Первоначальный этап расследования нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети
При расследовании нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети подлежат установлению следующие обстоятельства[1]:
факт преступного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;
место и время совершения преступления;
характер информации, являющейся предметом преступного посягательства;
способ нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;
характер и размер ущерба, причиненного преступлением;
виновность лица;
обстоятельства, способствовавшие совершению преступления.
В расследовании данной категории преступлений одной из главных проблем становится установление самого факта нарушения правил эксплуатации ЭВМ.
Здесь необходимо прежде всего установить факт существования конкретных правил эксплуатации ЭВМ на данном объекте. Они могут касаться порядка создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю компьютерной информации, защите ее на любой стадии информационного процесса. Как уже отмечалось нами в главе 1 настоящей работы, к правилам эксплуатации ЭВМ может относиться, техническая документация на приобретаемые компьютеры; конкретные принимаемые в определенном учреждении или организации, оформленные нормативно и подлежащие доведению до сведения соответствующих работников правила внутреннего распорядка; требования по сертификации компьютерных сетей и оборудования; должностные инструкции конкретных сотрудников; правила пользования компьютерными сетями.
Факт грубого нарушения правил эксплуатации ЭВМ обычно становится известным в первую очередь непосредственным владельцам и пользователям компьютерной системы или сети после обнаружения ими отсутствия необходимой информации или существенного изменения ее, когда это уже отрицательно отразилось на основной деятельности предприятия, организации, учреждения.
Для установления конкретного правила эксплуатации ЭВМ, нарушение которого привело к вредным последствиям, следователю целесообразно допросить всех лиц, работавших на ЭВМ или обслуживающих компьютерное оборудование в тот период, когда это произошло (с участием специалиста). При допросе необходимо выяснить: функциональные обязанности конкретного сотрудника при работе с ЭВМ (либо оборудованием к ней), какими правилами они установлены, имеет ли данное лицо доступ к ЭВМ, их системе или сети; какую конкретно работу на ЭВМ и в каком порядке данный сотрудник выполнял; когда произошел факт уничтожения, блокирования, модификации компьютерной информации или наступили иные вредные последствия; какие неполадки в компьютерной системе были обнаружены при работе на ЭВМ, не было ли при этом каких-то сбоев, которые могли бы причинить существенный вред компьютерной информации; какой установленный порядок при работе с компьютером мог быть нарушен в данной ситуации либо они явились следствием непредвиденных обстоятельств, если да, то с какими конкретно.
Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования, которое обычно проводится службой информационной безопасности того объекта, где это произошло; прокурорской проверки; оперативно-розыскных мероприятий. Поступившие следователю для решения вопроса о возбуждении уголовного дела материалы подлежат тщательному и всестороннему изучению. Следователь должен усмотреть в них основание для возбуждения уголовного дела -наличие достаточных данных, указывающих на признаки преступления (ст. 140 УПК РФ).
Конкретное место нарушения правил эксплуатации ЭВМ устанавливается при осмотре рабочих мест пользователей ЭВМ, компьютерной системы или сети. Осмотру подлежат все компьютеры, подключенные к сети ЭВМ. Цель - установить местонахождение компьютера, эксплуатация которого привела к вредным последствиям в результате преступного нарушения определенных правил его использования.
Необходимо различать место нарушения и место наступления вредоносных последствий. Они не всегда совпадают, особенно если идет речь о нарушении правил эксплуатации компьютерных сетей, которые, как известно, представляют собой объединение отдельных персональных компьютеров, расположенных на расстоянии друг от друга, и предназначены для совместного использования информации и обращении к периферийному оборудованию (принтерам, прокси-серверам, и пр.). Осмотру подлежат: рабочие станции локальных вычислительных сетей, в качестве которых применяются персональные компьютеры, объединенные внутри здания или в пределах небольшой территории; файловый сервер, обслуживающий все рабочие станции и осуществляющий совместное использование файлов, размещаемых на его дисках; принтеры, которые тоже могут находиться далеко от того места, где расположена рабочая станция.
