Gt; 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети

Литература

1.Ищенко Е.П., Топорков А. А. Криминалистика: Учебник / Под ред.
Е.П. Ищенко. — М.: Юридическая фирма «КОНТРАКТ»; ИНФРА-М,
2007. С. 711-737.

2. Криминалистика: Учебник / Отв. ред. Н.П. Яблоков. — 3-е изд.,
перераб. и доп. — М.: Юристъ, 2005. С. 679-693.

3. Ищенко Е.П. Криминалистика: Краткий курс. — 2-е изд., испр.
и доп. — М.: Юридическая фирма «КОНТРАКТ»; ИНФРА-М, 2006.
С 288-303.

У 1. Информация и информационные правоотношения стали до­вольно частым предметом преступного посягательства. Их общий объ­ект — общественные отношения по обеспечению информационной безопасности, а непосредственные объекты преступного посягательст­ва — базы и банки данных, файлы конкретных компьютерных систем и сетей, а также технологии и программные средства, включая те, кото­рые обеспечивают защиту компьютерной информации от неправомер­ного доступа.

Под информацией понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представле­ния. Документированная информация — это зафиксированные на мате­риальном носителе сведения с реквизитами, позволяющими их иденти­фицировать. Компьютерная информация является документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с програм­мой и (или) предписаниями пользователя. К машинным носителям этой информации относятся блоки памяти ЭВМ, ее периферийные и сетевые устройства, средства связи, сети электросвязи.

342_________________________________________________________

Статья 272 УК РФ устанавливает ответственность за неправомерный доступ к компьютерной информации, если он привел к таким негативным последствиям, как уничтожение, блокирование, модификация, копирова­ние информации либо нарушение работы ЭВМ, их системы или сети.

Уничтожение информации — это такое ее изменение, когда она пе­рестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к ин­формации со стороны законного пользователя, а под модификацией — ее видоизменение, влекущее появление новых, нежелательных свойств. Копирование — это воспроизведение аналога оригинала; нарушение работы ЭВМ, их системы или сети — замедление, зацикливание, пре­кращение действия программы, нарушение порядка выполнения ко­манд, отказ в выдаче информации, отключение элементов системы, другие нештатные ситуации. Системой считается взаимосвязанная со­вокупность ЭВМ с единым организационно-техническим обеспечением, а сетью — объединение действующих компьютерных систем на опре­деленной территории.

При расследовании неправомерного доступа к компьютерной ин­формации вначале устанавливается сам факт такого доступа, место несанкционированного проникновения в компьютерную систему или сеть и время совершения преступления; затем — способ неправомерно­го доступа и степень надежности средств защиты компьютерной ин­формации, лица, совершившие такой доступ, их виновность, а также мотивы и вредные последствия содеянного.

Факт неправомерного доступа к информации первыми, как правило, обнаруживают пользователи компьютерной системы или сети. Такие фак­ты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСКН. Их можно выявить и в ходе реви­зий, судебных экспертиз, следственных действий по уголовным делам.

Признаками несанкционированного доступа или подготовки к нему могут служить: а) появление в компьютере искаженных данных; б) длительное необновление кодов, паролей и других защитных средств компьютерной системы; в) частые сбои в работе ЭВМ; г) участившиеся жалобы пользователей этой системы или сети.

Признаки неправомерного доступа выражаются также в следующих отступлениях от установленного порядка обработки документов: 1) на­рушения правил оформления документов и изготовления машинограмм;

2) наличие лишних документов, подготовленных для обработки на ЭВМ;

3) несоответствие информации, содержащейся в первичных документах,
данным машинограмм; 4) преднамеренные утрата или уничтожение пер­
вичных документов и машинных носителей информации, искажение
данных их регистрации. Указанные признаки, однако, могут быть

_________________________________________________________ 343

следствием не только злоупотреблений, но и других причин, например, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного доступа в компьютерную систему или сеть установить трудно, ибо таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств; но и для этого приходится выявлять все места работы компьютеров, имею­щих единую телекоммуникационную связь. Гораздо проще это место устанавливается в случае несанкционированного доступа к единичному компьютеру. Много труднее определить место непосредственного при­менения технических средств удаленного несанкционированного дос­тупа, которые не входят в данную компьютерную систему или сеть. К этой работе, а также к установлению места хранения информации на машинных носителях, добытой преступником в результате неправомер­ного доступа к компьютерной системе или сети, необходимо привле­кать соответствующих специалистов.

