§ 2. Особенности построения компьютерных моделей расследования отдельных видов преступлений в сфере компьютерной информации

При разработке автоматизированной информационной системы «Расследование преступлений в сфере компьютерной информации» в качестве модели, принципиально необходимой для разработки криминалистических рекомендаций по их расследованию, мы сочли возможным создать базовую открытую модель с использованием метода алгоритмизации и программного продукта MS Word, доступного каждому непрофессиональному пользователю ПЭВМ.

Исследуя в настоящей работе типовую модель расследования преступлений в сфере компьютерной информации, мы пришли к выводу о том, что модели расследования различных видов преступлений в сфере компьютерной информации имеют схожую структуру и различаются в основном по обстоятельствам, подлежащих установлению и доказыванию.

При расследовании неправомерного доступа к компьютерной информации подлежат установлению следующие обстоятель- ства^[257]:

1) факт неправомерного доступа к компьютерной информации;

2) место несанкционированного проникновения в компьютерную систему или сеть;

3) время несанкционированного доступа;

4) надежность средств защиты компьютерной информации;

5) способ совершения несанкционированного доступа;

6) лица, совершившие неправомерный доступ к компьютерной информации;

7) виновность и мотивы лиц, совершивших неправомерный доступ к компьютерной информации;

8) вредоносные последствия неправомерного доступа к компьютерным системам или сетям, выраженные в несанкционированном обладателем уничтожении, модификации, блокировании, копировании охраняемой законом компьютерной информации, нарушении работы ЭВМ, системы ЭВМ или их сети;

9) обстоятельства, способствовавшие неправомерному доступу к компьютерной информации.

Факты неправомерного доступа к информации в компьютерной системе или сети первыми обычно обнаруживают сами пользователи информационной системы. Однако они не всегда вовремя сообщают об этом правоохранительным органам: как правило, руководители, в частности кредитно-финансовых и банковских учреждений, не хотят вызывать у клиентов сомнения в надежности своих организаций. Они также опасаются, что по этому факту начнется проведение проверок, ревизий и экспертиз, в процессе проведения которых могут быть выявлены серьезные недостатки.

Преступления, связанные с несанкционированным доступом к сети Интернет, обнаруживаются после того, как провайдер, предоставляющий доступ к сети, присылает счет о предоставленных услугах на сумму, явно превышающую реальную работу зарегистрированного пользователя в сети либо по времени, либо по объему полученной информации. В результате официально зарегистрированный пользователь отказывается платить за услуги, которыми не пользовался, а провайдер несет убытки. Возможны и другие варианты развития событий.

Выявить факты неправомерного доступа к компьютерной информации можно и в процессе проведения оперативнорозыскных мероприятий, проверки сообщения о преступлении, в ходе ревизий (документальных проверок) или в ходе расследования уголовного дела о преступлениях иного вида.

При расследовании преступных деяний, предусмотренных ст. 273 УК РФ, законодатель фактически предусматривает ответственность за совершение следующих преступлений:

1) создание вредоносных программ;

2) внесение соответствующих изменений в существующие программы;

3) использование вредоносных программ;

4) распространение вредоносных программ;

5) распространение машинных носителей с такими программами.

При расследовании создания вредоносных программ для ЭВМ или внесения изменений в существующие программы таких изменений, которые наделяют обычную программу вредоносными функциями, подлежат установлению следующие обстоятельства^[258] :

1) факт создания вредоносной программы для ЭВМ;

2) способ создания вредоносной программы;

3) ее предназначение и механизм действия;

4) место, время создания, используемое для этого программное обеспечение и компьютерная техника;

5) личность создателя вредоносной программы;

6) цель и мотив создания программы;

7) наличие или отсутствие умысла на использование и распространение данной программы;

8) размер материального ущерба;

9) причины и условия, способствующие совершению преступления.

Как правило, вредоносная программа обнаруживается в момент, когда явно проявляются последствия ее применения, либо путем сканирования пользователем компьютерной системы, носителя информации антивирусным программным обеспечением, особенно часто практикуемой при использовании чужих машинных носителей или получении электронной почты. Наряду с этим она может быть обнаружена и на оптических носителях информации, в частности путем изучения информации обложки компакт-диска.

При расследовании использования вредоносных программ для ЭВМ подлежат установлению следующие обстоятельства^[259]:

1) источник происхождения вредоносной программы;

2) личность ее создателя;

3) факт использования вредоносной программы для ЭВМ;

4) наличие вредоносных последствий, размер материального ущерба;

5) предназначение вредоносной программы и механизм ее действия;

6) причинная связь между использованием данной программы и наступившими вредоносными последствиями;

7) источник происхождения данной программы у использовавшего ее лица, кто ее создатель;

8) осведомленность лица, использовавшего программу, о ее вредоносных свойствах;

9) наличие умысла на использование данной программы;

10) мотив и цель использования вредоносной программы;

При расследовании распространения вредоносных программ

для ЭВМ и машинных носителей с такими программами подлежат установлению следующие обстоятельства^[260]:

1) факт распространения вредоносной программы для ЭВМ;

2) предназначение вредоносной программы;

3) источник происхождения данной программы у распространявшего ее лица;

4) личность создателя вредоносной программы;

5) осведомленность лица, распространяющего программу, о ее вредоносных свойствах;

6) наличие умысла на распространение данной программы;

7) размер материального ущерба;

8) мотив и цель распространения вредоносной программы;

9) причины и условия, способствующие совершению преступления.