Таким образом, основная задача осмотров рабочих мест - установить, где расположена рабочая станция, эксплуатация которой осуществлялась с грубым нарушением правил информационной безопасности. В первую очередь необходимо обратить внимание на рабочие станции, имеющие собственные дисководы. У них значительно больше возможностей для преступных нарушений правил эксплуатации компьютерных сетей. Они, к примеру, имеют возможность копировать данные с файлового сервера на свою дискету или использовать дискеты с различными программами, в т.ч. с компьютерными вирусами, и подвергать опасности целостность информации, содержащейся в центральных файловых серверах, чего не имеют бездисковые рабочие станции. Таков один из важных признаков, по которому можно установить место совершения преступления. Другой способ - это следственный осмотр учетных данных, где могут быть отражены сведения о расположении конкретной рабочей станции, использующей файловый сервер. В качестве свидетелей могут быть также допрошены администратор сети и специалисты, обслуживающие файловый сервер, в котором произошло уничтожение, блокирование или модификация компьютерной информации. Кроме того, с особой тщательностью подлежат рабочие места, имеющие собственные каналы выхода во внешние сети, в частности в Интернет. При осмотре изучаются файлы истории, содержащие данные о последних посещениях различных сайтов, протоколы соединения, содержащие данные о имени и пароле пользователя, времени и продолжительности соединения.
В ходе допросов свидетелей выясняются следующие обстоятельства: на какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети и где она расположена; могли ли быть нарушены правила эксплуатации данной локальной сети на рабочей станции, расположенной в определенном месте (если нарушение правил произошло непосредственно на файловом сервере, то место нарушения этих правил может совпадать с местом наступления вредных последствий).
Место нарушения правил может быть установлено и по результатам производства компьютерно-технической экспертизы. На ее разрешение могут мыть поставлены следующие вопросы[1]:
относится ли представленное устройство к аппаратным компьютерным средствам?
к какому типу (марке, модели) относится аппаратное средство, каковы его технические характеристики и параметры?
каково функциональное предназначение представленного аппаратного средства?
какова роль и функциональные возможности данного аппаратного средства к конкретной компьютерной системе?
относится ли данное аппаратное средство к конкретной компьютерной системе?
используется ли данное аппаратное средство для решения конкретной функциональной задачи?
каково первоначальное состояние (конфигурация, характеристики) имело аппаратное средство?
каково физическое состояние (исправен, неисправен) представленного аппаратного средства, имеются ли в нем отклонения от типовых (нормальных), в том числе и физические дефекты?
каковы эксплуатационные режимы установлены на данном аппаратном средстве?
является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
каковы при\ины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства?
является ли представленное аппаратное средство носителем информации?
какой вид (тип, модель, марку) имеет представленный носитель информации?
какое запоминающее устройство предназначено для работы с данным накопителем информации, имеется ли в составе представленной компьютерной системы запоминающее устройство для работы с этим носителем информации?
доступен ли для чтения представленный носитель информации?
каковы причины отсутствия доступа к носителю информации?
имеются ли признаки работы представленного компьютера в сети Интернет, каково содержание установок удаленного доступа и протоколов соединений?
При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать раздельно: а) время нарушения конкретных правил; б) время наступления вредных последствий. Нарушение правил, и наступление вредных последствий может произойти одновременно. Например при отключении электропитания, в результате нарушения установленных правил обеспечения информационной безопасности, может быть мгновенно уничтожена с трудом введенная в компьютер очень важная информация, которую не успели записать на дискету (это в случае отсутствия запасных источников автономного питания, которые обычно автоматически подключаются при отключении основного). И может быть значительный разрыв во времени между моментом нарушения правил и временем наступления вредных последствий. Так, к примеру, сначала вносятся изменения в программу или базу данных в нарушение установленных правил и в результате только через определенное время наступают вредные последствия, которые либо сразу обнаруживаются, либо через какое-то время.
Время нарушения правил обычно устанавливается по учетным данным, которые фиксируются в процессе эксплуатации ЭВМ. Такими данными могут быть: сведения, полученные в результате использования средств автоматического контроля компьютерной системы, ее регистрирующих пользователей, моменты подключения к ней абонентов, а также файлы учета сбойных ситуаций, книги (либо журналы) учета передачи смен операторами ЭВМ, распечатки выходной информации, где, как правило, фиксируется время ее обработки. Такие данные могут быть получены в результате проведения осмотра места происшествия и выемки необходимых документов. Особое значение имеет осмотр и этой документации. Время нарушения правил можно установить путем допроса свидетелей из числа лиц, участвующих в эксплуатации ЭВМ.