Время несанкционированного доступа выясняется с помощью про­грамм общесистемного назначения, которые в работающем компьютере обычно фиксируют текущее время. Это позволяет вывести на экран дисплея сведения о точном времени выполнения той или иной опера­ции. Если такая программа работает, то при несанкционированном вхо­де в систему или сеть время конкретной операции на компьютере фик­сируются автоматически. Тогда интересующий момент можно опреде­лить в ходе следственного осмотра компьютера или его распечаток. Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы, выяс­няется, когда конкретно каждый из них работал на ЭВМ.

Способы преступной деятельности в среде компьютерной инфор­мации могут быть разделены на две большие группы. Первая группа не предусматривает использование компьютерных устройств в качестве инструмента для проникновения в информационные системы или воз­действия на них. Это могут быть: а) хищение машинных носителей информации; б) использование визуальных, оптических и акустических средств наблюдения за ЭВМ; в) считывание и расшифровка электро­магнитных излучений компьютера и обеспечивающих систем; г) фото­графирование информации в процессе ее обработки; д) изготовление бумажных дубликатов входных и выходных документов, копирование распечаток; е) использование вышеупомянутых средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику ин­формации, подслушивание их разговоров и др.

Для таких действий, как правило, характерна достаточно локальная следовая картина: место совершения преступных действий и дислокация

344_________________________________________________________

объекта преступного посягательства расположены вблизи друг от друга или совпадают, потому срабатывают традиционные приемы по их ис­следованию.

Вторая группа преступных действий осуществляется с использовани­ем компьютерных и коммуникационных устройств в качестве инстру­мента для проникновения в информационные системы или воздействия на них. Так, несанкционированный доступ реализуется с помощью под­бора пароля, использования чужого имени, отыскания и использования пробелов в программе, а также других мер преодоления защиты компью­терной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживаю­щих компьютерную систему, и ее разработчиков. У них необходимо вы­яснить, как преступник мог проникнуть в защищенную систему, получить сведения о средствах защиты системы или сети ЭВМ (см. схему 11).

Способ несанкционированного доступа в компьютерную систему можно установить посредством компьютерно-технической экспертизы. Для этого эксперту предоставляют всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации.

В ряде случаев целесообразен следственный эксперимент, напри­мер, для проверки возможности: преодоления средств защиты компью­терной системы одним из предполагаемых способов; появления на эк­ране дисплея закрытой информации или ее распечатки вследствие оши­бочных действий оператора, технического сбоя.

Выясняя надежность средств зашиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети меры защиты от несанкционированного доступа, в том числе к опре­деленным файлам. Это выясняется в ходе допросов разработчиков и поль­зователей системы, а также при изучении проектной документации и инст­рукций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, о порядке до­пуска пользователей к конкретным данным, разграничении их полномо­чий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты документированной информации, имеющей ограниченный доступ.

Законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а также лицензирование всех видов дея­тельности в области проектирования и производства названных средств. Поэтому в ходе расследования необходимо выяснить, есть ли лицензия на производство средств защиты информации от несанкционированного доступа, задействованных в данной компьютерной системе, и соответ­ствуют ли их параметры выданному сертификату.

Следы преступных деяний

Схема 11

В ЭВМ и на машинных носителях

В линиях электросвязи

Изменения в ОЗУ

Документированная

информация о прохождении

сигнала через оператора

Программное обеспечение для создания программ

Специализированная конфигурация оборудования

Специализированная

конфигурация программ

работы в сетях

Следы в файловой системе

Копии чужих файлов

Специализи­рованное «хакерское» программное обеспечение

Документы		- Компьютерная информация
Документы, регистрирую­щие соедине­ния абонентов		-ф	Базы данных, фиксирующие соединения
Протоколы взаиморасче­тов между операторами		->	Коммутаторы, осуществ­ляющие и регистри­рующие соединения
Пла	тежные кументы оплате ика между аторами
, ДОВ об трафи
one]

Результаты наблюдения при прове­дении оперативно-розыскных мер и предварительного следствия

