Мудрый Юрист

Некоторые вопросы использования специальных знаний при расследовании неправомерного доступа к компьютерной информации *

<*> Egory'sheva E.A., Egory'shev A.S. Certain issues of use of special knowledge in investigation of illegal access to computer information.

Егорышева Е.А., кандидат юридических наук, доцент кафедры криминалистики Института права БашГУ.

Егорышев А.С., кандидат юридических наук, руководитель дирекции региональной координации Управления обеспечения информационной безопасности региональной сети Департамента ИБ ОАО "УРАЛСИБ".

В статье раскрывается суть и значение специальных знаний, а также рассматриваются вопросы назначения различных экспертиз при расследовании неправомерного доступа к компьютерной информации.

Ключевые слова: специальные знания, компьютерно-техническая экспертиза, аппаратно-техническая экспертиза, программно-компьютерная экспертиза.

The reveals the essence and the meaning of special knowledges, it also tackles the problems of various kinds of forensic research in investigating unauthorized access to computer information.

Key words: special knowledges, forensic research of hardware, forensic research of software.

Расследование и раскрытие неправомерного доступа к компьютерной информации (когда средства компьютерной техники используются при подготовке, совершении, сокрытии рассматриваемого преступного деяния) невозможно без использования специальных знаний в области современных компьютерных технологий <1>.

<1> Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. М.: Юрлитинформ, 2001. С. 64; Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. М.: Юрлитинформ, 2002. С. 172; Гаврилин Ю.В., Шурухнов Н.Г., Пушкин А.В., Соцков Е.А. Расследование неправомерного доступа к компьютерной информации: Научно-практ. пособие. 2-е изд., доп. и испр. М.: Щит-М, 2004. С. 61; Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М.: Горячая линия - Телеком, 2002. С. 218 - 220; Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М.: Право и закон, 2001. С. 121.

Основной формой использования специальных знаний при этом является экспертиза. Именно экспертные исследования придают изъятым аппаратным средствам, программному обеспечению и компьютерной информации доказательственное значение. В таких условиях основными задачами следователя являются поиск, фиксация, изъятие и предоставление эксперту необходимых материальных объектов - носителей информации. Причем при собирании доказательств участие специалиста обязательно, так как даже малейшие неквалифицированные действия с компьютерной техникой могут закончиться безвозвратной утратой ценной розыскной и доказательственной информации.

Видовую классификацию компьютерно-технических экспертиз большинство авторов <2> определяют, исходя из базовых типов компьютерных средств: аппаратных (технических) и программных (информационных). На основе данной классификации, как правило, выделяют следующие виды судебных компьютерно-технических экспертиз:

<2> Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования. Воронеж: Издательство Воронежского государственного университета, 2002. С. 326.
  1. аппаратно-компьютерную (аппаратно-техническую) экспертизу. Ее сущность заключается прежде всего в проведении диагностического исследования технических (аппаратных) средств компьютерной техники, определении их функциональных возможностей, фактического и начального состояния, технологии изготовления, эксплуатационных режимов и т.п. Аппаратные объекты включают следующие классы: персональные компьютеры; периферийные устройства, сетевые аппаратные средства; интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т.п.); встроенные системы на основе различных микропроцессорных контроллеров; любые комплектующие всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т.п.).
  2. программно-компьютерную (программно-техническую, программно-технологическую) экспертизу, проводимую для оценки основных функциональных свойств программного обеспечения, установленного на том или ином вычислительном устройстве. Также может изучаться целевое предназначение представленного на исследование программного обеспечения, его состояние, работоспособность, особенности функционирования и т.п.
  3. Информационно-компьютерную (информационную) экспертизу (каких-либо данных, компьютерной информации), являющуюся ключевым видом компьютерно-технических экспертиз. Она позволяет получать ценную доказательственную информацию путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Ее целью является поиск, обнаружение, восстановление, анализ и оценка данных, созданных пользователями либо программами для организации информационных процессов в компьютерной системе;
  4. Компьютерно-сетевую экспертизу (экспертизу сетевого программного обеспечения и данных). Объектами исследования могут быть как компьютеры пользователей, подключенных к сети Интернет, так и различные ресурсы поставщиков сетевых услуг (интернет-провайдеров), а также предоставляемые ими информационные услуги (электронная почта, служба электронных объявлений, телеконференции, www-сервисы и пр.).

Как отмечает А.Г. Волеводз, в системе МВД России начато производство программно-технических экспертиз, которыми могут решаться следующие задачи: а) восстановление стертых файлов и стертых записей в базах данных, уточнение времени уничтожения, внесения изменений, копирования и модификации компьютерной информации; б) установление времени ввода в компьютер определенных файлов, записей базы данных; в) расшифровка закодированных файлов и другой информации, преодоление рубежей защиты, подбор паролей; г) выяснение каналов утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных; д) выяснение технического состояния и исправности средств компьютерной техники <3>.