Вопросы, которые могут быть заданы:
Каким образом в данной компьютерной системе фиксируются факты и время отклонения от установленных правил (порядка) эксплуатации ЭВМ?
Когда могло быть нарушено определенное правило эксплуатации ЭВМ, после которого наступили известные вредные последствия?
При необходимости может быть назначена судебная компьютерно-техническая экспертиза, перед которой для установления времени преступного нарушения правил можно сформулировать следующие вопросы:
Как технически осуществляется автоматическая фиксация времени обращения пользователей к данной компьютерной системе или сети (всех происходящих изменений в их информационных массивах)?
Какова хронология внесения изменений в программное средство; какова хронология использование программного средства (начиная с ее инсталляции).
В процессе осмотра места происшествия могут быть обнаружены машинные носители информации, на которых ранее хранились важные данные, охраняемые законом, а вследствие нарушения определенных правил эксплуатации ЭВМ они оказались уничтоженными или существенно изменены либо допуск к ним стал невозможным (нужная информация оказалась заблокированной). На них может быть зафиксировано время наступления таких последствий. Это можно выявить в результате следственного осмотра с участием специалиста.
Указанные последствия чаще обнаруживаются непосредственно пользователями компьютерной системы или сети, а также администраторами базы данных. Поэтому при допросе их в качестве свидетелей следует выяснить:
когда они впервые обнаружили отсутствие или существенное изменение той информации, которая находилась в определенной базе данных?
Поскольку непосредственным предметом преступного посягательства согласно ст. 274 УК РФ является охраняемая законом информация ЭВМ, при расследовании рассматриваемой категории преступлений необходимо установить ее характер. Законом, как известно, охраняется любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Режим защиты информации устанавливается в отношении: а) сведений, отнесенных к государственной тайне; б) конфиденциальной информации; в) персональных данных. Поэтому в первую очередь требуется определить к какому из этих видов относится информация, которая была подвергнута уничтожению в результате преступного нарушения правил эксплуатации ЭВМ. Это устанавливается специальными органами согласно соответствующим нормативным правовым актам (законодательством о государственной тайне, коммерческой тайне и персональных данных). Далее необходимо установить - кто является собственником или владельцем данных информационных ресурсов или информационной системы в целом, какова их стоимость.
Способ нарушения правил эксплуатации ЭВМ может быть активным или пассивным. Первый выражается в самовольном выполнении непредусмотренных операций при компьютерной обработке информации.
Второй - в невыполнении предписанных действий.
Механизм нарушения таких правил связан с технологией обработки информации на ЭВМ. Это, к примеру, может быть, выражено в неправильном включении и выключении ЭВМ, использовании посторонних дискет без предварительной проверки наличия в них компьютерного вируса, отказе от обязательного копирования информации для ее сохранения на случай уничтожения первого экземпляра (т.е. архивирования) и т.д. Способ и механизм нарушения этих правил устанавливаются путем допросов свидетелей, подозреваемых и обвиняемых (желательно с участием специалистов), проведения следственного эксперимента или производства компьютерно-технической экспертизы. При допросах выясняется последовательность той или иной операции на ЭВМ, которая привела к нарушению правил. При проведении следственного эксперимента выясняется возможность наступления вредных последствий при нарушении определенных правил. Он проводится на копиях исследуемой информации и по возможности на той же ЭВМ, на которой произошло нарушение правил.
Характер ущерба, наносимого преступным нарушением правил эксплуатации ЭВМ, в общих чертах обозначен в самой диспозиции ст. 274 УК РФ: он может заключаться в уничтожении, блокировании или модификации охраняемой законом информации.
О понятии и признаках каждого из названных вредоносных последствий речь уже шла в главе 1 настоящей работы.
Ущерб может носить экономический характер, когда охраняемая законом информация ЭВМ выступает как собственность, ценность которой определяется в денежном выражении; общегосударственный характер, когда в ней содержатся сведения, составляющие государственную тайну. Разглашение или утрата такой информации может нанести серьезный ущерб внешней безопасности Российской Федерации.
Конкретный размер ущерба устанавливается допросом собственника информационных ресурсов, протоколами выемки и осмотра платежных документов, экономической экспертизой, перед которой может быть поставлен вопрос: «Какова стоимость информации, уничтоженной (или измененной) вследствие нарушения правил эксплуатации ЭВМ?»