Прочие Рукописные записи и принтерные распечатки

Г1

Коды доступа Тексты программ Записные книж­ки с именами других хакеров

Описания программного обеспечения

Инструкция по пользованию ЭВМ и ее устройствами

Устройства доступа в теле-| фонные сети и сети ЭВМ

Нестандартные периферий-
______ ные устройства______

| Счета телефонных компаний |

Пеленгация источника сигналов

Прослушива­ние телефон-ныхииных переговоров

Прохождение

криминального

сигнала через

оператора

346_________________________________________________________

При установлении лиц, совершивших несанкционированный доступ к закрытой компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить такой доступ могут только специалисты, имеющие достаточно высокую квалифика­цию. Поэтому поиск подозреваемых лучше начинать с технического персонала «атакованных» компьютерных систем или сетей. Это, в пер­вую очередь, их разработчики, а также руководители, операторы, про­граммисты, инженеры связи, специалисты по защите информации и т.д. Следственная практика свидетельствует, что чем сложнее способ про­никновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующи­ми способностями, весьма ограничен.

Доказыванию причастности конкретного субъекта к несанкциони­рованному доступу способствуют различные следы, обнаруживаемые при следственном осмотре ЭВМ и ее компонентов. Это, например, сле­ды пальцев, записи на внешней упаковке дискет. Для их исследования назначаются криминалистические экспертизы — дактилоскопическая, почерковедческая и др.

У субъектов, заподозренных в неправомерном доступе к компью­терной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе элек­тронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной сис­темы, а также сведения о них. При обыске нужно изымать литературу и методические материалы по компьютерной технике и программирова­нию. К производству обыска и осмотру изъятых предметов рекоменду­ется привлекать специалиста по компьютерной технике.

Установить виновность и мотивы лиц, осуществивших несанкцио­нированный доступ, можно лишь по результатам всего расследования. Решающими здесь являются показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, а также результаты обысков. В ходе расследования выясняется: 1) с какой це­лью совершен несанкционированный доступ к компьютерной информа­ции; 2) знал ли правонарушитель о системе ее защиты; 3) желал ли пре­одолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компьютерной сис­теме или сети могут заключаться в хищении денежных средств или ма­териальных ценностей, завладении компьютерными программами, а так­же информацией путем копирования либо изъятия машинных носителей. Это может быть также незаконное изменение, уничтожение, блокирование

_________________________________________________________ 347

информации, выведение из строя компьютерного оборудования, внедре­ние в систему компьютерного вируса, заведомо ложных данных и др.

Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их ин­формационным ресурсам, внесения в последние неправомерных изме­нений и дополнений. Их обычно обнаруживают сами работники банков, а сумму хищения определяет бухгалтерская экспертиза.

Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и факты их незаконного использования выявляют, как правило, потер­певшие. Максимальный вред причиняет незаконное получение инфор­мации из различных компьютерных систем, ее копирование и размно­жение с целью продажи для получения материальной выгоды либо ис­пользования в других преступных целях. Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно по­лученная информация является конфиденциальной или имеет катего­рию государственной тайны, то вред, причиненный ее разглашением, устанавливают представители Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Факты незаконного изменения, уничтожения, блокирования инфор­мации, выведения из строя компьютерного оборудования, вброса в информационную систему заведомо ложных сведений устанавливаются прежде всего самими пользователями компьютерной системы или сети. При определении размера причиненного вреда учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущен­ная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с ана­лизом баз и банков данных, путем допросов технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяет комплексная экспертиза, проводимая с участием специали­стов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения.

У 2. К вредоносным программам для ЭВМ прежде всего относятся так называемые вирусы, могущие внедряться в другие программы, раз­множаться и при определенных условиях повреждать компьютерные системы, хранящуюся в них информацию и программное обеспечение. Свое название они получили потому, что во многом сходны с природны­ми вирусами. Компьютерный вирус может самовоспроизводиться во всех системах определенного типа. Некоторые из них безопасны, однако большинство приносит существенный вред. Имеются также иные вредо­носные программы, используемые обычно для хищений денежных

348_________________________________________________________

средств и совершения других злоупотреблений в сфере компьютерной информации.

Часть 1 ст. 273 УК РФ предусматривает совершение одного из сле­дующих действий: 1) создание программы или внесение в нее изменений, заведомо влекущих несанкционированное уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети; 2) использование или распространение подоб­ных программ либо машинных носителей с ними. Изменением програм­мы является преобразование алгоритма, описанного в ней на специальном языке, а распространением — расширение сферы ее применения. Часть 2 этой статьи предусматривает более опасное преступление: любое из вы­шеуказанных действий, повлекшее тяжкие последствия. Этим посягатель­ствам свойственна высокая латентность; особенно трудно выявлять соз­дателей вредоносных программ. Основные задачи расследования — уста­новить факт и способ создания, использования и распространения вредоносной программы, а также лиц, виновных в названных деяниях, и причиненный ими ущерб.

