Мудрый Юрист

Использование компьютерных доказательств при расследовании убийств

Иванов Н.А., руководитель Научно-экспертного центра Омского государственного технического университета, кандидат юридических наук.

В статье рассматриваются вопросы использования информации, зафиксированной на машинных носителях средств компьютерной техники, в качестве доказательств при расследовании убийств при отсутствии иных явных доказательств.

Начиная с семидесятых годов прошлого столетия сотрудники правоохранительных органов все чаще и чаще стали сталкиваться с тем, что при расследовании различных видов уголовных дел в качестве доказательств стала фигурировать компьютерная информация (computer information), зафиксированная на переносимых или встроенных в средства компьютерной техники машинных носителях. За рубежом подобная информация при ее использовании в рамках уголовного судопроизводства получила условное название - "компьютерные доказательства" (computer evidence), которые J.W. Chisum определял как "любые зафиксированные (записанные) или переданные с помощью компьютера данные, которые доказывают или опровергают событие преступления, содержат сведения о его подготовке или намерении его совершить, или устанавливают алиби подозреваемого" <1>.

<1> Chisum J.W. Crime Reconstruction and Evidence Dynamics / Presented at the Academy of Behavioral Profiling Annual Meeting. Monterey, CA. 1999.

Сотрудники правоохранительных органов в подавляющем большинстве случаев связывают компьютерные доказательства только с расследованием так называемых компьютерных преступлений. Однако в современных условиях компьютерные доказательства могут быть использованы при расследовании широкого круга противоправных действий, в т.ч. и при расследовании убийств.

В настоящей статье автор приводит несколько примеров, которые показывают важность использования таких нетрадиционных доказательств, но для того, чтобы понять, что и как может быть использовано при предварительном расследовании убийств, необходимо привести краткую классификацию компьютерных доказательств.

Основанием разделения компьютерных доказательств на группы будет являться их функциональное назначение. Первой группой, без которой в принципе невозможна эксплуатация любой компьютерной техники, будут являться программы (операционные системы и программы прикладного назначения). Ко второй группе относятся электронные документы, содержащие текст, изображения или их сочетание, создаваемые с помощью программно-аппаратных средств компьютерной и периферийной техники. К третьей группе компьютерных доказательств будет относиться информация, которая создается и фиксируется при работе пользователя с программно-аппаратными средствами микропроцессорной техники в специальных служебных файлах, так называемых журналах, файлах историй, временных файлах и т.п. Эта группа информации в подавляющем большинстве случаев создается автоматически вне зависимости от желания пользователя и имеет особое значение при обнаружении следов преступлений или, наоборот, при доказательстве алиби подозреваемого. К четвертой группе будут относиться удаленные (стертые) файлы, целенаправленно удаляемые пользователем средств компьютерной техники или автоматически удаляемые вне зависимости от воли пользователя, а также фрагменты подобных файлов.

Пример 1. Вечером в пятницу 15 ноября 2004 г. в своем рабочем кабинете был убит руководитель одной коммерческой фирмы. Тело было обнаружено уборщицей только в понедельник (18 ноября) утром. Следствие в первую очередь интересовало время совершения преступления, поскольку это могло установить круг лиц, находившихся в это время в здании коммерческой фирмы. На рабочем столе погибшего находился ноутбук, и поэтому следователь первоначально поставил перед экспертами, специализирующимися в области исследования информационных компьютерных средств, вопрос о времени выключения компьютера 15 ноября 2004 г. При проведении исследования эксперты установили, что представленный на исследование ноутбук был выключен 15 ноября 2004 г. в 21.15. Но кто это сделал - сам директор или его убийца, - непосредственно по компьютерным доказательствам установить не представлялось возможным. Анализируя информацию о работе пользователя, сохранившуюся в служебных файлах, эксперты установили, что кто-то включал ноутбук уже после смерти руководителя 16 и 17 ноября, при этом не заметить труп было невозможно (тело лежало в нише рабочего стола). Эксперты установили точные временные отметки включения и выключения ноутбука 16 и 17 ноября. Фрагмент журнала работы с ноутбуком показан на нижеприведенной иллюстрации (не приводится).

Также экспертами было установлено, что, в частности, 16 и 17 ноября просматривались и удалялись отдельные файлы, содержащие сведения о коммерческой деятельности фирмы, а также осуществлялись получение и передача электронной почты.

