Осмотр носителей электронной информации на наличие виртуальных следов (осмотр компьютерной техники). 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Осмотр носителей электронной информации на наличие виртуальных следов (осмотр компьютерной техники).



В соответствии с правилами ст. 176 УПК РФ, осмотр места происшествия производится в целях обнаружения следов преступления, выяснения других обстоятельств, имеющих значение для уголовного дела. В силу ст. 177 УПК РФ, обнаружение, фиксация и изъятие виртуальных следов киберпреступления сопряжены с временными и техническими трудностями, в связи с чем выделены в особые следственные действия, направленные на получение виртуальной информации. При расследовании преступления необходимо распознать и фиксировать не материальные объекты, а кибернетическое пространство, образованное средствами вычислительной сети, доступным сегментом локальной вычислительной сети, глобальной сети Интернет и цифровыми носителями компьютерной информации1.

При производстве осмотра места происшествия возникает необходимость осмотра информационных объектов задействованных в преступлении.

Осмотр места совершения преступления в киберпространстве должен обязательно проводиться в связи с необходимостью обнаружения виртуальных следов. Виртуальные следы, как отмечалось различными учёными, не подлежат непосредственному восприятию человеком. Для их восприятия требуется специальное аппаратное обеспечение и определённые подготовительные действия.

Следователи при производстве осмотра места происшествия сталкиваются с криминальным противодействием. Как справедливо отмечают А. А. Васильев и К. Е. Дёмин, «при проведении осмотра места происшествия необходимо учитывать возможное применение «виртуального противодействия» со стороны преступника или организованной группы».

Преступник всеми усилиями будет препятствовать установлению обстоятельств совершенного им преступления в связи с тем, что изначально преступление спланировано и совершено так, чтобы оно не было выявлено. Поэтому следователь должен, по возможности, обеспечить тайну проведения осмотра места происшествия при расследовании киберпреступлений. Однако, сохранить тайну достаточно сложно в связи с тем, что преступники, будучи опытными пользователями и пользователями-специалистами, обладают высоким интеллектуальным уровнем и могут выявить постороннее вмешательство в их преступную деятельность. А. А. Косынкин верно подмечает, что для успеха преодоления противодействия расследованию преступлений в сфере компьютерной информации необходимо выполнение и иных требований по обеспечению тайны проводимых действий.

Он выделяет следующие требования, которых необходимо придерживаться и при расследовании киберпреступлений:

– ограничить, а в отдельных случаях сделать невозможным, вход и выход с компьютеров, на которых имеется информация;

– продолжать деятельность в глобальной сети с тем, чтобы не привлекать к действиям, направленным на расследование преступления, излишнего внимания;

– определить последовательность действий, направленных на расследование преступлений, так, чтобы действия по отношению к лицам, по поводу которых есть сомнения, что они будут хранить тайну, были совершены в последнюю очередь, лишь после того, когда будет в основном сформирована доказательственная база;

– следственные действия, связанные с изъятием или выемкой, проводить в то время, когда можно избежать присутствия большого количества очевидцев;

– к проведению следственных действий в качестве понятых желательно привлекать лиц, не связанных с деятельностью конкретного юридического лица, или, если это физическое лицо незнакомо последнему;

– осуществлять постоянный контроль за всеми исходящими через посред-ство глобальной компьютерной сети сообщениями из конкретного подразделения, группы, занятой расследованием конкретного преступления в сфере компьютер-ной информации;

– выявить дефекты в системе защиты информации в компьютере (компью-терах), принадлежащих потерпевшему;

– выявить скрытые угрозы для системы информации, хранящейся на ком-пьютере, на котором была изменена или уничтожена информация1.

Для того чтобы следователь был уверен в сохранении следов и необходимой информации по преступлению и мог избежать уничтожения или повреждения ис-комой информации, необходимо чётко спланировать рассматриваемое следствен-ное действие, а также подготовиться к нему.

Для эффективного проведения осмотра компьютерной техники, если это возможно, следователю необходимо провести подготовительные мероприятия. Необходимо изучить схему расположения удалённых терминалов и сетей и связи между ними, а также выяснить наличие электронных охранных средств.