Установление факта и способа создания, использования и распро­странения вредоносной программы для ЭВМ. Такая программа обнару­живается, как правило, когда уже проявились ее вредные последствия. Однако она может быть выявлена и в процессе антивирусной проверки, особенно если предстоит использование чужих дискет или дисков, флэш-карт, сведений, полученных по электронной почте в сети Интернет.

Разработка вредоносных программ обычно осуществляется одним из двух способов:

1) программа разрабатывается прямо на одном из рабочих мест ком­
пьютерной системы, но маскируется под правомерную работу. В силу
своих служебных обязанностей разработчик имеет доступ к системе,
втом числе кодам и паролям. Сокрытие преступного характера своих
действий он осуществляет, удаляя компрометирующие данные или со­
храняя их на собственных носителях;

2) программа создается вне сферы обслуживания компьютерной
системы, для воздействия на которую она ориентирована. Злоумыш­
леннику необходимы сведения о функционирующей в системе инфор­
мации, способах доступа к ней, методах ее защиты. Для получения этих
сведений он устанавливает связи с кем-либо из пользователей системы
либо внедряется в нее посредством взлома.

О создании вредоносной программы свидетельствуют факты ее ис­пользования и распространения, особенно данные, позволяющие запо­дозрить в этом конкретное лицо. Тогда необходимы своевременные и тщательно произведенные обыски в местах работы и жительства подоз­реваемого, а также там, откуда он мог наладить доступ к компьютерной

_________________________________________________________ 349

системе. К обыску нужно привлечь специалиста-программиста, который поможет обнаружить все, что относится к созданию вредоносной про­граммы.

Факты использования и распространения вредоносной программы нередко обнаруживаются с помощью антивирусных программ. В ходе расследования такие факты можно установить при осмотре: а) журналов учета рабочего времени, доступа к вычислительной технике, ее сбоев и ремонта, регистрации пользователей компьютерной системы или сети, проведения регламентных работ; б) лицензионных соглашений и догово­ров на пользование программными продуктами и их разработку; в) книг паролей; г) приказов и других документов, регламентирующих работу учреждения и использование компьютерной информации. Эти документы нередко ведутся в электронной форме, поэтому к ознакомлению с ними необходимо привлекать специалиста, который поможет следователю выяснить законность использования того или иного программного обес­печения, систему организации работы учреждения, доступа к информации и компьютерной технике, установить круг лиц, имевших на это право.

Проводя допрос подозреваемого (обвиняемого), нужно выяснить уровень его профессиональной подготовки, опыт работы по созданию программ данного класса на конкретном языке программирования, зна­ние алгоритмов их работы, но особенно тех, которые подверглись не­правомерному воздействию, а также обстоятельства подготовки и со­вершения преступления, алгоритм функционирования вредоносной программы, на какую информацию и как она воздействует.

В ходе допросов свидетелей выясняют, какая информация подвер­галась вредоносному воздействию, ее назначение и содержание; как осуществляется доступ к ресурсам ЭВМ, их системе или сети, кодам, паролям и другим закрытым данным; как организованы противовирус­ная защита и учет пользователей компьютерной системы. При этом нужно иметь в виду, что практикуется множество способов использова­ния и распространения вредоносных программ. Так, нередки случаи запуска программы с другого компьютера или с дискеты, купленной, одолженной, полученной в порядке обмена, либо с электронной «доски объявлений». Вирус, вызывающий уничтожение и блокирование ин­формации, сбои в работе ЭВМ или их системы, может распространяться вследствие использования нелицензионной и несертифицированной программы (чаще игровой), купленной или скопированной у кого-либо.

Доказыванию фактов использования и распространения вредонос­ных программ способствует своевременное производство компьютерно-технической экспертизы, посредством которой можно определить, ка­кие изменения и когда внесены в исследуемые программы, выявить последствия использования и распространения вредоносных программ,

350_________________________________________________________

а также примененный преступником способ преодоления программной и аппаратной защиты (подбор ключей и паролей, отключение блоки­ровки и др.).

