Особенности тактики следственных действии, направленных на собирание компьютерной информации.
Перед началомобыска (осмотра)принимаются меры к предотвращению повреждения или уничтожения информации:
- осуществляется контроль за бесперебойным электроснабжением ЭВМ в момент осмотра;
- удаляются все посторонние лица с территории, на которой производится обыск (осмотр), и прекращается доступ на нее;
- оставшиеся на территории лица лишаются доступа к средствам вычислительной техники и к источникам электропитания;
- эвакуируются находящиеся на объекте взрывчатые, легковоспламеняющиеся, едкие вещества, посторонние источники излучения и другие предметы и аппаратура, способные привести к аварии ЭВМ.
Обыск (осмотр) целесообразно производить с участием специалиста в области судебной компьютерно-технической экспертизы и специалиста-криминалиста, поскольку на компьютерных средствах зачастую оказываются следы рук, а также обнаруживаются рукописные и печатные документы. Желательно в качестве понятых приглашать квалифицированных пользователей ЭВМ.
Не следует ограничиваться поиском информации только в компьютере, необходимо внимательно осмотреть имеющуюся документацию, вплоть до записей на клочках бумаги. Поэтому любые обнаруженные носители информации должны быть изъяты и изучены.
Производство обыска (осмотра) в помещениях, где находится много компьютерных устройств, работает множество людей, сопряжено со значительными трудностями. Для проведения такого объемного и крупномасштабного следственного действия зачастую необходимо привлечение большого количества работников правоохранительных органов, включая сотрудников силовых подразделений, поскольку лица, в отношении которых расследуется уголовное дело, часто оказывают серьезное сопротивление. Число участников такого объемного следственного действия достигает нескольких десятков, а подчас и сотен, поэтому главным элементом его проведения является четкая организация, инструктаж каждого участника о целях и задачах следственного действия.
Важнейшими условиями успеха в этом случае являются: собирание информации об объекте осмотра или обыска; составление плана осмотра или обыска с детальной регламентацией задач каждого участника; определение состава следственно- оперативной группы; обеспечение оперативной группы необходимыми техническими средствами.
При подготовке к осмотру или обыску необходимо определить: количество компьютеров и их типы; организацию электропитания и наличие автономных источников питания; используемые носители компьютерных данных; наличие локальной сети и выхода в другие сети с помощью модема, радиомодема или выделенных линий; используемое системное и прикладное программное обеспечение; наличие систем защиты информации, их типы; возможности использования средств экстренного уничтожения компьютерной информации; квалификацию пользователей, а также взаимоотношения в коллективе сотрудников, обслуживающих технику.
Необходимодопросить (опросить) администратора системы (системного администратора) и выяснить: какие операционные системы установлены на каждом из компьютеров; какое используется программное обеспечение; какие применены системы защиты и шифрования; где хранятся общие файлы данных и резервные копии; каковы пароли супервизора и администраторов системы; какие зарегистрированы имена и пароли пользователей.
Для успешного проведения обыска (осмотра) особое значение имеет фактор внезапности. В противном случае подозреваемый (обвиняемый) может быстро уничтожить изобличающие его материалы, находящиеся в ЭВМ или на магнитных носителях. Если получены сведения о том, что компьютеры организованы в локальную сеть, по возможности следует установить местонахождение всех компьютерных устройств, подключенных к этой сети. При этом проводится групповой обыск (осмотр) одновременно во всех помещениях, где установлены компьютерные средства.
Рабочий этап обыска (осмотра) включает обзорную и детальную стадии. На обзорной стадии следователь корректирует и пополняет данные об объекте, фиксирует участки, требующие особого внимания. Следует обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в локальную сеть, использующие витую пару). В этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения следственного действия могут находиться в другом месте или быть спрятаны. На этой стадии уточняется распределение объектов между участниками обыска.
На детальной стадии осуществляются непосредственный поиск, обнаружение и изъятие объектов обыска (осмотра) — компьютерных средств и криминалистически значимой компьютерной информации. Может быть использован как последовательный, так и выборочный методы обследования. При большом сосредоточении компьютерных устройств последовательный поиск занимает слишком много времени. Поэтому необходимо в первую очередь осматривать те компьютерные средства, которые выбраны на подготовительном этапе. Другой причиной выбора того или иного компьютерного средства является подозрительное поведение обыскиваемого, его неубедительные объяснения поданному устройству, файлу, программе, несоответствие обнаруженных компьютерных средств или программ личности обыскиваемого.
Для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при определенных условиях автоматически производят полное или частичное стирание информации. Это высокая степень защищенности компьютерной информации. Низкая степень защищенности определяется наличием простого алгоритма ограничения доступа (например, данные защищены только паролем), получением достоверных данных о его преодолении.
Включать и выключать компьютеры, производить с ними какие-то манипуляции может только специалист, участвующий в производстве данного следственного действия. Если на объекте было отключено электроснабжение (например, в связи с пожаром или взрывом), до его включения следует проверить, всели компьютеры и периферийные устройства находятся в отключенном состоянии.
Если компьютер на момент начала обыска (осмотра) оказался включен, необходимо оценить информацию, отображенную на мониторе, и определить, какая программа выполняется в данный момент. В случае работы стандартного программного обеспечения нельзя приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран монитора нужно сфотографировать, а также отключить все телефонные линии, подключенные к компьютеру.