Возникновение сложных ситуаций во время осмотра компьютерной техники при расследовании киберпреступлений вполне возможно. При отсутствии необходимых знаний при проведении осмотра велика вероятность утраты важнейшей информации в компьютерном устройстве. Именно это обусловливает необходи-мость привлечения специалиста-программиста, который может профессионально 137

 

произвести работу по извлечению необходимой, криминалистически значимой компьютерной информации, расшифровать файлы, которые содержат доказательственную базу данных, и найти, а также извлечь прочие виртуальные следы.

Однако, случаются ситуации, когда следователь, в силу каких-либо объективных причин или отсутствия у него достаточного опыта и необходимых знаний, старается произвести осмотр компьютерной техники самостоятельно, недооценив сложности данного следственного действия. Не приглашая специалиста или не давая ему возможности в полной мере проявить свои профессиональные навыки при проведении рассматриваемого следственного действия, следователь рискует допустить грубые ошибки при выявлении виртуальных следов, вплоть до их уничтожения.

Для обнаружения виртуальных следов должен быть проведён осмотр технического средства, материального носителя компьютерной информации с целью обнаружения типовыми стандартными средствами и приёмами виртуальных следов с последующим изготовлением копии информационного содержания носителя и назначения экспертного исследования. В связи с этим следователь должен позаботиться о материально-техническом обеспечении осмотра, что позволит собрать максимальное количество информации, относимой к расследованию преступления.

К стандартным средствам и приёмами для обнаружения виртуальных следов можно отнести:

– специальные программы: например, из файла данных, записанного в фор-мате *jpg (формат хранения изображений) по специальному алгоритму отрисовывается изображение;

– программно-аппаратные средства для криминалистического исследования компьютерных носителей информации «EnCase Forensic Edition»: это программ-ное обеспечение сбора и анализа компьютерных данных, работающее в среде Windows, предназначенное для криминалистического исследования компьютер-ных носителей информации, основанное на международных спецификациях и требованиях, предъявляемых к деятельности правоохранительных органов;

– технические средства: Мобильный комплекс по сбору и анализу цифровых данных «UFED»; Мобильный подавитель работы сотовых телефонов «Мозаика+» и пр.

Если следователь посчитает нужным привлечь понятых для осмотра места происшествия киберпреступления, то они должны обладать знаниями и являться сами пользователями компьютерной техники.

После окончания работы по выявлению и изъятию материальных следов (был рассмотрен ранее), следователь вместе со специалистом приступает к осмот-ру компьютера и киберпространства, задействованного в совершении киберпре-ступления. Необходимо посмотреть, в каком состоянии находится компьютер. В случае, если компьютер выключен, его необходимо оставить в выключенном со-стоянии, для того чтобы избежать возможного уничтожения информации. Необ-ходимо осмотреть общий внешний вид компьютера (на наличие на нем: механи-ческих повреждений; пометок, специальных знаков, пломб и прочего). Устано-вить с участием специалиста: вид, назначение и коммуникационные возможности компьютера.

Осмотр работающего компьютера должен начинаться с осмотра изображе-ния на экране дисплея. Зачастую на экране отображается информация об исполь-зуемой программе (текстовый редактор, пользовательская программа и пр.).

Среди учёных ведётся дискуссия о необходимости фиксации этого изобра-жения в протоколе и на фото- и видеосъемке. А. И. Дворкин отмечает, что необ-ходимо осмотреть изображение на экране дисплея и детально описать его (произ-140

 

вести фотографирование или видеозапись)1. Однако, противоположного мнения придерживается М. М. Менжега, который не рекомендует фиксировать изображе-ния на экране в связи с большой затратой на это времени и угрозой уничтожения виртуальных следов2.

1 См. подробнее: Дворкин, А. И. Осмотр места происшествия: практическое пособие. М.: Юрист: Библиотека следователя, 2001.

2 Менжега, М. М. Методика расследования создания и использовании вредоносных программ для ЭВМ. М.: Юрлитинформ, 2010. С. 96.