При установлении лиц, виновных в создании, использовании и рас­пространении вредоносных программ, необходимо учитывать, что их может создать опытный программист, который, как правило, не участ­вует в его распространении.

Использовать и распространять вредоносные программы может лю­бой пользователь ПК. Однако наибольшую потенциальную опасность представляют опытные компьютерные взломщики — хакеры, а также квалифицированные специалисты в области электронных технологий.

Преступления этой категории иногда бывают групповыми: хакер-профессионал создает вредоносные программы, а его сообщники помо­гают ему в материально-техническом и информационном отношениях. Мировой практике борьбы с компьютерными преступлениями известны случаи связей между хакерами и ОПФ. Последние выступают в роли заказчиков, обеспечивают хакеров необходимой техникой, а те органи­зуют хищения денежных средств из банковских компьютерных систем.

Поиск лица, причастного к распространению вредоносных программ для ЭВМ, сопряжен со значительными затратами времени, сил и средств. Органу дознания нужно поручить выявление и проверку лиц, ранее при­влекавшихся к ответственности за аналогичные преступления. Установив подозреваемого, его немедленно задерживают, чтобы предотвратить уничтожение компрометирующих материалов. Кроме того, если вредо­носная программа является компьютерным вирусом, промедление может увеличить масштабы его распространения и причиненный ущерб.

Допрашивая подозреваемого, необходимо выяснить его профессию, взаимоотношения с коллегами, семейное положение, круг интересов, привычки и наклонности, навыки программирования, ремонта и экс­плуатации компьютерной техники, какими ее средствами, машинными носителями, аппаратурой и приспособлениями он располагает, на какие деньги их приобрел, где хранил и т.д.

Для проверки возможности создания вредоносной программы опре­деленным лицом, признавшимся в этом, проводится следственный экс­перимент.

При установлении вреда, причиненного преступлением, следует помнить, что вредоносная программа может практически мгновенно размножиться в большом количестве экземпляров и очень быстро зара­зить многие компьютерные системы. Это реально, ибо компьютерные вирусы могут: а) заполнить весь диск или всю свободную память ПК своими копиями; б) смешать файлы так, что отыскать их на диске практически невозможно; в) испортить таблицу размещения файлов;

_________________________________________________________ 351

г) отформатировать диск или дискету, уничтожив все ранее записанное;

д) замедлить работу ПК; е) внести изменения в таблицу определения ко­
дов, сделав невозможным пользование клавиатурой; ж) раскрыть инфор­
мацию с ограниченным доступом; з) привести ПК в полную негодность.

У 3. Большой ущерб ЭВМ, их системе или сети может причинить нарушение правил эксплуатации, обычно приводящее к сбоям в обра­ботке информации, а в конечном счете дестабилизирующее деятель­ность соответствующего предприятия или учреждения.

При расследовании дел данной категории необходимо прежде всего доказать факт нарушения эксплуатационных правил, повлекший унич­тожение, блокирование или модификацию компьютерной информации и причинение существенного вреда. Кроме того, следует установить и доказать: 1) место и время (период времени) нарушения правил экс­плуатации ЭВМ, их системы или сети; 2) характер компьютерной ин­формации, подвергшейся уничтожению, блокированию или модифика­ции; 3) способ и механизм нарушения правил; 4) характер и размер причиненного ущерба; 5) факт нарушения правил определенным лицом и виновность последнего.

Доказывая факт преступного нарушения правил эксплуатации ЭВМ, необходимо тщательно изучить эти правила, поскольку они опре­деляют порядок получения, обработки, накопления, хранения, поиска, распространения и представления потребителю компьютерной инфор­мации, а также ее защиту.

Статья 274 УК РФ охраняет информацию, имеющую ограниченный доступ, которая подразделяется на отнесенную к государственной тайне и конфиденциальную. Именно эти две категории сведений, циркули­рующих в компьютерных системах и сетях, нуждаются в особой защите от преступных посягательств.

Порядок накопления, обработки, предоставления пользователю и защиты информации с ограниченным доступом определяется органами государственной власти либо собственником такой информации. Соот­ветствующие правила установлены в органах государственной испол­нительной власти, в госархивах, информационных системах, обрабаты­вающих конфиденциальные сведения, и те, которые составляют госу­дарственную тайну.

