Особливості організації розслідування злочинів в сфері комп’ютерної інформації і тактики проведення слідчих дій.

Розділ XVI ЗЛОЧИНИ У СФЕРІ ВИКОРИСТАННЯ ЕЛЕКТРОННО-ОБЧИСЛЮВАЛЬНИХ МАШИН (КОМП'ЮТЕРІВ), СИСТЕМ ТА КОМП'ЮТЕРНИХ МЕРЕЖ І МЕРЕЖ ЕЛЕКТРОЗВ'ЯЗКУ

Стаття 361. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку

1. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації, -

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, -

Примітка. Значною шкодою у статтях 361 – 363-1, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.

Стаття 361-1. Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут

1. Створення з метою використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, -

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, -

Стаття 361-2. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації

1. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, створеної та захищеної відповідно до чинного законодавства, -

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, -

Стаття 362. Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї

1. Несанкціоновані зміна, знищення або блокування інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї, -

2. Несанкціоновані перехоплення або копіювання інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, якщо це призвело до її витоку, вчинені особою, яка має право доступу до такої інформації, -

3. Дії, передбачені частиною першою або другою цієї статті, вчинені повторно або за попередньою змовою групою осіб, або якщо вони заподіяли значну шкоду, -

Стаття 363. Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється

Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється, якщо це заподіяло значну шкоду, вчинені особою, яка відповідає за їх експлуатацію, -

Стаття 363-1. Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку

1. Умисне масове розповсюдження повідомлень електрозв'язку, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку, -

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, якщо вони заподіяли значну шкоду.

У відповідності із Законом України «Про захист інформації в інформаційно-телекомунікаційних системах», об`єктом злочину є правові відносини у сфері захисту інформації в інформаційних (автоматизованих), телекомунікаційних та інформаційно-телекомунікаційних системах.

Відповідно до Закону:

- інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;

- інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;

- телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб.

Проаналізувавши вітчизняний і зарубіжний досвід розслідування справ вказаної категорії, ми можемо виділити відомості, якими часто володіє слідчий на початковому етапі розслідування, на їх основі можна визначити вихідні ситуації.

До них відносяться дані про: - зовнішній прояв злочинного діяння; - способи доступу до комп'ютерної системи і безпосередньо до носіїв інформації; - вид інформації, що зазнала впливу; - суб'єкта, який вчинив злочин.

У своїй сукупності, як показало дослідження, вони можуть утворювати наступні типові вихідні ситуації.

1. Встановлені факти перекручення комп'ютерної інформації, циркулюючої в кредитно-фінансовій сфері, при цьому відомості про спосіб доступу до неї і осіб, що вчинили дане діяння, відсутні – виявляється приблизно у 60 % випадків.

2. Встановлені факти злочинного заволодіння комп'ютерною інформацією, при цьому відомості про спосіб доступу до неї і осіб, що вчинили дане діяння, відсутні – 10%.

3. Встановлені факти злочинного заволодіння комп'ютерною інформацією, для доступу до неї застосовувався механічний вплив, при цьому відомості про осіб, що вчинили дане діяння, відсутні – 10%.

4. Встановлені факти перекручення комп'ютерної інформації, при цьому відомості про спосіб доступу до неї і осіб, що вчинили дане діяння, відсутні –10%. 5. Встановлені факти знищення інформації в комп'ютерній системі, при цьому відомості про спосіб доступу до неї і осіб, що вчинили дане діяння, відсутні – 5%. 6. Встановлені факти злочинного впливу на комп'ютерну інформацію (заволодіння, перекручення або руйнування), при цьому є відомості про спосіб доступу і осіб, що вчинили дане діяння, – 5 %.

Названі типові слідчі ситуації покликані допомогти слідчому правильно провести аналіз реальних обставин, які складаються з самого початку розслідування „комп’ютерних” злочинів. Результатом стане висунення слідчих версій і планування розслідування, тобто розробка переліку початкових слідчих дій, оперативно-розшукових і організаційних заходів, тактики і послідовності їх проведення.

На основі вихідних слідчих ситуацій на початковому етапі розслідування злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп’ютерних мереж можна виявити типові версії, що найбільш загально пояснюють подію, коли інформації про неї дуже мало, вона суперечлива і не цілком достовірна.