3 Также следует отметить, что современное программное обеспечение компьютеров с помощью стандартных средств (напр., кнопка клавиатуры Print Screen (иногда она называется PrntScrn, PrtScn, PrtScr или PrtSc) или специальной программы позволяет скопировать снимок всего экрана компьютера в буфер обмена, после чего его возможно сохранить на носителе либо рас-печатать на принтере.

Считаем целесообразным придерживаться обоих мнений, т. е. по предвари-тельному согласованию со специалистом о ценности информации, выводимой на экран компьютера, нужно описывать экран в случае, если для расследования это будет необходимо3, либо не описывать экран, если описание не принесет никакой дополнительной и важной информации для расследования.

Далее следователь, с участием специалиста, в случае, если на компьютере запущена не относящаяся к киберпреступлению программа, то она останавливается. Специалист выясняет, какая операционная система (её версия) установлена на ком-пьютере, какие используются протоколы связи, службы доступа к файлам и сети (локальной сети и (или) Интернет). Исследует всю информацию на компьютере и в той части киберпространства, которое было задействовано в совершении киберпре-ступления, которая может относиться к расследуемому преступлению. Затем обна-руженные виртуальные следы, электронные документы и иную значимую информа-цию для дела, специалист фиксирует и изымает. При необходимости, если это реко-мендует специалист, может изыматься весь компьютер или компьютерный блок.

2.3.2 Обыск и выемка при расследовании киберпреступлений

Общие основания и порядок проведения обыска и выемки содержаться в ст. ст. 182 и 183 УПК РФ. Так, согласно ст. 182 УПК РФ, основанием производства обыска является наличие достаточных данных полагать, что в каком-либо месте или у какого-либо лица могут находиться орудия, оборудование или иные сред- 141

 

ства совершения преступления, предметы, документы и ценности, которые могут иметь значение для уголовного дела. И в соответствии со ст. 183 УПК РФ опреде-лённые предметы и документы, имеющие значение для уголовного дела, при необходимости могут быть изъяты.

При расследовании киберпреступлений при производстве следственных действий, направленных на получение виртуальной информации, проведение обыска и выемки имеет свои особенности.

Результаты анализа уголовных дел свидетельствуют о том, что в 30 % слу-чаев при расследовании киберпреступлений проводился обыск.

Производство обыска (выемки) при расследовании рассматриваемых пре-ступлений, связано с получением доказательств способа совершения преступле-ния, обусловленного использованием компьютерной техники и телекоммуника-ционных сетей. Таким образом, главной целью производства обыска при рассле-довании киберпреступления является обнаружение и изъятие компьютерной тех-ники, на которой остались следы киберпреступления, компьютерной информации, касающейся как самого киберпреступления, так и лиц, совершивших это преступление (информация об их нахождении или перемещении), предметы, являющиеся результатом (продуктом) преступления (например, контрафактные компьютерные программы) и (или) документы, содержащие важную информацию для дела (например, квитанции; блокнот с личными записями; документы о переводе, об-наличивании денежных средств и прочее).

Результативность обыска (выемки) при расследовании киберпреступлений во многом обусловлена тщательной подготовкой к его производству. Согласно проведённому анализу уголовных дел, в подготовке к обыску при расследовании киберпреступлений были выявлены особенности1.

Так, на подготовительном этапе обыска (выемки) следователю необходимо:

1. Проанализировав исходную информацию (сведения), определить вид, со-держание компьютерной информации, предположительно находящейся у пре-ступника; выяснить, на каких материальных носителях (например, жёсткий диск, флэш-карта) может храниться искомая информация; какая компьютерная техника (например, персональный компьютер, смартфон, планшетный компьютер, ноут-бук, плеер и т.п.), относящаяся к совершенному киберпреступлению, может нахо-диться в месте обыска.

