§ 3. Тактика отдельных следственных действий

■ Привлечение к расследованию специалистов. Спецификой дел данной категории является то, что с самого начала рассле­дования следователю необходимо плотно взаимодействовать со специалистами в области информационных технологий.

Специалисты в ходе следственных действий мо­гут оказать действенную помощь при пред­варительном решении следующих вопросов:

Компьютерные преступления 597

• какова конфигурация и состав ЭВМ и можно ли с помо­ щью этой ЭВМ осуществить исследуемые действия;

• какие информационные ресурсы находятся в данной ЭВМ;

• не являются ли представленные файлы с программами, зараженными вирусом, и если да, то каким именно;

• подвергалась ли данная компьютерная информация из­ менению и, если да, то какому именно;

• какие правила эксплуатации ЭВМ существуют в данной инфор­ мационной системе и были ли нарушены эти правила;

• находится ли нарушение правил эксплуатации ЭВМ в причинной связи с изменениями данной компьютерной информации и др.

■ Соблюдение правил работы с компьютерной информацией на машинных носителях. Специфической особенностью рассле­дования дел данной категории является необходимость соблю­дения правил работы с машинными носителями компьютерной информации. При планировании следственных мероприятий, связанных с исследованием компьютерной информации и ма­шинных носителей, необходимо предусмотреть меры нейтрали­зации средств и приемов, предпринимаемых преступниками с целью уничтожения вещественных доказательств.

Как правильно указывается в методических рекомендациях «Подготовка и назначение программно-технической эксперти-

598________ Методика расследования отдельных видов преступлений

зы» (Катков С.А., Собецкий И.В., Федоров А.Л. Бюллетень ГСУ МВД СССР №4, 1995), по прибытии на место проведения следственного действия следует принять меры к обес­печению сохранности информации на на­ходящихся здесь машинных носителях. Для этого необходимо:

• не разрешать кому бы то ни было из лиц, работающих на месте производства следственного действия или находя­ щегося здесь по другим причинам (в дальнейшем персо­ налу), прикасаться к работающим ЭВМ;

• не разрешать кому бы то ни было выключать электро­ снабжение объекта;

• в случае, если на момент начала действия электроснабже­ ние объекта выключено, то до восстановления электро­ снабжения следует отключить от электросети все имеющие­ ся здесь компьютеры и периферийные устройства;

• самому следователю не производить никаких манипуля­ ций с ЭВМ, если результат этих манипуляций заранее не известен;

• при наличии в помещении, где находятся ЭВМ или маг­ нитные носители информации, взрывчатых, легковос­ пламеняющихся, едких и токсичных веществ и/или мате­ риалов, как можно скорее удалить эти вещества и/или материалы в другое помещение;

• при невозможности удалить опасные материалы из по­ мещения, где находятся ЭВМ или магнитные носители информации, а также при непрекращающихся попытках персонала получить доступ к ЭВМ, принять меры для удаления персонала в другое помещение.

■ Особенности осмотров, обысков и выемок. Осмотр и обыск (выемка) особенно в начале расследования являются важней­шими инструментами установления обстоятельств расследуе­мого события. При анализе хода и результатов этих действий можно воссоздать механизм действий злоумышленников и по­лучить важные доказательства.

В любом случае изъятия с ЭВМ и машинных носителей ин­формации необходимым условием является фиксация носите­лей и их конфигурации на месте обнаружения, а также упаков­ка, обеспечивающая правильное и точное соединение в лабора­торных условиях или в месте производства следствия с участи­ем специалистов, как на месте обнаружения.

Компьютерные преступления

599

Следует иметь в виду, что конкретная программно-тех­ническая конфигурация позволяет производить с ЭВМ опреде­ленные действия и нарушения конфигурации или отсутствие данных о точной ее фиксации (так же как на месте обнаруже­ния) может повлиять на возможность выполнения на ней не только опытных действий в ходе следствия, но и на оценку в суде возможности совершения преступления. Так, тип про­граммного обеспечения, загруженного в момент следственного осмотра в ЭВМ, может показывать задачи, для которых ЭВМ использовалась. Если, например, имеется программное обеспе­чение для связи, и ЭВМ соединена с модемом, то это явно свидетельствует о возможности данной ЭВМ осуществлять связные функции и доступ к компьютерной информации.

