Получение информации о соединениях между абонентами и (или) абонентскими устройствами
В соответствии со ст. 186.1 УПК РФ информация о соединениях между абонентами и (или) абонентскими устройствами может быть получена следователем на основании судебного решения, если имеются достаточные основания полагать, что такая информация имеет значение для уголовного дела.
Под категорию «информация о соединениях между абонентами и (или) абонентскими устройствами» применительно к рассматриваемой категории преступлений подпадает:
информация о соединениях между абонентскими устройствами, в качестве которых выступает сетевое оборудование потерпевшего, преступника, иных лиц; провайдера сети Интернет; организации - платежной системы; к такой информации необходимо отнести IP-адреса, интервалы подключений к сети Интернет, иную информацию о сетевых соединениях;
информация о соединениях между абонентскими устройствами, в качестве которых выступают устройства и оборудование мобильной связи -мобильный телефон преступника, иных лиц; оборудование мобильной связи оператора связи; к такой информации необходимо отнести номера IMEI, IMSI, идентифицирующие устройство мобильной связи и сим-карту соответственно; собственно абонентские номера преступника, иных лиц; интервалы связи, иную информацию о сетевых соединениях.
Необходимо отметить, что сами по себе элементы категории «информация о соединениях между абонентами и (или) абонентскими устройствами» не являются охраняемой законом информацией, если получены порознь из других источников. Только полученные провайдером или оператором мобильной связи в ходе оказания услуг, такие данные охраняются законом.
В ст. 186.1 УПК РФ перечислены требования к ходатайству следователя о производстве этого следственного действия. В ходатайстве необходимо указать уголовное дело, при производстве которого необходимо выполнить данное следственное действие; основания, по которым производится данное следственное действие; период, за который необходимо получить соответствующую информацию и (или) срок производства данного следственного действия; наименование организации, от которой необходимо получить указанную информацию.
Уточним, что с учетом потенциально длительной подготовки к преступлению следователь может указать началом периода, за который необходимо получить соответствующую информацию, дату, задолго предшествующую дате совершения преступления. Однако выбор такого интервала должен быть обоснован в ходатайстве следователя и признан судом.
Также важно при составлении ходатайства обращать внимание на правильное наименование организации, от которой необходимо получить запрашиваемую информацию. Многие интернет провайдеры и операторы мобильной связи широко используют в рекламе своих услуг эквивалент названия организации, не фигурирующий в уставных документах организации. При указании такого эквивалента следователем в ходатайстве, суд согласится с доводами следователя и вынесет решение о предоставлении следователю информации о соединениях между абонентами и (или) абонентскими устройствами. В результате этого судебное решение не будет содержать полное или краткое название организации, имеющееся в ее учредительных документах, а последующее исполнение судебного решения может повлечь за собой признание полученных доказательств недопустимыми.
В случае получения копии судебного решения о получении информации о соединениях между абонентами и (или) абонентскими устройствами, руководитель организации - интернет-провайдера или оператора мобильной связи формирует массив данных, содержащий запрашиваемую информацию, распечатывает его на бумажном носителе или записывает на компакт-диск, после чего упаковывает и опечатывает такой носитель, готовит сопроводительное письмо. В сопроводительном письме указывается период, за который предоставлена информация, и номера абонентов и (или) абонентских устройств.
Применительно к расследованию преступлений рассматриваемой категории необходимо иметь в виду, что ч. 4 ст. 186.1 УПК допускает получение следователем информации о соединениях между абонентами и (или) абонентскими устройствами в течение шести месяцев. Такая информация предоставляется интернет провайдером или оператором мобильной связи по мере ее поступления, но не реже одного раза в неделю.
При описании особенностей выемки электронной почтовой корреспонденции было указано, что такой выемке сопутствует последующий осмотр электронной корреспонденции. Аналогичный подход применил законодатель в отношении информации о соединениях между абонентами и (или) абонентскими устройствами: при получении запрашиваемой информации следователь осматривает представленные ему документы с участием понятых и (при необходимости) специалиста, о чем составляет протокол. В протоколе отражается не вся представленная следователю информация, а только та, которая имеет отношение к уголовному делу
К материалам уголовного дела приобщается как полностью документ, представленный следователю интернет провайдером или оператором мобильной связи, так и протокол осмотра этого документа. 6. Назначение экспертизы.