2. Собрать информацию о месте проведения обыска (выемки): точный адрес этого места; характеристика строения; планировка помещений; есть ли телефон-ная связь, работающий модем; есть ли локальная и (или) глобальная сети; под-ключена ли беспроводная сеть Wi-Fi; соединена ли компьютерная техника между собой локальной сетью; где находится система электропитания; место прокладки телекоммуникационных кабелей.

Эту информацию можно получить как из материалов уголовного дела, так и из иных источников, например, для выяснения информации о подключении к те-лекоммуникационным услугам (телефонная сеть, сеть Интернет, беспроводная сеть Wi-Fi, локальная сеть и прочее), можно обратиться к оператору связи, об-служивающему интересующий адрес.

3. Изучить личность обыскиваемого и лиц, проживающих либо работающих совместно с ним в одном помещении. Важно получить информацию о его навы-ках работы с компьютерной техникой и телекоммуникационными сетями, профессиональных знаниях, о месте работы и должности (это может стать ключевым элементом, если интересующие лица являются, например, провайдером интернет-услуг, оператором или сотрудником учреждений, предоставляющих телекомму-никационные услуги, системным администратором, специалистом по обслужива-нию компьютерных сетей). При изучении данной информации следователь смо-жет заранее предугадать возможное (в том числе и «интеллектуальное») противо-действие со стороны лиц, находящихся в месте проведения обыска (выемки).

4. Подготовить материально-техническое обеспечение, что предварительно со-гласовывается со специалистом, который будет оказывать содействие при производ-стве обыска. При обыске могут понадобиться следующее материально-техническое обеспечение: ноутбук, необходимые компьютерные программы (например, антиви-русные программы; программы по созданию образа оперативной памяти); мобиль-ный комплекс по сбору и анализу цифровых данных «UFED» (применяется для из-влечения, декодирования и анализа данных с различных мобильных устройств: мо-бильных телефонов, смартфонов, планшетных компьютеров и телефонов с микро-схемами китайского производства); мобильный подавитель работы сотовых телефо-нов «Мозаика+» (Россия), предназначенный для блокировки работы подслушиваю-щих устройств и блокирования работы телефонов мобильной связи в пределах осматриваемой территории, а также для блокирования передачи данных с помощью устройств, работающих в стандартах «Bluetoth» и «Wi-Fi». 144

 

5. Подобрать участников обыска (выемки). Обязательными участниками про-изводства обыска при расследовании киберпреступлений являются специалист и по-нятые. Специалиста следователь должен подобрать, исходя из цели обыска (подроб-нее подбор специалиста был рассмотрен ранее). Понятые должны быть подобраны с учетом наличия у них навыков работы с компьютерной техникой и телекоммуника-ционными сетями. Понятыми, например, в этом случае могут стать студенты фа-культетов компьютерной инженерии, вычислительной математики и кибернетики.

После выполнения всех подготовительных действий следователю необхо-димо незамедлительно приступить к производству обыска (выемки).

По прибытии на место обыска и выемки, войдя в помещение, следователь должен ознакомить обыскиваемого с постановлением и судебным решением о производстве обыска (выемки) и предложить добровольно выдать искомые пред-меты. В случае отказа следователю необходимо всех лиц, находящихся в обыски-ваемом помещении, собрать в одном месте и незамедлительно запретить доступ к компьютерной технике (компьютер, ноутбук, смартфон, планшетный компьютер, плеер и прочее) и телекоммуникационным сетям.

Поисковые мероприятия при производстве обыска (выемки) делятся на две стадии: обзорную и детальную. При производстве обзорной и детальной стадий сле-дователь должен придерживаться как общих тактических положений производства обыска (выемки), так и учитывать отдельные специфические особенности, присущие киберпреступлениям.

Основываясь на проведённом анализе уголовных дел и научной литературы, были выделены особенности производства обыска(выемки) при расследовании киберпреступлений.

На обзорной стадии следователю необходимо:

1. Провести осмотр всего помещения. В связи с тем, что искомый объект находится в форме компьютерной информации, в первую очередь нужно обратить внимание на компьютерную технику, находящуюся в помещении, на ее располо-жение, состояние (включена или выключена), а также на состояние телекоммуни-кационных сетей. При осмотре помещения следует произвести поиск портатив-ных запоминающих устройств (флэш-карты, внешний жёсткий диск), а также за-145

 

маскированных высокотехнологичных продуктов маленького размера, которые тоже могут являться носителями компьютерной информации (напр., кулон, часы, серьги).