По показаниям охранников, в субботу и воскресенье на работу выходил только один из сотрудников данной организации, но последний утверждал, что работал в своем кабинете и в кабинет руководителя не заходил. Но при этом временные отметки работы с ноутбуком потерпевшего полностью совпадали со временем нахождения подозреваемого сотрудника в здании организации. В дальнейшем с клавиатуры и кнопки включения ноутбука были сняты отпечатки пальцев, которые полностью совпали с отпечатками пальцев подозреваемого.

Пример 2. В одной из квартир было совершено тройное убийство (гр-н А., его мать и бабушка). Убийца (или убийцы) с целью сокрытия следов преступления подожгли квартиру. Во время пожара и затем при его тушении практически полностью были уничтожены все возможные следы совершения данного преступления. Следователь, проводивший расследование данного уголовного дела, изъял с места происшествия системный блок персонального компьютера, который в значительной степени был поврежден в результате высокотемпературного воздействия (см. иллюстрацию - не приводится).

Но при исследовании экспертами было установлено, что накопитель на жестких магнитных дисках (в обиходе - винчестер) является работоспособным. Следователь ориентировал экспертов на поиск любой информации, которая может оказаться полезной для целей расследования этого тяжкого преступления.

Просматривая и анализируя файлы, созданные или записанные пользователем представленного на исследование системного блока, сведения о работе с какими-либо программами, эксперты обнаружили файлы полученных электронных сообщений, в которых содержались угрозы убийством гр-ну А. из-за невозврата крупной суммы денежных средств, занятой в долг. В дальнейшем по электронному адресу был установлен отправитель этих сообщений, и уголовное дело было раскрыто.

Для целей расследования убийства (и не только их) большое значение может иметь не только информация о передаче или приеме электронных сообщений посредством одного из сервисов информационной сети Интернет, но и то, какую информацию ищет пользователь в глобальной информационной Паутине. Так, например, анализом информационных запросов на компьютере американца Р. Дерола было установлено, что он задолго до доказанного факта убийства им своей жены с маскировкой под несчастный случай искал в сети Интернет сведения на темы: "убивают + супруг (супруга), "несчастный случай + смертельные случаи" и "удушье", "убийство" и т.п. <2>.

<2> Johnson T. Man searched web for way to kill wife, lawyers say // Seattle Post-Intelligencer, 2000, June 21. URL: http://www.seattle-pi.nwsource.com/local/murd21.shtml.

Вышеприведенные примеры достаточно четко показывают возможность использования компьютерных доказательств при расследовании убийств при отсутствии других традиционных следов преступлений. Но при этом необходимо помнить, что компьютерные доказательства могут содержаться не только на машинных носителях, установленных в средствах компьютерной техники, но и на переносимых машинных носителях (оптических дисках, так называемых флэшках и т.п.); также доказательствами могут служить информация, циркулирующая (передаваемая) или размещенная в локальных и глобальных компьютерных сетях, информация, хранимая у посредников передачи данных (операторов сотовой связи и провайдеров сети Интернет), информация, хранимая у операторов локальных и глобальных навигационно-мониторинговых систем.

И на основе этих компьютерных доказательств могут устанавливаться мотивы преступлений, определяться место и время их совершения, местонахождение преступников и их жертв, они даже могут содержать информацию о намерении совершить то или иное противоправное действие.

В современных условиях, работая на месте преступления или по месту работы или проживания подозреваемых, следователи должны быть обязательно ориентированы не только на изъятие традиционных видов доказательств, но и на изъятие всех типов носителей машинной информации, аппаратных средств цифровой техники, которые потенциально могут содержать доказательственную информацию. Если этого не сделать при проведении первоначальных следственных действий, то помимо потерянного времени можно впоследствии и вообще лишиться этой группы доказательств, поскольку они могут быть легко уничтожены без какой-либо возможности их восстановления.

И если даже информация на машинных носителях и не содержит сведений о событии и составе расследуемого преступления, она зачастую может оказаться полезной для целей предварительного или судебного расследования уголовных дел. Так, например, наличие на машинных носителях тех или иных программ прикладного назначения может характеризовать уровень компьютерной грамотности лица, у которого аппаратные средства цифровой техники были изъяты. Или наличие на машинных носителях программ безопасного (полного) удаления файлов и сведений об их запуске может свидетельствовать о том, что пользователем удалялась информация, доступ к которой не должны были получить посторонние лица, в т.ч. и оперативно-следственные работники. В некоторых случаях информация на машинных носителях может свидетельствовать и о невиновности лица, подозреваемого в совершении преступления <3>.

<3> Иванов Н.А. Применение специальных познаний при проверке "цифрового алиби" // Информационное право. 2006. N 4. С. 31 - 33.