Методика и практика расследования преступлений в сфере компьютерной информации

6. Следует  изъять все ЭВМ, обнаруженные  на объекте.

7. При  обыске не подносить ближе,  чем на 1 м к компьютерной технике  металлоискатели и другие источники  магнитного поля, в т. ч. сильные осветительные приборы и некоторую спецаппаратуру.

8. Поскольку  многие, особенно неквалифицированные,  пользователи записывают процедуру  входа-выхода, работы с компьютерной  системой, а также пароли доступа  на отдельных бумажных листках,  следует изъять также все записи, относящиеся к работе с ЭВМ.

9. Так  как многие коммерческие и  государственные структуры прибегают  к услугам нештатных и временно  работающих специалистов по обслуживанию  средств компьютерной техники,  следует записать паспортные  данные у всех лиц, находящихся на объекте, независимо от их объяснений цели пребывания на объекте. ¹⁶

      При изъятии средств компьютерной техники  необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального  законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектовки и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и “наводок”, направленных излучений. В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.

      В случае невозможности изъятия и  приобщения к делу в качестве вещественного  доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.

      Если  же возникла необходимость изъятия  информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего  устройства - ОЗУ), то сделать это  возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами; Государственный стандарт (ГОСТ) № 6104-84 от 01.07.87 «УСД». Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. ¹⁷  

      Основные  положения и Постановление Госстандарта № 2781 от 24.09.86 “Методические указания по внедрению и применению ГОСТ 6104-84”. Только с использованием указанных нормативных документов машинная информация будет относиться к разряду “документированной информации”, как требует того закон. 

§ 1. Положительный опыт расследования уголовных дел о преступлениях, предусмотренных ст.272 УК РФ. 

   Следственной  частью ГСУ при ГУВД Кемеровской  области в 2003 году расследовано и  направлено в суд уголовное дело по обвинению Саверт в совершении преступления, предусмотренного ч.2 ст.272 Уголовного кодекса Российской Федерации (далее - УК РФ).

   Поводом к возбуждению уголовного дела послужило  заявление управляющего Кемеровским отделением № 8615 Сберегательного банка России (далее — Сбербанк России) о факте несанкционированного доступа к компьютерной информации (к системе денежных расчетов АС «СБЕРКАРТ»), составляющей банковскую и коммерческую тайну, с приложением материалов служебного расследования, проведенного в банке по данному факту.

   В ходе предварительного расследования  установлено, что Саверт, работая в должности ведущего инженера отдела телекоммуникаций Управления информатики и автоматизации банковских работ Кемеровского отделения № 8615 (филиала) Сбербанка России, с целью получения доступа к информации в системе ЭВМ, носящей конфиденциальный характер, со своего рабочего места совершил неправомерный доступ к охраняемой законом компьютерной информации. Указанная информация, содержащая сведения о клиентах банка, их счетах, их вкладах проведенных операциях по микропроцессорным банковским картам, а также прикладные программные средства, обеспечивающие функционирование автоматизированной системы расчетов по микропроцессорным банковским картам «СБЕРКАРТ» Сбербанка России, находящиеся на серверах, объединенных в единую сеть, в силу того, что данные сведения имеют действительную и потенциальную коммерческую ценность в силу их неизвестности третьим лицами и к данным сведениям нет свободного доступа на законном основании, а Сбербанк России, как обладатель данной информации, принимает меры к охране её конфиденциальности, в соответствии со ст. 139 Гражданского Кодекса Российской Федерации и Указа Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера», является коммерческой тайной.

Расследованием установлено.

   14 мая 2003 года в период времени  с 11.47 часов по 11.55 часов, Саверт, не имея соответствующего разрешения Сбербанка России -пользователя и владельца оборудования сети ЭВМ, и законных прав на доступ к указанной информации, охраняемой Федеральным Законом от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации», Законом Российской Федерации от 23 сентября 1992 года № 3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных», имея свободный доступ к предоставленному ему для выполнения трудовых обязанностей персональному компьютеру, который является электронно-вычислительной машиной (далее — ЭВМ), с целью проникновения к охраняемой перечисленными нормативными правовыми актами компьютерной информации, зафиксированной в системе ЭВМ АС «СБЕРКАРТ» и передаваемой по телекоммуникационным каналам в форме, доступной восприятию ЭВМ, посредством использования неустановленного программного обеспечения, неоднократно произвел подбор паролей различных пользователей серверов АС «СБЕРКАРТ» в сети ЭВМ Кемеровского отделения № 8615 Сбербанка России, в том числе администраторов сервера базы данных, сервера безопасности, обеспечивающего безопасность системы платежей по банковским картам, и коммуникационного сервера, служащего для связи с банкоматами, торговыми терминалами и рабочими местами контролеров филиалов.

      В результате указанных умышленных действий Саверта, совершенных им в нарушение определяющих правовой режим охраны компьютерной информации требований инструкции Сбербанка" России от 28 декабря 2001 года № 875 — «Порядок обеспечения безопасности информационных технологий в Сбербанке России» и иных нормативных правовых актах, а также в соответствии с параметрами политики безопасности, ограничивающими доступ к серверам АС «СБЕРКАРТ» и хранящейся на них информации при превышении количества допустимых попыток ввода паролей, произошло временное блокирование доступа части работников банка к информации на серверах АС «СБЕР-КАРТ» и невозможность выполнения ими своих трудовых обязанностей, приостановление работы банкоматов.