2. Необходимо определить объединён (-ы) ли компьютер (-ы) в локальную сеть с другими компьютерами, а также подключён (-ы) ли он (-и) к другим телеком-муникационным сетям. Если в обыскиваемом помещении компьютеров несколько, и они соединены телекоммуникационной сетью любого уровня технической и логиче-ской организации, с помощью специалиста необходимо, определить какой из ком-пьютеров является управляющим (базовым) и начать обыск с него.

3. С помощью специалиста на осматриваемом компьютере (если он нахо-дится во включённом состоянии, возможно «спящем» режиме) необходимо: про-верить наличие средств защиты информации, вирусных программ и удалённого доступа. В случае их наличия, следует отключить специальные средства защиты информации (в особенности те, которые автоматически уничтожают всю инфор-мацию при несанкционированном доступе), а также блокировать на компьютере удалённый доступ, т. к. он на компьютере, содержащем искомую следователем информацию, поможет преступникам не только ее уничтожить, но и произвести с компьютером и информацией, содержащейся в нем, любые действия, не подходя к обыскиваемому компьютеру. Так, например, с помощью программы удалённого управления LiteManager Pro преступник, находясь в любом месте, может управ-лять питанием обыскиваемого компьютера (с помощью данного режима можно выключить, перезагрузить или включить компьютер функцией Wake-On-LAN; отключить или включить монитор и отправить его в «спящий» режим); управлять и просматривать рабочий стол обыскиваемого удалённого компьютера; удалённо запускать программы на обыскиваемом компьютере; блокировать клавиатуру и экран обыскиваемого компьютера; управлять файловой системой и осуществлять другие действия.

4. При осмотре компьютера, определить: какая операционная система уста-новлена: какие были выполнены операции и какие использовались программы, начиная с включения компьютера (в случае, если он был включён). Изображение 146

 

на экране компьютера необходимо снять на видео (либо с помощью скриншота), в случае необходимости, выполняемые программы остановить.

На детальной стадии обыска при расследовании киберпреступлений следо-вателю необходимо:

5. При осмотре работающего компьютера: с помощью специалиста в случае, если нет угрозы уничтожения компьютерной информации, следует провести поиск компьютерной информации, имеющей значения для расследуемого киберпреступле-ния, в осматриваемом компьютере. Поиск проводится, исходя из известных сведе-ний об искомой компьютерной информации. Искомая информация в компьютере может находиться на жёстком диске и в оперативной памяти. Если компьютерная информация, касающаяся расследуемого киберпреступления, найдена, то необходи-мо определить, где именно она находится.

После проведения осмотра компьютера он по всем правилам выключается, упаковывается и изымается.

При осмотре неработающего компьютера: зафиксировать его местораспо-ложение, а также (если есть) его периферийных устройств; определить и зафикси-ровать соединения компьютера с телекоммуникационными сетями, периферий-ным оборудованием и иными устройствами; разъединить устройства с компьюте-ром и подготовить для упаковки и изъятия.

6. При обнаружении на месте обыска (выемки) мобильного телефона, смартфона или планшетного компьютера для поиска в них нужной информации, относящейся к расследуемому преступлению, совместно со специалистом, можно применить мобильный комплекс по сбору и анализу цифровых данных «UFED».

С помощью этого мобильного комплекса можно извлекать данные на логиче-ском уровне из большого количества устройств, таких как BlackBerry, iOS, Android, Nokia, Symbian, Windows Phone, Palm и телефонов на базе китайских чипсетов, из-влекать журналы звонков, телефонную книгу, данные телефона (IMEI/номер теле-фона), SMS и MMS сообщения, фото- и видеоизображения, звукозаписи, чаты, па-роли, разблокировать пароль обыскиваемого устройства одним нажатием, выпол-нять быстрый поиск и фильтрацию данных по дате, времени, типу связи, лицу, ис-пользовать контрольные списки, просматривать события в хронологическом поряд-147

 

ке и по карте, а также извлечь данные приложений и частного пользовательского облака. Мобильный комплекс по сбору и анализу цифровых данных «UFED» упрощает поиск информации в мобильных устройствах и, тем самым, во время производства обыска даёт возможность проверить наличие искомой информации и, следовательно, необходимость изъятия мобильного устройства.

