на фотографиях и видеозаписи, их места жительства, работы, номеров телефонов, иных координат; получения пояснений относительно сделанных в определенный период времени телефонных звонков, полученных телеграмм, записей и пр.
Показания допрошенных необходимо сопоставить. Если выяснится, что преступник скрыл свои отношения с кем-либо или попытался направить следствие по ложному пути, такие лица подлежат особенно тщательной проверке.
- Тема 8. Расследования компьютерных преступлений и обеспечение компьютерной безопасности
- 1. Уголовно-правовая характеристика компьютерных преступлений
- 2. Криминалистическая характеристика преступлений в сфере компьютерной информации
- 3. Особенности первоначального этапа расследования компьютерных преступлений
- 4. Розыскная деятельность следователя про делам о преступлениях в сфере компьютерной информации
- 5. Обеспечение компьютерной безопасности и предупреждение компьютерных преступлений
- Список литературы