В ходе обнаружения машинных носи­телей информации могут быть две си­туации: носители могут на момент обнаружения работать или не работать. Признаками работающей ЭВМ могут быть подключение ее проводами к сети, шум работающих внутри ЭВМ вентиляторов, мигание или горение индикаторов на пе­редних панелях системного блока, наличие на экране изобра­жения. Если ЭВМ работает, ситуация для следователя, прово­дящего следственное действие без помощи специалиста, суще­ственно осложняется, однако и в этом случае не следует отка­зываться от оперативного изъятия необходимых данных.

• определить, какая программа выполняется. Для этого не­ обходимо изучить изображение на экране дисплея и по возможности детально описать его. Иногда можно вывес­ ти изображение экрана на печать нажатием клавиши PrintScrn. После остановки программы и выхода в опера­ ционную систему иногда при нажатии функциональной клавиши F3 можно восстановить наименование вызы­ вавшейся последний раз программы;

• осуществить фотографирование или видеозапись изобра­ жения на экране дисплея;

• остановить исполнение программы. Остановка исполне­ ния многих программ осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break, либо Ctrl-Q.

600

Методика расследования отдельных видов преступлений

Часто для окончания работы с программами следует вве­сти с клавиатуры команды EXIT или QUIT, иногда дос­таточно нажать клавишу Esc или указать курсором на значок прекращения работы программы;

• зафиксировать (отразить в протоколе) результаты своих действий и реакции на них ЭВМ;

• определить наличие у ЭВМ внешних устройств-накопи­ телей информации на жестких магнитных дисках (вин­ честера) и виртуального диска;

• определить наличие у ЭВМ внешних устройств удален­ ного доступа (например, модемов) к системе и опреде­ лить их состояние (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог мо­ дифицировать или уничтожить информацию в ходе обы­ ска (например, отключить телефонный шнур);

• скопировать программы и файлы, хранимые на возможно существующем «виртуальном» диске, на магнитный но­ ситель;

• выключить подачу энергии в ЭВМ и далее действовать по схеме «компьютер не работает».

Если ЭВМ не работает, следует:

• точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ и ее периферийных уст­ ройств (печатающее устройство, дисководы, дисплей, клавиатуру и т.п.);

• точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соедини­ тельных проводов и кабелей; перед разъединением лю­ бых кабелей полезно осуществить видеозапись или фо­ тографирование мест соединения.

• разъединить устройства ЭВМ с соблюдением всех воз­ можных мер предосторожности, предварительно обесто­ чив устройства. Следует помнить, что матричные прин­ теры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования;

Компьютерные преступления_______________________________ 601

• упаковать раздельно (указать в протоколе и на конверте места обнаружения) носители на дискетах, компактные диски и магнитные ленты (индивидуально или группами) и поместить их в оболочки, не несущие заряда статиче­ ского электричества;

• упаковать каждое устройство и соединительные кабели, провода для обеспечения аккуратной транспортировки ЭВМ;

• защитить дисководы гибких дисков согласно рекоменда­ циям изготовителя (некоторые изготовители предлагают вставлять новую дискету или кусок картона в щель дис­ ковода).

Если в ходе осмотра и изъятия все же в крайнем случае по­надобится запуск ЭВМ, это следует делать во избежание запус­ка программ пользователя с помощью собственной загрузочной дискеты.

Более сложной задачей осмотра ЭВМ является поиск со­держащейся в ней информации и следов воздействия на нее. Ее решение всегда требует специальных познаний. Существует фактически два вида поиска:

первый — поиск, где именно искомая информация находит­ся в компьютере;

второй — поиск, где еще разыскиваемая информация могла быть сохранена.

Как указывалось ранее, в ЭВМ информация может нахо­диться непосредственно в ОЗУ при выполнении программы, в ОЗУ периферийных устройств и на ВЗУ. Наиболее эффектив­ным и простым способом фиксации данных из ОЗУ является распечатка на бумагу этой информации. Если ЭВМ не работа­ет, информация может находиться на машинных носителях, других ЭВМ информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ.

Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная ин-

602

Методика расследования отдельных видов преступлений

формация. При обнаружении файлов с зашифрованной ин­формацией или требующих для просмотра стандартными про­граммами ввода паролей, следует направлять такие файлы на расшифровку и декодирование соответствующим специалистам. Периферийные устройства ввода-вывода могут так же некото­рое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы специальные познания. Так же как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе ос­мотра выводить на печатающие устройства и хранить на бу­мажных носителях в виде приложений к протоколу осмотра. Изъятие данных в «почтовых ящиках» электронной почты мо­жет при необходимости осуществляться по правилам наложе­ния ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу поч­тового узла, где находится конкретный «ящик».