В случае, если нет возможности предварительно исследовать информацию в мобильном устройстве, следователь, по имеющимся у него сведениям, принима-ет решение о необходимости его изъятия.

После производства обыска (выемки) вся обнаруженная компьютерная тех-ника, содержащая искомую информацию по расследуемому киберпреступлению, перед изъятием должна быть правильно упакована и опечатана. По окончании обыска (выемки) составляется протокол следственного действия и описи к нему.

2.3.3 Следственный эксперимент при расследовании киберпреступлений

В соответствии со ст. 181 УПК в целях проверки и уточнения данных, имеющих значение для уголовного дела, а также для установления их достоверности и получения новых доказательств, следователь вправе произвести следственный эксперимент путём воспроизведения действий, а также обстановки или иных обстоятельств определённого события. При этом проверяется возможность восприятия каких-либо фактов, совершения определённых действий, наступления какого-либо события, а также выявляются последовательность происшедшего события и механизм образования следов.

При расследовании производство данного следственного действия необходимо в случаях: сомнения в знаниях подозреваемого (обвиняемого) в области коммуникационно-телекоммуникационных систем и компьютерной техники; необходимости проверки времени подготовки, совершения и сокрытия преступления; получение доказательств совершения конкретным лицом преступления и именно с использованием определённой компьютерной технологии.

Виды следственного эксперимента проводимого при расследовании киберпрестулений, варьируются и зависят, прежде всего, от способов совершения преступления. В практике при расследовании анализируемых преступлений проводятся следующие эксперименты: по проверке возможности подключения компьютерной техники и совершения действий с использованием определённой криминальной (компьютерной) технологии; по проверке подбора паролей, идентификационных кодов и установлению периода времени для данного подбора; по проверке возможности подключения к компьютерной сети и использования криминальной технологии; по проверке возможности электромагнитного перехвата; по установлению периода времени, необходимого на отключение технических средств защиты информации; по установлению промежутка времени, необходимого для модификации, копирования компьютерной информации; по проверке возможности со-вершения определённых действий в киберпространстве в одиночку и другие. 149

 

Перед производством следственного эксперимента следователю необходимо осуществить подготовительные мероприятия:

1. Необходимо выяснить какие условия были в момент совершения киберпреступления и воссоздать их.

В связи с тем, что киберпреступления совершаются при помощи компью-терной системы, сети и прочего, следователю необходимо выяснить характеристику компьютерной системы, задействованной в совершении киберпреступления; какая была использована сеть при совершении киберпреступления; какое программное обеспечение было использовано преступником и другие обстоятельства, которые можно отнести к совершению расследуемого киберпреступления.

Главным из условий сходства с моментом совершения преступления при проведении следственного эксперимента при расследовании киберпреступлений является использование подлинного или аналогичного технического средства, ко-торое было использовано в совершении расследуемого киберпреступления.

Реконструкция обстановки в данном случае не настолько важна, как техни-ческая составляющая. Как отмечалось ранее, киберпреступления – это преступле-ния, совершаемые в киберпространстве, поэтому зачастую физическое место нахождения преступника (помещение или улица) в момент совершения киберпре-ступления для расследования не играет никакой роли. Поэтому в реконструкции обстановки при производстве следственного эксперимента по большинству ки-берпреступлений нет необходимости. Однако, в случае, если необходимо прове-сти следственный эксперимент для проверки возможности доступа к компьютер-ной информации, связанного с проникновением преступника в помещение, где установлены средства компьютерной техники, реконструкция необходима.

2. Продумать содержание опытных действий.