Основою виділення типових версій можна визнати мету вчинення „комп'ютерного” злочину. Аналіз емпіричного матеріалу, чисельних наукових джерел за темою (вітчизняних і зарубіжних) дозволяє виділити такі основні цілі вчинення „комп’ютерних” злочинів: а) прагнення отримання матеріальної вигоди від заволодіння чужою власністю у вигляді: грошових коштів, інших матеріальних цінностей, конфіденційної інформації; б) порушення авторських прав; в) порушення алгоритму проходження інформації, знищення або пошкодження комп'ютерних програм і баз даних, а також їх носіїв.

На основі типових вихідних ситуацій на початковому етапі розслідування злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп’ютерних мереж можна виявити типові версії, що найбільш загально пояснюють подію, коли інформації про неї дуже мало, вона суперечлива і не цілком достовірна.

Проведений докладний аналіз ознак, що виявляються з кожної визначеної нами типової мети вчинення злочинів у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп’ютерних мереж, дозволив виділити такі основні типові версії на початковому етапі розслідування:

I. „Комп'ютерний” злочин вчинений з метою отримання матеріальної вигоди. 1.1. „Комп'ютерний” злочин є посяганням на розкрадання грошових коштів. Версія 1.1.1. Комп'ютерний злочин вчинено з метою розкрадання грошових коштів групою осіб за попередньою змовою або організованою групою за участю співробітника даної установи; один з суб'єктів добре володіє навичками роботи з комп'ютерною технікою. Версія 1.1.2. Комп'ютерний злочин вчинено з метою розкрадання грошових коштів співробітником даної установи, що володіє навичками роботи з комп'ютерною технікою. Версія 1.1.3. Комп'ютерний злочин з метою розкрадання грошових коштів вчинено без участі співробітників даної установи злочинцями, один з яких володіє навичками роботи з комп'ютерною технікою.

1.2. „Комп'ютерний” злочин вчинено з метою заволодіння інформацією з обмеженим доступом. Версія 1.2.1. „Комп'ютерний” злочин вчинено з метою заволодіння інформацією з обмеженим доступом особою (особами), що мають вільний доступ до комп'ютерної техніки. Версія 1.2.2. „Комп'ютерний” злочин вчинено з метою заволодіння інформацією з обмеженим доступом особою (особами), що не має вільного доступу до комп'ютерної техніки.

1.3. Комп'ютерний злочин вчинено з метою підготовки до розкрадання матеріальних цінностей. Версія 1.3.1. „Комп'ютерний” злочин вчинено з метою розкрадання матеріальних цінностей особою (особами), що має вільний доступ до комп'ютерної техніки. Версія 1.3.2. „Комп'ютерний” злочин вчинено з метою розкрадання матеріальних цінностей особою (особами), що не мають вільного доступу до комп'ютерної техніки.

II. „Комп'ютерний” злочин вчинено з метою порушення авторських прав. Версія 2.1. „Комп'ютерний” злочин вчинено з метою порушення авторських прав особою (-ами), що має вільний доступ до комп'ютерної техніки. Версія 2.2. „Комп'ютерний” злочин вчинено з метою порушення авторських прав особою (-ами), що не має вільного доступу до комп'ютерної техніки.

III. „Комп'ютерний” злочин вчинено з метою порушення алгоритму обробки інформації, знищення або пошкодження комп'ютерних програм і баз даних, а так само їх носії в. Версія 3.1. „Комп'ютерний” злочин вчинено з метою порушення алгоритму обробки, знищення або пошкодження інформації особою, що має доступ до комп'ютерної техніки. Версія 3.2. „Комп'ютерний” злочин вчинено з метою порушення алгоритму обробки, знищення або пошкодження інформації особою, що не має доступу до комп'ютерної техніки. Версія 3.3. Знищення, пошкодження або порушення алгоритму обробки інформації сталося внаслідок збою або несправності в автоматизованій системі і не є „комп'ютерним” злочином.

IV. Вплив на комп'ютерну інформацію є наслідком вчинення злочину проти власності. Версія 4.1. Заволодіння або знищення комп'ютерної інформації сталося з необережності, що є не „комп'ютерним” злочином, а протиправним посяганням на власність.

У зв`язку з відсутністю достатньої слідчої практики в розкритті та розслідуванні злочинів у сфері комп`ютерної інформації, в оперативних співробітників та слідчих виникає багато труднощів при кваліфікації таких злочинів на стадії порушення кримінальної справи.

При плануванні і здійсненні оперативнорозшукових заходів треба враховувати багато факторів, які вказують на підготовку або здійснення злочину в сфері комп’ютерної інформації.

До складу цих обставин входять:

· обмежене коло осіб, що мають доступ до АС;

· наявність серед них осіб, що мають зв`язки в криміногенному середовищі;

· складнощі оперативного прикриття об`єктів, використовуючих АС.