Прежде всего, необходимо установить факты наличия конкретных правил эксплуатации ЭВМ на данном объекте.

тями .

Факты грубого нарушения правил эксплуатации ЭВМ, как правило, становятся известными, в первую очередь, непосредственным владельцам и пользователям компьютерной системы или сети после обнаружения ими отсутствия необходимой информации или существенного изменения ее, когда это уже негативно отразилось на основной деятельности предприятия, организации, учреждения.

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования, которое обычно проводится службой информационной безопасности того объекта, где это произошло; прокурорской проверки; оперативно-розыскных мероприятий. Материалы, поступившие следователю для решения вопроса о возбуждении уголовного дела, подлежат тщательному и всестороннему изучению. Следователь должен усмотреть в них основание для возбуждения уголовного дела, убедиться в наличии достаточных данных, указывающих на признаки преступления (ст. 140 УПК РФ)^{1 [261].}

Важным составным элементом модели конкретного преступления в сфере компьютерной информации является блок первоначальных следственных действий, оперативно-розыскных и организационных мероприятий, к которым относятся (пп. 11, 12 приложения 3):

1. Возбуждение уголовного дела.

2. Заполнение и предоставление в информационный центр МВД, ГУВД, УВД субъекта Российской Федерации учетных документов по форме № 1 (статистическая карточка на выявленное

преступление) и форме № 3 (статистическая карточка о движении уголовного дела)^[262].

3. Составление плана расследования.

4. Допрос заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей.

5. Решение вопроса о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях.

6. Вызов необходимых специалистов для участия в осмотре места происшествия (если он не был произведен ранее).

7. Осмотр места происшествия.

8. Проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, обнаружения следов и других вещественных доказательств.

9. Выемка и последующий осмотр средств электронновычислительной техники, предметов, материалов и документов (в том числе находящихся в электронной форме на машинных носителях), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия.

10. Допросы свидетелей (очевидцев).

11. Допросы подозреваемых (свидетелей), ответственных за данный участок работы, конкретную производственную операцию и защиту информации.

12. Обыски на рабочих местах и по месту проживания (в жилище) подозреваемых.

13. Назначение судебной компьютерно-технической, радиотехнической, бухгалтерской и иных экспертиз.

При выборе интерактивным указателем «мыши» соответствующего следственного действия на дисплей монитора выводятся методические рекомендации по производству следственного действия, после которых предусмотрена гиперссылка на электронный бланк процессуального документа, который необ-

ходимо заполнить по результатам проведенного следственного действия. Рассмотрим этот вопрос подробнее.

При выборе пользователем гиперссылки «Возбуждение уголовного дела» на дисплее отображается электронно-цифровая форма постановления о возбуждения уголовного дела и принятия его к производству, которую следователь может заполнить.

Гиперссылка «Заполнение и предоставление учетных документов» содержит следующие электронные формы:

а) статистическую карточку на выявленное преступление (форма № 1);

б) статистическую карточку о движение уголовного дела (форма № 3)^[263].

Кликнув курсором мыши на гиперссылку «Составление плана расследования», для заполнения открывается форма рекомендуемого плана следственных действий, оперативно-розыскных и иных мероприятий.

«Допрос заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей», позволяет перейти к следственному действию «Допрос потерпевшего» (рис. 9).

Рис. 9. Окно «допрос потерпевшего»

В данном окне пользователю предлагаются методические рекомендации по ведению допроса потерпевшего по преступлениям в сфере компьютерной информации. Дается определение допроса потерпевшего, стадии его производства и рекомендуемый перечень вопросов, которые необходимо ему задать^[264]. После их изучения следователь по гиперссылке переходит к электронному бланку протокола данного следственного действия и может начать его производство. При этом с помощью сервисов MS Word он может скопировать все или отдельные вопросы в текст протокола, а также иную необходимую для его заполнения информацию из других электронных документов дела (в многооконном режиме).

Гиперссылка «Решение вопроса о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях» позволяет перейти к экранной странице «Задержание преступника с поличным» (рис. 10).

Рис. 10. Окно «Задержание преступника с поличным»

Здесь приводятся криминалистические рекомендации о том, в каком случае при расследовании уголовных дел о преступлениях в сфере компьютерной информации и как тактически грамотно необходимо применять задержание преступника с поличным. Кроме того, имеются ссылки на бланки процессуальных документов, находящиеся в формате MS Word:

1) протокол задержания подозреваемого;

2) постановление о производстве личного обыска подозреваемого (обвиняемого) в случаях не терпящих отлагательства;

3) протокол личного обыска.

