Розслідування злочинів у сфері комп’ютерної інформації
Типові слідчі ситуації у провадженнях даної категорії:
1. Кримінальне провадження розпочато у звязку зі встановленням неправомірного доступу до компютерної інформації в момент чи невдовзі після вчинення злочину, зафіксовані сліди, підозрюваний затриманий «на гарячому». Основне тактичне завдання слідства – виявлення та фіксація доказів причетності до злочину конкретної особи. Алгоритм розслідування: особистий обшук затриманого; допит підозрюваного; проведення обшуків з метою виявлення слідів підготовки й реалізації його злочинних дій (у місці проживання підозрюваного, роботи, в інших місцях, де встановлена відповідна апаратура), допит потерпілого, свідків, призначення відповідних експертиз.
2. Кримінальне провадження розпочато у звязку зі встановленням неправомірного доступу до компютерної інформації невдовзі після вчинення злочину, зафіксовані сліди, що прямо вказують на злочинця, але він не затриманий. Основне тактичне завдання слідства у цій ситуації полягає в зборі й процесуальній фіксації доказів. Алгоритм розслідування: огляд місця події (якщо це не було здійснено до відкриття кримінального провадження), допит свідків, потерпілого, витребування та огляд документів, призначення судових експертиз. Також слідчий доручає проведення гласних та негласних слідчих (розшукових) дій з метою встановлення місця знаходження підозрюваного, місця, звідки відбувалось вторгнення в комп’ютерну систему тощо.
3. Кримінальне провадження розпочато у звязку зі встановленням неправомірного доступу до компютерної інформації невдовзі після вчинення злочину, відомі особи, що несуть за своїм службовим становищем за це відповідальність, але характер іхньої особистої провини та інші обставини доступу не встановлені. Основне тактичне завдання слідства у цій ситуації полягає зборі й фіксації слідів злочину, встановлення мотивів його вчинення, кола всіх співучасників. Алгоритм розслідування: огляд місця події; допит потерпілого; витребування та огляд відповідної технічної документації, а також записів камер відео спостереження (якщо приміщення ними обладнане); призначення відповідних експертиз; допит свідків; доручення слідчого відповідним оперативним підрозділам про проведення гласних та негласних слідчих (розшукових) дій з метою вивчення особистостей, способу життя, інших даних про осіб, запідозрених у вчиненні злочину, встановлення мотивів іхніх дій, витребування необхідної інформації від операторів стільникового (мобільного) звязку, ін.
4. Кримінальне провадження розпочато у звязку зі встановленням неправомірного доступу до компютерної інформації через тривалий час після вчинення злочину, виявленням певних слідів, та за відсутності відомостей про особу (осіб), що його вчинили. Типовою версією буде така: злочин вчинено особою (фірмою, організацією) з певного кола, що зацікавлене в одержані даної інформації. Основне тактичне завдання слідства у цій ситуації полягає у виявленні, дослідженні слідів злочину та встановленні осіб, причетних до його вчинення. Алгоритм розслідування: огляд місця події; допит потерпілого і свідків; витребування та огляд відповідних документів, матеріалів; призначення судових експертиз; доручення в порядку п. 3 ч. 2 ст. 40 КПК України щодо встановлення осіб, причетних до вчинення злочину, виявлення слідів злочину тощо.
Слідчий огляд, обшук, тимчасове вилучення, об’єктом яких є комп’ютерна техніка, електронні носії інформації та інформаційний масив, що знаходиться в них. При підготовці до проведення зазначених слідчих дій слідчому доцільно: 1) отримати консультацію та залучити до участі фахівця в галузі комп’ютерної техніки чи(і) інформаційних технологій; 2) запросити в якості понятих осіб, обізнаних в комп’ютерній техніці; 3) за необхідності підготувати відповідну комп’ютерну техніку для зчитування та збереження вилученої інформації; 4) підготувати достатню кількість пакувального матеріалу, спеціальних контейнерів для належного вилучення і транспортування відповідних об’єктів під час слідчої дії; 5) визначити засоби та сили, необхідні для блокування приміщення, відключення електроживлення, забезпечення охорони місця проведення слідчої дії тощо; 6) визначити яка комп’ютерна техніка й інформація мають бути оглянуті та вилучені з метою подальших досліджень. Прибувши на місце проведення слідчого огляду, обшуку, тимчасового вилучення необхідно: 1) видалити сторонніх осіб із зони доступу до обладнання; 2) забезпечити неможливість їх втручання до системи через лінії зв`язку (зокрема через модеми); 3) не дозволяти особам, присутнім при проведенні огляду чи обшуку, нічого змінювати у роботі системи; 4) визначити чи ввімкнений комп’ютер, в якому режимі він перебуває (очікування, виконання програми, ін.) та чи є необхідність термінового призупинення дії цих процесів (наприклад, в ситуації виконання програми знищення чи шифрування інформації), чи є він складовою комп’ютерної системи або мережі; 5) вивчити відображення на екрані комп’ютера; 6) встановити, чи не міститься на комп’ютері інформація, яка б сприяла більш плідному та цілеспрямованому огляду (шифри, паролі, коди доступів тощо); 7) визначити складові комп’ютеру, їх загальні ознаки (марка, модель, серійний номер, ін.), наявність перефірійного устаткування або спеціальних технічних пристроїв негласного отримання та знищення комп’ютерної інформації; 8) визначити наявність (або відсутність) фізичних пошкоджень комп’ютерної техніки чи(і) носіїв інформації, а також слідів людини, яка з ними працювала (відбитків пальців рук, мікроволокон, волосся тощо); 9) визначити подальші дії з метою дослідження, вилучення комп’ютерної техніки, носіїв електронної інформації чи(і) інформації, що знаходиться в них. В протоколі огляду місця події слід зафіксувати: а) програму, яка виконувалася комп’ютером на момент проведення (чи до проведення) слідчої дії (для цього необхідно вивчити зображення, яке містилося на екрані монітора комп’ютера, всі функціонуючі при цьому периферійні пристрої та результати їх діяльності); б) результат дії виявленої програми; в) всі маніпуляції з засобами комп’ютерної техніки (у тому числі натискання на кнопки клавіатури), здійснені в процесі проведення слідчої дії та їх результат; г) всі вилучені речі, предмети та документи; д) проведення фото- чи відеозапису слідчої (розшукової) дії
При розслідуванні комп’ютерних злочинів призначається судова комп’ютерно-технічна експертиза, що належить до класу інженерно-технічних. Комп’ютерно-технічна експертиза має такі види: 1) експертиза комп’ютерних засобів; 2) експертиза програмного забезпечення; 3) експертиза даних.