      В основу обвинения были положены показания  сотрудников отделения Сбербанка и привлеченных к проведению служебного расследования специалистов из Сибирского банка Сбербанка России (г. Новосибирск), а также заключение программно-технической экспертизы. На экспертизу были представлены системный блок компьютера, на котором выполнял свои трудовые обязанности Саверт, и компьютерная информация, содержащая журналы аудита (протоколы работы) серверов компьютерной сети банка (так называемые лог-файлы), изъятые в ходе предварительного следствия в Кемеровском отделении № 8615 Сбербанка России.

   Согласно  выводов программно-технической  экспертизы, в результате попыток доступа путем подбора паролей пользователей серверов АС «СБЕРКАРТ» компьютерной сети отделения Сбербанка на серверах были блокированы отдельные пользователи. Действия, послужившие причиной блокирования пользователей АС «СБЕРКАРТ», производились с системного блока Саверта. Программ, которые могли бы произвести подбор пароля, на жестком диске представленного системного блока обнаружено не было, но в результате анализа реестра установлено, что на данной рабочей станции ранее было установлено программное обеспечение, которое по своим характеристикам может производить подбор пароля. В ходе восстановления удаленных файлов с жесткого диска обнаружено множество программ, которые могли иметь отношение к попыткам доступа к серверам АС «СБЕРКАРТ». Кроме того, обнаружены инсталляционные файлы этих программ и электронная документация по взлому компьютерных систем, способам защиты от них. Анализируя журнал аудита представленного системного блока, обнаружены записи, свидетельствующие о факте удаления программ, предназначенных для поиска брешей в системе безопасности компьютеров в сети.

           При назначении программно-технической экспертизы возникли сложности, связанные с отсутствием государственных экспертов необходимой специализации. Так, на территории Сибирского федерального округа имеется только один соответствующий государственный эксперт, работающий в Сибирском региональном центре судебной экспертизы (г. Новосибирск), в связи с чем в данном экспертном учреждении существует очередь на проведение подобных экспертиз. Поэтому для проведения программно-технической экспертизы по данному уголовному делу с соблюдением требований УПК РФ был привлечен сотрудник одного из коммерческих банков, находящихся на территории г. Кемерово, обладающий необходимым образованием, специализацией, опытом и стажем работы, занимающий должность соответствующего профиля.

   Другие  сложности при расследовании данного уголовного дела возникли в связи со специфичностью способа совершения преступления и терминов, используемых при описании характеризующих его конкретных действий и происходящих событий, отсутствие наработанной практики расследования подобного вида преступлений на территории Кемеровской области. Данные трудности были преодолены проведением подробных допросов специалистов из числа сотрудников Кемеровского отделения Сбербанка России, изучением следователем большого количества специализированной литературы и нормативных актов, практических материалов, ранее полученных из СК при МВД России. ¹⁸ 
 
 
 
 
 

ЗАКЛЮЧЕНИЕ 

      Оценивая  современное состояние уголовной  и криминалистической теории и учитывая потребности оперативно-следственной практики, надо признать, что в целом проблемы уголовно-правовой характеристики, совершенствования практики раскрытия, расследования и предупреждения компьютерных преступлений изучены явно недостаточно. Необходимость всестороннего исследования обозначенных проблем диктуется как потребностью следственной практики, так и задачами дальнейшего совершенствования как уголовно-правовой, так и криминалистической теории, усиления их влияния на результативность борьбы с компьютерной преступностью.

      Компьютеризация России неизбежна. Но надо помнить, что принесет она не только благо. Мы еще не можем в полной мере оценить опасность, какую несут с собой наши "электронные братья по разуму", а потому стоит прислушаться к опытному в этих делах человеку. Директор ЦРУ Джон Дейч недавно сравнил электронную угрозу с ядерной, химической и бактериологической опасностью. Соединенные в единую сеть компьютеры становятся уязвимыми для разного рода хулиганов, террористов, преступников, а кроме того, дают возможность проведения электронных диверсий и войн.

         Традиционно в Российском  государстве   сохранялся  высокий  уровень

преступности. В настоящее время, несмотря на значительное увеличение  числа сотрудников правоохранительных органов и улучшение материально – технической базы тенденций к снижению роста преступности не наблюдается.

          Уверенные в своей безнаказанности преступники совершают преступления  все более  изощренными  и  дерзкими    способами,   бросая   вызов   не   только правоохранительной системе,  но  и  всему  обществу.  Граждане,  не  получая действенной защиты своих прав и  интересов со стороны  государства, порой сами обращаются за помощью в криминальные структуры, не  думая  о  том,  как это  отражается   на   криминогенной   обстановке   по   стране   в   целом. Естественно, что пока ситуация не стала критической, надо сосредоточить  все усилия на борьбе с преступным миром.

          За долгое время своего  существования   система  правоохранительных

органов накопила  большой  опыт  предупреждения,  пресечения,   раскрытия  и расследования различных видов преступлений.

          Своими достижениями в области  расследования уголовных дел следственная практика во многом обязана теоретическим  разработкам  науки криминалистики. Одной из самых удачных методических разработок криминалистики стала криминалистическая характеристика преступлений.