Крім цього, необхідно знати, що існує багато особливостей, які повинні враховуватися при проведенні таких окремих слідчих дій, як огляд місця події, обшук та виїмка речових доказів, допит потерпілих і свідків, призначення програмно-технічної експертизи. Для того, щоб фактичні дані були визнані доказами, вони повинні бути отримані з джерел і з дотриманням правил, які встановлені кримінально-процесуальним кодексом. А оскільки режим функціонування засобів комп’ютерної техніки та інші особливості даної предметної області залишаються невідомими слідчому-юристу і відповідно не враховуються в процесі проведення оперативно-розшукових заходів і слідчих дій, то в кінцевому результаті це значно ускладнює виявлення злочинів в сфері комп`ютерної інформації та позначається на повному і об’єктивному розслідуванні кримінальних справ даної категорії. Тому розслідування «комп’ютерних» злочинів вважаємо необхідним в обов’язковому порядку проводити із залученням фахівця в області комп`ютерної техники. Необхідність цього підтверджується і досвідом роботи правоохоронних органів інших країн.

Розглянемо детальніше отримання «інформації для доказу» при розслідуванні злочинів у сфері комп`ютерної інформації.

Огляд місця події. Після прибуття на місце події слідчо-оперативній групі потрібно вжити заходів по охороні місця події та забезпеченню збереження інформації на комп’ютерах і периферійних запам`ятовуючих пристроях (ПЗП). Для цього необхідно:

· заборонити доступ до комп`ютерної техніки працюючого на об’єкті персоналу;

· персоналу об’єкта заборонити вимикати електропостачання комп`ютерної техніки;

· у випадку, якщо на момент початку огляду місця події, електропостачання об’єкту вимкнено, то до його відновлення потрібно відключити від електромережі всю комп’ютерну техніку, яка знаходиться в приміщені, що оглядається;

· не виробляти ніяких маніпуляцій з засобами комп’ютерної техніки, якщо їх результат заздалегідь невідомий;

· при наявності в приміщенні, де знаходиться комп`ютерна техніка, небезпечних речовин, матеріалів або обладнання (електромагнітних, вибухових, токсичних, тощо) видалити їх в інше місце.

Після вживання вказаних вище невідкладних заходів можна приступати до безпосереднього огляду місця події і вилучення речових доказів. При цьому потрібно брати до уваги наступне:

спроби з боку персоналу пошкодити комп`ютерну техніку з метою знищення інформації, якщо до скоєння злочину причетні працівникі цього об`єкту;

наявність в комп`ютерній техніці спеціальних засобів захисту від несанкціонованого доступу, які, не отримавши у встановлений час спеціальний код, автоматично знищать всю інформацію;

наявність в комп`ютерній техніці інших засобів захисту від несанкціонованого доступу.

Обшук і виїмка речових доказів. При обшуках і виїмках, зв’язаних з вилученням ЕОМ, машинних носіїв і інформації виникає ряд загальних проблем, пов’язаних зі специфікою технічних засобів, що вилучаються. Так, необхідно передбачати заходи безпеки, що здійснюються злочинцями з метою знищення речових доказів. Наприклад, вони можуть використати спеціальне обладнання, в критичних випадках утворююче сильне магнітне поле, що стирає магнітні записи. Відома історія про хакера, який створив в дверному отворі магнітне поле такої сили, що воно знищувало магнітні носії інформації при винесенні їх з його кімнати. Злочинець має можливість включити до складу програмного забезпечення своєї машини програму, яка примусить комп’ютер періодично вимагати пароль, і, якщо декілька секунд правильний пароль не введений, дані в комп’ютері автоматично нищаться. Винахідливі власники комп’ютерів встановлюють іноді приховані команди, що знищують або архівують з паролями важливі дані, якщо деякі процедури запуску машини не супроводяться спеціальними діями, відомими тільки їм.

Враховуючи особливості речових доказів, пов`язаних з «комп`ютерними» злочинами, їх пошук та виїмку слід розпочинати з аналізу та вилучення інформації з ЕОМ. Оскільки пошук і аналіз інформації і програмного забезпечення в них завжди вимагає спеціальних знань, то наступні слідчі дії повинні виконуватись тільки за участю фахівця.