При расследовании хищений денежных средств, совершенных с использованием компьютерных технологий, проводятся разные виды судебных экспертиз (напр., трасологическая, дактилоскопическая, почерковедческая, товароведческая и др.). Однако стоит отметить, что практически по всем уголовным делам вышеуказанной категории назначаются и проводятся следующие судебные компьютерно - технические экспертизы (далее, если не указано иное, судебно-компьютерные экспертизы или СКЭ):
аппаратно-компьютерная экспертиза - назначается для исследования непосредственно компьютерных устройств (персональные компьютеры, моноблоки, ноутбуки, нетбуки, планшеты, мобильные телефоны, сканеры, принтеры и др.);
программно-компьютерная экспертиза - назначается для исследования программного обеспечения (функционального предназначения и характеристик реализуемого алгоритма, структурных особенностей и текущего состояния системного и прикладного программного обеспечения компьютерной системы);
информационно-компьютерная экспертиза - назначается для исследования документации, изготовленной с помощью компьютерных устройств, информации в мультимедийных форматах, информации в базах данных и других приложениях, имеющих прикладной характер и т. п.;
компьютерно-сетевая экспертиза - назначается для исследования физического и функционального состояния компьютерных устройств, которыми обеспечены сетевые и телекоммуникационные технологии.
Следует отметить, что в следственной практике назначаются СКЭ для разрешения соответствующих задач без указаний на их виды.
Принимая во внимание, что назначение, производство и использование результатов СКЭ и других видов судебных экспертиз происходит в рамках взаимодействия следователя (начальника ОПС) с экспертом (экспертными учреждениями), особенности организации которого рассматриваются в отдельном разделе настоящей работы, ограничимся рассмотрением перечней вопросов, которые могут быть поставлены на разрешение СКЭ.
Исследователями предлагаются следующие типичные вопросы при назначении СКЭ:
к какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики?
каково функциональное предназначение представленного аппаратного средства?
возможно ли использование данного аппаратного средства для решения конкретной задачи?
каково фактическое состояние (исправен, неисправен) представленного аппаратного средства?
является ли неисправность данного средства следствием нарушения правил эксплуатации?
является ли представленное аппаратное средство носителем информации?
какой вид (тип, модель, марку) имеет представленный носитель информации?
какое устройство предназначено для работы с данным носителем информации? Имеется ли в составе представленной компьютерной системы устройство, предназначенное для работы (чтение, запись) с данным носителем информации?
какие параметры имеет носитель информации?
какова общая характеристика представленного программного обеспечения?
к какому виду (общесистемное, прикладное и т. д.) относится представленное программное обеспечение?
каковы реквизиты разработчика, правообладателя представленного программного средства?
каков состав и параметры файлов представленного программного обеспечения?
какое функциональное предназначение имеет программное обеспечение?
имеется ли на электронных носителях информации программное обеспечение для решения конкретной задачи?
какие системы защиты применялись в представленной на экспертизу системе?
имеются ли на представленных компьютерных носителях информации какие-либо средства для осуществления несанкционированного доступа и средства разграничения прав пользователей?
когда и каким образом осуществлялся несанкционированный (и санкционированный) доступ к информации?
имеется ли в представленных на экспертизу программных средствах возможность фальсифицировать или априорно задавать результат работы программы?
каков алгоритм работы представленного программного средства? подвергалось ли представленное программное средство модификации? В чем это нашло отражение?
имеются ли на представленных образцах с программным обеспечением программы, фрагменты программ, программного обеспечения, свидетельствующие о копировании (полном или частичном) с представленных легитимных образцов?
имеется ли в составе представленного программного обеспечения функции, предназначенные для несанкционированной модификации, уничтожения и распространения информации, нарушения работы аппаратных и программных средств?
какие свойства, характеристики и параметры имеют данные на носителе информации?
к какому типу относятся выявленные данные (текстовые документы, графические файлы и т. д.) и с помощью каких программных средств они могут обрабатываться?
каково содержание обнаруженной информации? какие данные на носителе информации имеют отношение к фактам и обстоятельствам конкретного дела или лица (в том числе и юридического)?
какие данные с представленных на экспертизу образцов и в каком виде находятся на носителе информации?
Перечисленные типичные вопросы конкретизируются с учетом конкретных объектов исследований и складывающейся следственной ситуации. Например, при исследовании мобильных устройств на разрешение эксперту или специалисту могут быть поставлены типовые вопросы общего диагностического характера о наличии в устройстве (включая внешние карты памяти и сим-карты) каких либо файлов (текстовых, графических, музыкальных, видео-, фотофайлов, CMC-сообщений и др.), и эксперт извлекает весь физический дамп памяти. Если же следователя интересует какая-либо конкретная информация, то задаются соответствующие вопросы с указанием временного интервала удаления файлов.