Содержание опытных действий согласуется со специалистом в области тех информационных технологий, с помощью которых было совершено преступление. Специалист сможет правильно разъяснить, какие необходимо произвести действия во время следственного эксперимента, чтобы достичь преступного результата.

3. Необходимо заранее подготовить все научно-технические средства, компьютерную технику и другие технические средства, которые будут необходимы для проведения следственного эксперимента.

Все технические средства для проведения следственного эксперимента должны быть подлинными или аналогичными, они подбираются в соответствии с материалами дела и показаниями допрашиваемых лиц.

4. Следователю необходимо определить круг участников.

При производстве следственного эксперимента обязательно присутствие понятых (их необходимо подбирать с навыками работы на компьютере и в сети); переводчика (если в этом есть необходимость); педагога (если возраст участника эксперимента до 14 лет) По усмотрению следователя, в следственном действии может принимать участие обвиняемый, потерпевший, свидетель и специалист.

1 При участии в следственных действиях (в том числе и рассмотренных нами ранее) несовершеннолетнего, необходимо также руководствоваться положениями ст. 191 УПК РФ.

Необходимо отметить, что участие в данном случае специалиста обязательно. Он во время следственного эксперимента сможет пояснить следователю происходящее, если возникнут вопросы. В случае, если подозреваемый захочет ввести следователя в заблуждение (ввиду недостаточных знаний следователя в области компьютерных технологий), специалист сможет это распознать и предупредить об этом

2.3.4 Подготовка и назначение компьютерно-технической экспертизы при расследовании киберпреступлений

При расследовании киберперступленийназначаются различные судебные экспертизы. Назначение компьютерно-технической экспертизы рассматривается в данной части диссертационного исследования в качестве следственного действия, направленного на получение виртуальной информации, исходя из специфики объекта и предмета её исследования, т. к. основной формой использования специ-альных знаний по киберпреступлениям является судебная экспертиза.

Судебная компьютерно-техническая экспертиза относилась к классу судеб-ных инженерно-технических экспертиз, затем в 1996 году Е.Р. Россинской было предложено назвать экспертизу в области компьютерных технологий судебной компьютерно-технической экспертизой (СКТЭ)2. Тогда же судебная компьютер-но-техническая экспертиза была выделена в новый род экспертизы. В настоящее время существуют следующие виды компьютерно-технической экспертизы: аппа-ратно-компьютерная; программно-компьютерная; информационно-компьютерная; компьютерно-сетевая экспертиза3.

У каждого вида компьютерно-технической экспертизы свои отличительные особенности. Так, например, в рамках аппаратно-компьютерной экспертизы проводятся исследования аппаратных средств компьютерной системы – материальных носителей информации. К объектам аппаратно-компьютерной экспертизы относятся: персональные компьютеры; периферийные устройства; сетевые аппаратные средства; комплектующие.

Программно-компьютерная экспертиза – исследование программного обеспечения компьютерной системы; информационно-компьютерная – поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или созданной программами для организации информационных процессов в компьютерной системе; компьютерно-сетевая экспертиза – решение аппарат-ных, программных и информационных аспектов установления фактов и обстоя-тельств по делам (объекты функционируют в сети).

В настоящее время в рамках компьютерно-технической экспертизы формируется новый вид – компьютерно-техническая экспертиза устройств сотовой связи, к объектам исследования которой можно отнести: мобильные телефоны, смартфоны, планшетные компьютеры, sim-карты, а также комплектующие и т. п.

Однако, в настоящее время нет единого подхода как к названию компьютерно-технической экспертизы, так и к пределам компетенции экспертов. Так, например, Министерство юстиции РФ и Министерство внутренних дел России – государственные структуры, имеющие в своём составе специализированные экспертные учреждения – формально по-разному именуют в своих ведомственных документах подобные экспертизы.