Аналіз та вилучення інформації у комп’ютері здійснюється, як в оперативному запам’ятовуючому пристрої (ОЗП), так і на периферійних запам’ятовуючих пристроях (ПЗП) — накопичувачах на жорстких магнітних дисках, оптичних дисках, дискетах, магнітних стрічках та ін. Слід пам`ятати, що при вимкненні персонального комп’ютера або закінченні роботи з конкретною програмою ОЗП очищається і усі дані, які знаходяться в ОЗП, знищуються.

Найбільш ефективним і простим способом фіксації даних з ОЗП є виведення інформації на друкуючий пристрій (принтер).

Як відомо, інформація в ПЗП зберігається у вигляді файлів, впорядкованих за каталогами (директоріями). Потрібно звертати увагу на пошук так званих «прихованих» файлів і архівів, де може зберігатися важлива інформація. При виявленні файлів із зашифрованою інформацією або таких, які вимагають для перегляду введення паролів, потрібно направляти такі файли на розшифровку і декодування відповідним фахівцям.

Так само, як і у випадку з ОЗП, інформацію, знайдену в ПЗП, доцільно в ході огляду виводити на друкуючі пристрої і зберігати на паперових носіях у вигляді додатків до протоколу огляду. Вилучення даних в «поштових скриньках» електронної пошти може здійснюватися за правилами виїмки. Огляд комп’ютерів і вилучення інформації проводиться в присутності понятих, які розписуються на роздруках отриманої в ході огляду інформації, що конвертується та запаковується згідно правил зберігання речових доказів.

Речові докази у вигляді ЕОМ, машинних носіїв вимагають особливої акуратності при вилученні, транспортуванні та зберіганні. Їм протипоказані різкі кидки, удари, підвищені температури (вище кімнатних), вогкість, тютюновий дим. Всі ці зовнішні чинники можуть спричинити втрату даних, інформації та властивостей апаратури. Не треба забувати при оглядах і обшуках про можливості збору традиційних доказів, наприклад, прихованих відбитків пальців на клавіатурі, вимикачах та ін. Огляду підлягають всі пристрої конкретної ЕОМ. Дана дія при аналізі її результатів з участю фахівців допоможе відтворити картину дій зловмисників і отримати важливі докази.

Фактично оптимальний варіант вилучення ЕОМ і машинних носіїв інформації — це фіксація їх на місці виявлення і пакування таким чином, щоб апаратуру можна було б успішно, правильно і точно, так само, як на місці виявлення, з’єднати в лабораторних умовах або в місці проведення слідства з участю фахівців. Потрібно мати на увазі, що конкретна програмно-технічна конфігурація дозволяє виконувати з апаратурою певні дії, і порушення конфігурації або відсутність даних про точну її фіксацію (так само, як на місці виявлення) може вплинути не тільки на можливість виконання на ній відповідних дій в ході слідства, але й на оцінку в суді можливості здійснення злочину. Так, тип програмного забезпечення, завантаженого в комп’ютер, при огляді або обшуку може показувати задачі, для яких комп’ютер використовувався. Якщо, наприклад, є програмне забезпечення для мережевого зв’язку і комп’ютер, сполучений з модемом, то це явно свідчить про можливість даного програмно-технічного комплексу виконувати задачі доступу до інформації в інших ЕОМ.

Допит свідків. При розслідуванні „комп’ютерного” злочину на початковому етапі виникає необхідність допитувати в якості свідків громадян різних категорій, для кожної з яких існує своя специфіка. Так, на думку Ю.В. Гавриліна, допит операторів ЕОМ має свою специфіку, пов’язану з особливим використанням в процесі їх професійної діяльності засобів комп’ютерної техніки. Тому виникає необхідність з'ясувати у цієї категорії свідків наступне: правила ведення журналів операторів, порядок прийому-здачі змін, режим роботи операторів; порядок ідентифікації операторів; правила експлуатації, зберігання, знищення комп'ютерних роздруківок (лістинг), категорію осіб, що мають до них доступ; порядок доступу до приміщення, де знаходиться комп'ютерна техніка, категорію працівників допущених до роботи з нею і ін. [7].

До кола питань, які необхідно з’ясувати у програмістів, на думку Ю.В. Гавриліна, належить: перелік програмного забезпечення, що використовується, і його класифікація (ліцензійне, власне); паролі захисту програм, окремих пристроїв комп'ютера, частота їх змін; технічні характеристики комп'ютерної мережі (при її наявності), хто є адміністратором мережі; порядок придбання і супроводу програмного забезпечення; існування ідентифікаційних програм, наявність в робочих програмах спеціальних файлів, протоколів, які реєструють входження в комп'ютер користувачів, який їх зміст.