<3> Волеводз А.Г. Противодействие компьютерным преступлениям: Правовые основы международного сотрудничества. С. 178.

Большую помощь в исследовании аппаратных и программных средств компьютерной техники могут оказать специалисты информационно-вычислительных центров региональных управлений внутренних дел МВД России. При отсутствии соответствующих экспертов в штате судебно-экспертных учреждений в каком-либо регионе проведение компьютерно-технической экспертизы может быть поручено специалистам соответствующей квалификации из неэкспертных учреждений. Для их проведения можно привлекать сотрудников научно-исследовательских институтов, не относящихся к системе МВД, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения, их эксплуатацией и ремонтом.

По разделяемому нами мнению В.Б. Вехова, постановление о назначении компьютерно-технической экспертизы должно содержать максимально подробную описательную часть, в которой следует отразить: обстоятельства уголовного дела; сведения о лицах, причастных к совершению преступления; документы, сведения о которых могут содержаться на машинных носителях, представляемых на исследование; сведения, которые могут быть использованы в качестве "ключевых" слов при восстановлении и/или поиске экспертом информации (например, названия фирм, учреждений и организаций, фамилии клиентов, предполагаемые номера счетов и т.д.) <4>.

<4> Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: Учеб.-метод. пособие. 2-е изд., доп. и испр. М.: ЦИ и НМОКП МВД России, 2000. С. 46.

Резолютивная часть должна содержать вопросы, подлежащие разрешению. Доказательственное значение экспертного исследования, по нашему мнению, во многом зависит от формулировок вопросов, ставящихся перед экспертом. Во всех случаях они должны быть сформулированы кратко и информативно.

В связи с техническим прогрессом и цифровой революцией, суть которой заключается в нивелировании границ между бытовыми приборами, персональными компьютерами и устройствами связи, благодаря их соединению в единую цифровую систему, все больше современных электронных приборов изготавливаются на базе микропроцессоров - это контрольно-кассовые машины, мобильные телефоны, электронные записные книжки, аудио-видеоресиверы, микроволновые печи, стиральные машины, холодильники и т.д. Учитывая сказанное, мы глубоко убеждены в том, что отнесение различных технических приборов к средствам компьютерной техники является исключительно компетенцией эксперта.

Как показало изучение материалов следственной практики, при расследовании неправомерного доступа к компьютерной информации компьютерно-технические экспертизы назначались в 58,8% уголовных дел. При этом объектами исследования становились: средства компьютерной техники, при помощи которых осуществлен неправомерный доступ - в 75% случаев; средства компьютерной техники, к которым совершен неправомерный доступ - в 30% случаев; сетевое аппаратное, программное или информационное обеспечение, а также носители компьютерной информации - в 15% случаев.

Проведение компьютерно-технических экспертиз позволяло: а) установить возможность осуществления доступа с помощью представленного на исследование объекта к локальной или глобальной сети (Интернет, сети мобильной связи и т.п.) - в 70% экспертиз; б) выявить информационные следы преступления - в 55% случаев; в) определить вид последствий неправомерного доступа к компьютерной информации либо установить причастность лица к совершению преступления, либо определить механизм совершения неправомерного доступа - в результате проведения 40% экспертиз.

Компьютерно-техническая экспертиза как самостоятельный вид экспертизы сформировалась около 10 лет назад и в настоящее время находится в постоянном развитии: расширяется круг объектов экспертизы, совершенствуются методы их исследований, формируются методики проведения экспертиз. При этом состояние развития и совершенствования для данного вида экспертиз является внутренне обусловленным и диктуется научно-техническим прогрессом в сфере новых средств вычислительной техники и телекоммуникационных систем <5>.

<5> Мещеряков В.А. Преступления в сфере компьютерной информации: Основы теории и практики расследования. С. 341.

В ходе расследования неправомерного доступа к компьютерной информации, наряду с компьютерно-техническими экспертизами, в 17,6% случаев возникала необходимость проведения других видов судебных экспертиз. Так, при неправомерном доступе к контрольно-кассовым машинам целесообразно проведение судебно-бухгалтерской экспертизы с целью определения примерного размера сокрытой от налогообложения прибыли, объема материального ущерба, причиненного преступлением, и т.п. При обнаружении на месте происшествия различных записных книжек, черновых записей, схем, рукописных инструкций и т.п., содержание которых имеет существенное доказательственное значение, с целью установления автора данных записей целесообразно назначение почерковедческой экспертизы. Если в ходе проведения оперативно-розыскных мероприятий удается получить фонограммы телефонных переговоров подозреваемого (обвиняемого), для процессуального подтверждения участия в переговорах конкретного лица необходимо назначить проведение фоноскопической экспертизы.

Подчеркнем, что результаты проведения экспертиз, не относящихся к компьютерно-техническим, часто позволяют не только определить причастность (непричастность) конкретного лица к совершению преступления, но и установить важные обстоятельства механизма совершения неправомерного доступа к компьютерной информации.