В связи с наличием замечаний по вопросам, выносимым на исследование, необходимо обратить внимание на предлагаемые ЭКЦ МВД России следующие рекомендации:
использовать корректную терминологию (устоявшийся понятийно-категориальный аппарат), исключающий жаргонные или непрофессиональные понятия («проги», «винт», «логи», «взлом», «комп», «банить», «юзать», «коннектить» и т. п.), а так же не использовать всевозможные сокращения. При возникновении затруднений при определении, даче описательной характеристики того или иного объекта (продукта), необходимо использовать ту терминологию, которую используют разработчики конкретного устройства (или иного объекта) в прилагающейся к нему документации (руководство по эксплуатации, справки, памятки и др.);
вопросы не должны касаться этапов исследования, носить справочный характер, выходить за пределы компетенции эксперта;
вопросы должны ставиться конкретно и точно, соответствовать существующей в ЭКП или ином экспертном учреждении методической и технической базе, уровню подготовки его сотрудников (экспертов), быть направлены на установление конкретных обстоятельств расследуемого преступления, а также соответствовать представляемым на исследование объектам;
вопросы должны быть поставлены таким образом, чтобы финансовые, технические и временные затраты на производство экспертизы (исследования) были минимальными или целесообразными.
Представляется важным указать на особенности назначения судебных экспертиз в негосударственные экспертные учреждения, так как их производство в государственных судебно-экспертных учреждениях характеризуется повышенным вниманием к качеству экспертиз, контролем такого качества; оснащением экспертного подразделения оборудованием; характеризуется разработкой, обменом, использованием новых экспертных методик. В государственных судебно-экспертных учреждениях обеспечен единый научно-методический подход к производству судебных экспертиз: примерно схожи виды выполняемых экспертиз и перечни экспертных специальностей, по которым предоставляется право самостоятельного производства судебных экспертиз. На государственные судебно-экспертные учреждения возложены также научно-методическое обеспечение производства судебных экспертиз, профессиональная подготовка и повышение квалификации экспертов.
К сожалению, анализ практики производства судебных экспертиз в негосударственных экспертных учреждениях показывает невысокое качество выполнения таких экспертиз, что ставит под обоснованное сомнение в суде выводы эксперта. Это заставляет следователя предпринимать при назначении экспертизы в негосударственное экспертное учреждение дополнительные меры по обеспечению качества ее производства. Представляется, что такие меры наиболее полно представлены в постановлении Пленума Верховного Суда РФ от 21 декабря 2010г. №28. Среди них:
запрос сведений, касающихся возможности производства данной экспертизы, а также сведений об эксперте (фамилия, имя, отчество, образование, специальность, стаж работы в качестве судебного эксперта и иные данные, свидетельствующие о его компетентности и надлежащей квалификации);
приобщение к материалам уголовного дела заверенных копий документов, подтверждающих указанные сведения (трудовая книжка, диплом об образовании, приказ о назначении на должность и т. п.);
требование о том, чтобы вопросы, поставленные перед экспертом, и заключение по ним не выходили за пределы его специальных знаний;
требование иметь в распоряжении необходимое экспертное оборудование, если производство экспертизы поручено сотруднику научно-исследовательского учреждения, вуза, иной организации.
При назначении и использовании результатов СКЭ или иного соответствующего предварительного исследования, следователю необходимо иметь общие представления о порядке проведения экспертных исследований, в том числе порядке фиксации их хода и результатов.
Для исследования компьютерных устройств или компьютерной информации экспертом, имеющим соответствующую квалификацию, применяется специальная криминалистическая техника. Например, для извлечения и декодирования значимой для уголовного дела компьютерной информации из мобильных устройств эксперт может применить аппаратно-программные комплексы (напр., UFED и др.). Извлеченные на отдельный компьютер или флэш-карту данные анализируются с помощью специальной программы (напр., UFED Physical Analyzer), которая позволяет создать подробный структурированный отчет с интересующей следствие информацией.
В целях подтверждения получения искомой информации именно с данного мобильного устройства эксперту (специалисту) рекомендуется фиксировать всю процедуру получения информации с помощью видео- или фотосъемки, а видеосъемку или фототаблицу прилагать к заключению эксперта (специалиста).
В последующем полученный и распечатанный отчет об извлеченной из мобильного устройства информации приобщается к материалам Уголовного дела в полном объеме. Компьютерное устройство на основании постановления следователя также приобщается к материалам уголовного дела как вещественное доказательство, хранится в опечатанном виде.