В ходе осмотров по делам данной категории могут быть об­наружены и изъяты следующие виды важных доку­ментов, которые могут стать вещест­венными доказательствами по делу:

• носящие следы совершенного преступления — телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по сетям ЭВМ, пароли и коды доступа в сети, дневники связи и пр.;

• со следами действия аппаратуры — всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри них в результате сбоя в работе устройства;

• описывающие аппаратуру и программное обеспечение (пояс­ нение к аппаратным средствам и программному обеспе­ чению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспече­ ния в случаях, когда таковые предоставляются изготови­ телем);

• нормативные акты, устанавливающие правила работы с ЭВМ, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал; личные документы по­ дозреваемого или обвиняемого и др.

Компьютерные преступления______________________________ 603

Не следует забывать при осмотрах и обысках о возможно­стях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах и др., рукописных, в том числе шифрованных записей и пр. В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследо­вания может возникнуть необходимость в назначении крими­налистической экспертизы для исследования документов. Дак­тилоскопическая экспертиза позволяет выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук прича­стных к делу лиц.

■ Особенности допросов причастных к делу лиц. Основ­ные тактические задачи допроса при рас­следовании дел рассматриваемой категории являются:

• выявление элементов состава преступления в наблюдав­ шихся очевидцами действиях;

• установление обстоятельства, места и времени соверше­ ния значимых для расследования действий, способа и мотивов его совершения и сопутствующих обстоятельств, признаков внешности лиц, участвовавших в нем;

• определение предмета преступного посягательства;

• определение размера причиненного ущерба;

• детальные признаки похищенного;

• установление иных свидетелей и лиц, причастных к со­ вершению преступления.

Первичное обнаружение признаков неправомерных дейст­вий посторонних лиц с компьютерной информацией осуществ­ляется, как правило, сотрудниками собственника информаци­онной системы и ее пользователями. Описание этих признаков может найти отражение в показаниях очевидцев.

Для расследования дел данной категории важно хорошо подготовиться к предстоящим допросам. Целесообразно со­брать максимально возможную в имеющемся у следствия про­межутке времени информацию о допрашиваемом лице. Для этого целесообразно обеспечить получение данных о нем с места жительства, учебы, работы, досуга. Источниками сведе­ний могут быть налоговые инспектора, работники милиции по месту жительства, коллеги по работе, соседи, знакомые. Важ­ные данные могут быть получены из личных дел по месту рабо-

604

Методика расследования отдельных видов преступлений

ты. Из централизованных учетов могут стать известны сведения о судимости и данные из архивных уголовных дел. В ходе такой подготовки могут быть выяснены сведения о состоянии здоро­вья и психики допрашиваемого, наличии у него специальных и профессиональных навыков и другие существенные данные.

Настойчивый поиск данных о личности допрашиваемого обычно приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию, а также дает основание для отнесения лица к соответствующей референтной группе, обобщенное мнение которой может быть использовано для правомерного психологического воздействия при допросе. Эти данные позволят сделать допрос более эффективным.

Проблемой фиксации показаний по делам о преступлениях в области компьютерной информации является их «перегрузка» специальной терминологией и жаргонной лексикой. Целесооб­разно в протоколах более подробно акцентировать внимание и фиксировать значения терминов, используемых допрашивае­мым при описании известных ему фактов. При описании кон­фигураций систем или схем движения информации могут ока­заться крайне полезными рукописные схемы, составляемые допрашиваемым и приобщаемые к протоколу допроса.

При расследовании данной категории дел осуществляются и иные следственные действия (опознание, очная ставка и т.п.). Тактика их проведения определяется с учетом конкретных об­стоятельств дела и характеристики лиц — непосредственных участников этих следственных действий. Существенной специ­фикой отличается, конечно, назначение и проведение экспер­тиз. По этой категории дел зачастую назначаются криминали­стические экспертизы (техническое исследование документов, почерковедческая, дактилоскопическая и др.), однако наиболее характерна и специфична — программно-техническая экспертиза, назначаемая в целях исследования компьютеров, их комплектую­щих, периферийных устройств и программного обеспечения.

Процесс накопления эмпирических данных о способах рас­следования преступлений в области компьютерной информа­ции продолжается. Личная инициатива следователя в примене­нии многообразия предлагаемых криминалистикой тактических приемов и аккуратность работы с вещественными доказатель­ствами — залог успешного расследования.