Владельцы и пользователи системы или сети ЭВМ первыми обна­руживают отсутствие необходимой информации либо ее существен­ные изменения, негативно отразившиеся на деятельности предпри­ятия, учреждения, организации. Владелец документов, их массива или информационной системы обязан оповещать ее собственника обо всех фактах нарушения режима защиты информации.

352_________________________________________________________

При нарушении правил эксплуатации, когда это привело к вредным последствиям, необходимо допросить всех лиц, которые работали на ЭВМ и обслуживали компьютерное оборудование в интересующий след­ствие период. К участию в допросе целесообразно привлечь специалиста. Выяснению подлежит следующее: 1) круг обязанностей допрашиваемого при работе с ЭВМ либо ее оборудованием, какими правилами он установ­лен? 2) какая конкретно работа на ПК и в каком порядке выполнялась, когда произошло уничтожение, блокирование, изменение компьютерной информации? 3) какие неполадки в компьютерной системе обнаружились при работе на ЭВМ, не было ли при этом каких-либо сбоев, чреватых причинением существенного вреда? 4) какие конкретно правила работы с ПК были нарушены? 5) каким образом должны фиксироваться факты уничтожения, блокирования или модификации компьютерной информа­ции? 6) связаны ли уничтожение, блокирование, модификация информа­ции с нарушением правил эксплуатации ЭВМ и каких именно?

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования. Обычно оно проводится отделом информационной безопасности предприятия, на котором про­изошел уголовно наказуемый инцидент. В этих материалах можно най­ти ответы на многие из вышеприведенных вопросов. По материалам служебного расследования могут быть установлены также место и время преступного нарушения правил, другие обстоятельства, подле­жащие доказыванию.

Конкретное место нарушения правил эксплуатации ЭВМ определя­ют и при осмотре рабочих мест пользователей компьютерной системы или сети. Осмотру подлежат все подключенные к ним ПК. Осмотр дол­жен проводиться с участием специалиста, помогающего выяснить дис­локацию компьютера, работа на котором привела к вредным последст­виям. Необходимо установить, где расположена станция, эксплуатация которой велась с грубыми отступлениями от требований информацион­ной безопасности. В первую очередь следует определить места, где дислоцированы рабочие станции, имеющие собственные дисководы, так как именно на них есть потенциальные возможности для преступных нарушений правил эксплуатации компьютерной сети.

Рекомендуется производить следственный осмотр учетных дан­ных, в которых могут быть отражены сведения о расположении кон­кретной рабочей станции, использующей файловый сервер. Кроме того, следует допросить в качестве свидетелей администратора сети и спе­циалистов, обслуживающих сервер, в котором произошло уничтожение, блокирование или модификация компьютерной информации. Подобные допросы позволяют выяснить: на какой рабочей станции могли быть на­рушены правила эксплуатации компьютерной сети, где она расположена;

_________________________________________________________ 353

Могли ли быть нарушены правила эксплуатации данной локальной вычислительной сети на конкретной рабочей станции?

Если правила нарушены непосредственно на файловом сервере, то места нарушения и наступления вредных последствий совпадают. Ме­сто нарушения правил поможет установить компьютерно-техническая экспертиза.

При определении времени нарушения правил эксплуатации ЭВМ не­обходимо установить и зафиксировать еще и время наступления вред­ных последствий. Нарушение правил и наступление таких последствий могут произойти одновременно. Например, когда отключается электро­питание, а его резервные источники отсутствуют (т.е. нарушены прави­ла обеспечения информационной безопасности), могут быть мгновенно уничтожены очень важные данные, которые не успели записать на дис­кету или флэш-карту.

Возможен и большой временной интервал между моментом нару­шения правил и временем наступления вредных последствий. Так, на Волжском автозаводе оказалось умышленно расстроенной работа трех линий главного сборочного конвейера, управляемого компьютером. Произошло это по вине инженера-программиста, который из низмен­ных побуждений пять месяцев назад ввел в одну из взаимодействующих программ управления накопителем механических узлов заведомо не­правильную последовательность команд счета подвесок и подачи шасси на главный конвейер. Тем самым предприятию был причинен крупный материальный ущерб; кроме того, из-за сверхнормативного простоя главного сборочного конвейера не было выпущено около 500 автомоби­лей «Жигули» (упущенная выгода). Это было одно из первых компьютер­ных преступлений, совершенных в Советском Союзе.