В протоколе необходимо описать все соединения на задней стенке системного блока. Если это признано целесообразным, вскрывается кожух системного блока и визуально определяется конфигурация ЭВМ, описывается месторасположение электронных плат.
В случае если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства (платы расширения, нестандартные соединения и т. д.), компьютер необходимо сразу выключить. При этом следует не отключать тумблер блока питания, а вынимать вилку из розетки. Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены; промаркировать все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств. Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы либо дождаться завершения се работы для получения дополнительных, возможно искомых, данных.
Если для поиска информации задействуется программное обеспечение, не находящееся в компьютере, это необходимо отмстить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль за их работой нагляден.
Особого внимания требуют места хранения носителей информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к соответствующим накопителям. Кроме того, в организациях с развитой локальной сетью, как правило, производится регулярное архивирование информации на какой-либо носитель. Только после выполнения указанных выше мероприятий специалист, участвующий в следственном действии, может произвести изъятие носителей информации.
В протоколе следственного действия следователь описывает основные физические характеристики изымаемых устройств, их видимые индивидуальные признаки, конфигурацию компьютерных средств (их комплектацию); номера моделей и серийные номера каждого из устройств; инвентарные номера, присваиваемые бухгалтерией при постановке средства на баланс организации; иную информацию, имеющуюся на фабричных ярлыках фирмы-изготовителя.
Осмотр документов (источников и носителей криминалистически значимой компьютерной информации, документации, различных записей, даже на клочках бумаги) может иметь значение для успешного достижения цели. На начальном этапе следователь получает общее представление о документе, выясняя следующие обстоятельства:
что представляет собой документ; у кого и где он хранится; внешний вид документа и его реквизиты; происхождение документа, от кого поступил адресату. При осмотре документа - вещественного доказательства следователь доступными ему средствами решает вопрос о его подлинности, изучая содержание и форму документа, материал и его отдельные части, подписи, оттиски печатей и штампов и др.
Выемка электронных документов и иной информации из вычислительных сетей. Законодатель пока не предложил детальной регламентации этого процесса, поэтому если необходимо произвести выемку электронной почты из домашнего компьютера, то это можно сделать путем изъятия самого компьютерного средства или жесткого диска. Как правило, операторы связи не хранят на своих серверах электронную почту абонентов, т. е. речь идет о еще не полученной электронной почте. В договорах о предоставлении Интернет- услуг обычно предусмотрены обязательства провайдера предпринимать общепринятые в Интернете технические и организационные меры для обеспечения конфиденциальности информации, получаемой или отправляемой абонентом. Доступ третьим лицам к информации, получаемой или отправляемой абонентом, обеспечивается исключительно в соответствии с законодательством Российской Федерации.
Собирание криминалистически значимой информации в вычислительной сети имеет свои особенности. В первую очередь необходимо установить общее количество компьютеров и их распределение по другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используемой сетевой операционной системы и состав прикладного программного обеспечения, используемого в вычислительной сети. Следует также установить факт наличия резервных копий данных и места их хранения. Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные, сети; установлению возможностей использования коммуникационных средств для связи с удаленными пользователями, другими организациями (фирмами), частными лицами.
В это же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет. В случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона; по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.
Для обеспечения сохранности информации необходимо:
- предотвратить отключение энергоснабжения организации, обеспечив охрану распределительного щита;
- запретить работникам организации и прочим лицам производить какие-либо манипуляции с компьютерными средствами;
- предупредить всех участников следственного действия о недопустимости самостоятельных манипуляций с компьютерными средствами;
- точно установить местоположение серверов; определить местоположение компьютеров, подключенных к вычислительной сети (иногда помогает электропроводка, достаточно проследить трассы кабелей или специальных коробов для защиты кабелей).
Следственная группа должна иметь физическую возможность одновременно занять все помещения, в которых находятся компьютеры, входящие в сеть. Наличие средств удаленного доступа позволяет оперативно манипулировать информацией в сети любым компьютером, входящим в нее.
Завершающим этапом осмотра, обыска или выемки по делам, сопряженным с использованием компьютерных технологий, являются фиксация и изъятие компьютерных средств. От того, как произведены изъятие, транспортировка и хранение этих объектов, часто зависит их доказательственное значение. Все изъятые системные блоки и другие устройства должны быть упакованы и опечатаны таким образом, чтобы исключить возможность их повреждения, включения в сеть и разборки. В протоколе должны быть точно отражены место, время и внешний вид изымаемых предметов и документов. При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать.
Придопросах подозреваемых и обвиняемых необходимо учитывать данные криминалистической характеристики о личности предполагаемого преступника.
При первоначальном допросе, побуждая лицо к деятельному раскаянию, необходимо выяснить:
- какие изменения в работу компьютерных систем были внесены;
- какие вирусы использовались;
- есть ли, с точки зрения подозреваемого (обвиняемого), возможность быстро устранить или уменьшить вред, причиненный несанкционированным проникновением в систему; какие сведения и кому передавались.
Придопросах свидетелей и потерпевшихнеобходимо выяснить:
- назначение и функции компьютерной системы; кто имел доступ к ней и в помещения, где располагалась компьютерная техника;
- не появлялись ли там посторонние лица; какие средства защиты использовались; кто санкционировал доступ к информации (если она была закрытой) и кто реально был допущен;
- какой вред (имущественный, неимущественный) причинен преступлением и имеются ли способы его уменьшить.