Степень секретности информации устанавливается в соответствии с Законом «О государственной тайне».
При установлении лица, допустившего преступное нарушение правил эксплуатации ЭВМ, следует иметь в виду, что виновным может быть согласно ч. 1 ст. 274 УК РФ лицо, имеющее доступ к ЭВМ, к системе ЭВМ или же к их сети.
Необходимо различать лицо, имеющее доступ к ЭВМ, а также лицо, имеющее право доступа к компьютерной информации. Не обязательно, чтобы лицо, имеющее доступ к ЭВМ, имело право на доступ к компьютерной информации, находящейся в ЭВМ. Доступ к ЭВМ, к системе ЭВМ или к сети, как правило, имеют лица в силу выполняемой ими работы, связанной с эксплуатацией или обслуживанием. Вот этих лиц и следует устанавливать в процессе расследования.
Следствием необходимо установить следующие данные о лице: фамилия, имя, отчество; занимаемая должность (отношение к категории должностных лиц, ответственных за информационную безопасность и надежность работы компьютерного оборудования либо к категории непосредственно отвечающих за обеспечение строгого выполнения правил эксплуатации данной компьютерной системы или сети); образование; специальность; стаж работы по специальности и на данной должности; уровень профессиональной квалификации; конкретные обязанности данного лица по обеспечению информационной безопасности и нормативные акты, которыми они установлены (положение, приказ, распоряжение, контракт, договор, проектная документация на автоматизированную систему и пр.); отношение к разработке, внедрению к опытной и промышленной эксплуатации данной компьютерной системы или сети; наличие прав доступа к базам и банкам данных (в каком объеме); данные, характеризующие лицо по месту работы; имеется ли у данного лица дома компьютер и оборудование к нему.
Все это устанавливается по результатам допросов свидетелей, обвиняемого, осмотра эксплуатационных документов по данной компьютерной системе, осмотра вещественных доказательств (компьютера, оборудования к нему, машинных носителей информации, распечаток и пр.).
Виновность лица, совершившего преступное нарушение правил эксплуатации ЭВМ, устанавливается на основе анализа результатов всех проведенных в ходе расследования следственных действий. Более подробно о субъективной стороне нарушения правил эксплуатации ЭВМ см. в главе 1 данного пособия.
Обстоятельства, способствовавшие совершению данного преступления. По итогам следствия надлежит установить недостатки общего состояния охраны информационной безопасности в процессе эксплуатации компьютерных систем или сетей, а также причины и условия, способствовавшие нарушению правил их использования (неисправность компьютерного оборудования, отклонение от технического задания и техничнского проекта, несоответствие средств информационной защиты предъявляемым требованиям - отсутствие сертификата на них). Много обстоятельств, способствовавших нарушению правил эксплуатации ЭВМ, можно установить по материалам служебного расследования, а также по результатам судебных экспертиз (в основном комплексных). Так, по уголовному делу о покушении на хищение более 68 млрд. рублей из Центрального банка РФ служебное расследование установило ряд причин, способствовавших совершению этого преступления еще до возбуждения уголовного дела. Главными из них явились нарушения правил эксплуатации системы безналичных расчетов: обработка платежных документов осуществлялась без средств защиты, сертифицированных ФАПСИ; слабо осуществлялись оперативное руководство и контроль над технологическими процессами компьютерной обработки платежных документов со стороны Управления безопасности.
По уголовному делу о хищении валютных средств во Внешэкономбанке путем использования компьютерных расчетов комплексная судебно-бухгалтерская экспертиза и экспертиза программного обеспечения установили, что преступлению способствовало: отсутствие организации работ по обеспечению информационной безопасности; нарушение технологического цикла проектирования, разработки, испытаний и сдачи в эксплуатацию программного обеспечения системы автоматизации банковских операций; совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения, что позволяло разработчикам после сдачи компьютерной системы в промышленную эксплуатацию иметь доступ к закрытой информации в нарушение установленных правил (под предлогом доводки программного обеспечения); использование незарегистрированных в установленном порядке программ в данной компьютерной системе; неприменение в технологическом процессе всех имеющихся средств и процедур регистрации операций по обработке компьютерной информации и лиц, эксплуатирующих ЭВМ.