В Министерстве юстиции Российской Федерации этот вопрос регулируется приказом от 27.12.2012 г. № 237 «Об утверждении Перечня родов (видов) судебных экспертиз, выполняемых в федеральных бюджетных судебно-экспертных учреждениях Минюста России, и Перечня экспертных специальностей, по которым представляется право самостоятельного производства судебных экспертиз в федеральных бюджетных судебно-экспертных учреждениях Минюста России». В данном нормативном документе для обозначения экспертизы данного рода используется термин «компьютерно-техническая экспертиза», на основании чего определяется и соответствующая экспертная специальность: 21.1 «Исследование информационных компьютерных средств», в компетенцию экспертов которой входит как разрешение вопросов в отношении аппаратной части цифровых устройств, так и в отношении программного обеспечения и данных, имеющихся на носителях ин-формации таких устройств.

В МВД России этот же вопрос регулируется приказом от 29 июня 2005 г. № 511 «Вопросы организации производства судебных экспертиз в экспертно-криминалистических подразделениях органов внутренних дел Российской Феде-рации». В указанном нормативном документе приведён перечень видов судебных экспертиз, производимых в экспертно-криминалистических подразделениях орга-нов внутренних дел РФ. Для обозначения рассматриваемого рода экспертизы ис-пользуется термин «компьютерная экспертиза», предметом исследования которой является исследование компьютерной информации, т. е. разрешение вопросов только в отношении программного обеспечения и данных, имеющихся на носите-лях информации.

Программно-компьютерная экспертиза назначается для исследования программного обеспечения компьютерной системы. Компьютерно-сетевая экспертиза - решение аппаратных, программных и информационных аспектов установления фактов и обстоятельств по делам (объекты функционируют в сети).

Информационно-компьютерная экспертиза – это экспертное исследование, направленное на поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порождённой (созданной) программами для организации информационных процессов в компьютерной системе.

Судебная компьютерно-техническая экспертиза при расследовании киберпреступлений зачастую назначается на первоначальном этапе расследования, когда уже проведены осмотр места происшествия, обыск и выемка, однако, информации для дальнейшего расследования недостаточно.

Следователь принимает решение о необходимости назначения судебной компьютерно-технической экспертизы объектов, найденных и (или) изъятых при производстве указанных следственных действий.

После принятия решения о производстве СКТЭ следователь сталкивается с проблемой указания разновидности судебной компьютерно-технической экспертизы. Уточнение разновидности компьютерной экспертизы может усложнить назначение экспертизы. В. В. Поляков, отмечает, что следователю достаточно отметить род экспертизы – СКТЭ, – а эксперт, проанализировав вопросы и оценив объекты, сам определит вид экспертизы.

Согласно ст. 199 УПК РФ необходимые материалы при назначении экспертизы направляются руководителю соответствующего экспертного учреждения. Руководитель этого учреждения сам определяет, какой эксперт будет производить экспертизу, а также решает ряд проблем, связанных как с разъяснением вопросов, которые могут быть решены экспертом в рамках назначаемой компьютерно-технической экспертизы, так и определением объёма материалов, вещественных доказательств и объектов исследования, которые необходимы эксперту для полного и всестороннего исследования с целью ответа на поставленные вопросы.

Информационное взаимодействие следователя и эксперта происходит в двух направлениях: следователь - эксперт (следователь должен обеспечить эксперта заданием и необходимой для его исполнения информацией); эксперт - следователь (эксперт передаёт информацию следователю об обстоятельствах, по которым были поставлены вопросы). Однако, если при информационном взаимодействии «следователь - эксперт» будут неточности в исходящей информации, то и обратное информационное взаимодействие будет тоже с погрешностями2.

Следующим важным элементом при назначении СКТЭ является определение следователем экспертной задачи. Она основана на тех фактических данных, которые эксперту следует установить. Экспертными задачами в СКТЭ, как и в других экспертизах, являются идентификационные задачи, которые направлены на установление единого источника происхождения исследуемого объекта, и диагностические задачи, направленные на установление технических характеристик исследуемого объекта.

Корректный перечень вопросов к СКТЭ, должен соответствовать ряду критериев:



Поделиться:


Последнее изменение этой страницы: 2016-12-30; просмотров: 2483; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 44.193.77.196 (0.073 с.)