При выборе пользователем гиперссылки «Вызов необходимых специалистов для участия в осмотре места происшествия (если он не был произведен ранее)» осуществляется переход в окно «Состав следственно- оперативной группы» (рис. 11). Анализ материалов уголовных дел о преступлениях в сфере компьютерной информации показал, что в составе СОГ, проводившей осмотр места происшествия, чаще всего принимают участие:

- оперуполномоченный подразделения «К» или ДЭБ;

- следователь;

- следователь, оперуполномоченный подразделения «К», эксперт-криминалист, специалист в области электросвязи и компьютерных технологий;

-иные лица (п. 13 приложения 3).

Рис. 11. Окно «Состав следственно-оперативной группы»

В окне выводятся криминалистические рекомендации по особенностям формирования следственно-оперативной группы для проведения осмотра места происшествия по уголовным делам о преступлениях в сфере компьютерной информации¹.

Гиперссылка «Осмотр места происшествия» позволяет перейти на одноименную экранную страницу (рис. 12).

Рис. 12. Окно «Осмотр места происшествия»

В появившемся окне представлена информация о понятии места происшествия, тактике проведения его следственного осмотра¹; имеется ссылка для перехода к составлению протокола осмотра места происшествия в электронно-цифровом виде. Проведенное нами исследование позволило выявить типичные места происшествий по делам о преступлениях в сфере компьютерной информации:

а) место обнаружения признаков преступления;

б) места непосредственного совершения преступных деяний;

в) места подготовки (приискания) орудий преступления (документов; паролей, кодов и ключей доступа; вредоносных программ для ЭВМ; средств электросвязи; специальных технических средств для негласного получения, уничтожения, модификации, блокирования и копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети) (п. 12 приложения 3).

При выборе гиперссылки «Проведение оперативнорозыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, обнаружения следов и других вещественных доказательств» пользователь переходит в окно «Оперативно-розыскные мероприятия» (рис. 13).

Рис. 13. Окно «оперативно-розыскные мероприятия»

Здесь рекомендованы основные ОРМ, которые могут проводиться параллельно со следственными действиями по делам о преступлениях в сфере компьютерной информации. К ним относятся: опросы граждан; привлечение к розыску общественности; рассылка ориентировок; снятие информации с технических каналов связи; изъятие образцов для сравнительного исследования; проверка по учетам конкретных лиц; наведение справок.

Кликнув курсором мыши на гиперссылку «Выемка и последующий осмотр средств электронно-вычислительной техники, предметов, материалов и документов (в том числе находящихся в электронной форме на машинных носителях), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия», открывается окно, в котором дан перечень следующих действий (подп. 1, 2 п. 11 и п. 14 приложения 3):

1) осмотр ЭВМ;

2) осмотр машинного носителя информации;

3) осмотр документа на машинном носителе;

4) изъятие ЭВМ и компьютерной информации.

Данный перечень выполнен также с использованием технологии гипертекста. При выборе соответствующей позиции, на экран пользователю выводятся криминалистические рекомендации по тактике производства конкретного следственного действия. Прочитав их, следователь может перейти к производству следственного действия и оформлению процессуального доку- мента в электронно-цифровой форме (рис. 14-17)¹. Одним из разделов приводимых рекомендаций является алгоритм развернутых обстоятельств, которые необходимо отразить в протоколе осмотра названных предметов (документов).

Рис. 14. Окно «осмотр ЭВМ»

Рис. 15. Окно «осмотр машинного носителя информации»

Рис. 16. Окно «осмотр документа на машинном носителе»

Рис. 17. Окно «изъятие ЭВМ и компьютерной информации»

При выборе пользователем гиперссылки «Допрос свидетелей (очевидцев)» открывается окно «Допрос свидетелей»^[265]. В данном разделе программы рассматриваются особенности проведения допроса свидетелей (очевидцев) и содержится ссылка на электронный бланк протокола допроса свидетеля. Аналогичным образом построены и функционируют модули «Допрос подозрева-

2005. С. 248-250.

емого»^[266], «Обыск и выемка»^[267], «Назначение судебных экспертиз»^[268] - те следственные действия, которые чаще всего производятся сотрудниками органов предварительного расследования по уголовным делам о преступлениях исследуемого нами вида (пп. 11, 14, 16, 17 приложения 3).

В заключение отметим, что созданное нами в рамках настоящей диссертационной работы технико-криминалистическое средство неоднократно дорабатывалось с учетом пожеланий и замечаний практических работников, после чего оно было введено в эксплуатацию и в настоящее время эффективно используется сотрудниками семи органов предварительного расследования системы МВД России четырех субъектов Российской Федерации: ГСУ при ГУВД по Саратовской области (акт о внедрении от 03.06.2009 г.); ГСУ при ГУВД по Волгоградской области (акт о внедрении от 14.05.2009 г.); Отдела «К» УСТМ ГУВД по Самарской области (акт о внедрении от 14.09.2009 г.); СО-4 СУ при УВД по г. Волгограду (акт о внедрении от 26.01.2010 г.); СО-2 СУ при УВД по г. Волгограду (акт о внедрении от 03.02.2010 г.); СО-3 СУ при УВД по г. Волгограду (акт о внедрении от 10.02.2010 г.); СО при Краснодарском ЛУВД на транспорте (акт о внедрении от 20.10.2011 г.).