Время нарушения правил обычно конкретизируется по учетным данным, которые фиксируются в процессе эксплуатации ЭВМ. К ним относятся сведения о результатах применения средств автоматического контроля, регистрирующих пользователей компьютерной системы и моменты подключения к ней абонентов, содержание журналов учета сбойных ситуаций, передачи смен операторами ЭВМ, распечатки вы­ходной информации.

Указанные данные могут быть получены в ходе осмотра места про­исшествия, выемки и осмотра документов. Осмотр, напомним, прово­дится с участием специалиста. Время нарушения правил можно устано­вить также путем допросов свидетелей из числа лиц, участвующих в эксплуатации ЭВМ. Допрашиваемые могут пояснить, как в этой компьютерной системе фиксируются факты и время отклонения от установленных правил эксплуатации, когда могло быть нарушено определенное правило, что повлекло вредные последствия. Время

354_________________________________________________________

их наступления устанавливается по материалам служебного расследо­вания и результатам осмотра места происшествия, а также путем допро­са свидетелей и производства судебных экспертиз.

При осмотре места происшествия могут быть обнаружены машинные носители информации, на которых ранее хранились охраняемые законом данные. Последние вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблоки­рованными. На носителях может быть зафиксировано время наступления таких последствий, что выясняется также с помощью специалиста.

Указанные последствия часто обнаруживаются пользователями, а также администраторами базы данных. Поэтому при их допросах в качестве свидетелей следует уточнить, когда они впервые обнару­жили отсутствие или существенное изменение информации, находив­шейся в определенной базе данных.

Способ нарушения правил эксплуатации ЭВМ может быть активным или пассивным. Первый выражается в самовольном выполнении не предусмотренных операций, второй — в невыполнении предписанных действий. Механизм нарушения правил связан с технологией обработки информации на ЭВМ. Это, например, ее неправильное включение и выключение, использование посторонних дискет без предварительной проверки на компьютерный вирус, невыполнение правил об обязатель­ном копировании информации на случай уничтожения оригинала. Спо­соб и механизм нарушения правил выясняется путем допросов свидете­лей, подозреваемых и обвиняемых, проводимых с участием специали­стов, в ходе следственного эксперимента, производства компьютерно-технической экспертизы.

Характер ущерба, причиненного преступным нарушением правил эксплуатации ЭВМ, может заключаться в уничтожении, блокировании или модификации охраняемой законом информации. Для определения размера ущерба, причиненного преступным нарушением правил экс­плуатации ЭВМ, их системы или сети, степень секретности и конфи­денциальности информации имеет решающее значение. Ущерб носит либо чисто экономический характер, либо вредит интересам государст­ва вследствие утечки сведений, составляющих государственную тайну. Разглашение или утрата такой информации может создать серьезную угрозу внешней безопасности страны, что влечет уголовную ответст­венность еще и по ст. 283 и 284 УК. Размер ущерба устанавливается посредством информационно-экономической экспертизы, разрешающей вопрос: «Какова стоимость информации, уничтоженной (или изменен­ной) вследствие нарушения правил эксплуатации ЭВМ?»

При установлении виновного, следует иметь в виду, что к ЭВМ, их системе или сети, как правило, имеют доступ определенные люди в силу

_________________________________________________________ 355

выполняемой ими работы, связанной с применением средств компью­терной техники. Среди них и следует искать нарушителей правил.

Виновность лица, совершившего преступное нарушение правил эксплуатации ЭВМ, устанавливается по результатам допросов свидете­лей и подозреваемого, осмотра и изучения эксплуатационных докумен­тов на данную компьютерную систему, осмотра компьютера, оборудо­вания к нему, машинных носителей информации и распечаток.

Контрольные вопросы

1. Какие виды преступлений совершаются в сфере компьютерной
информации? Охарактеризуйте каждый из них с криминалистической
точки зрения.

2. Каковы особенности методики расследования случаев неправо­
мерного доступа к компьютерной информации?

3. В чем состоит специфика расследования фактов создания, ис­
пользования и распространения вредоносных программ для ЭВМ?

4. Охарактеризуйте методику расследования нарушения правил экс­
плуатации ЭВМ, их системы или сети.

5. В чем состоит специфика следственных действий, проводимых по
делам данной категории?

Тема 27. Методика расследования налоговых преступлений

План лекции

> 1. Выявление налоговых преступлений.