Проблемы расследования компьютерных преступлений
Скоромников А.С.

Даны описания методик и алгоритмов расследования различного вида компьютерных преступлений, перечислены первоочередные проблемы, требующие решения.

Важнейшее место в Федеральной программе борьбы с компьютерными преступлениями, безусловно, должны занимать вопросы их расследования.

Практика показывает, что компьютерное преступление, как правило, легко совершается, но очень трудно раскрывается, а иногда, даже будучи раскрытым, остается не вполне доказуемым. Это объясняется, главным образом, тем, что наши следователи не имеют ни опыта, ни методик расследования преступлений, совершаемых с использованием ЭВМ.

Такая методика в настоящее время разрабатывается в НИИ проблем укрепления законности и правопорядка Генеральной прокуратуры на основе анализа имеющегося в нашей стране небольшого опыта расследования компьютерных преступлений и изучения зарубежной практики только, к сожалению, по литературным источникам.

В процессе работы по данной теме мы встретились с множеством труднорешаемых проблем. И, прежде всего, это касается самого понятия компьютерного преступления, а отсюда его уголовно-правовой квалификации и криминалистической характеристики. Трудности встретились в рассмотрении вопросов производства отдельных следственных действий (осмотра места происшествия, назначения судебных экспертиз, проведения следственного эксперимента и других). На некоторых из них и хотелось кратко остановиться.

До принятия нового Уголовного кодекса РФ мы, как и наши зарубежные коллеги, относили к компьютерным преступлениям все общественно опасные правонарушения, предусмотренные уголовным законодательством, так или иначе связанные с применением вычислительной техники.

В основном все изученные нами уголовные дела относились в конечном итоге к хищению денежных средств в особо крупных размерах посредством несанкционированного проникновения в банковские компьютерные системы (уголовное дело № 45920, возбужденное 28.08.91 г. Калининским РУВД г. Москвы по факту хищения 125,5 тыс. дол. США из "Внешэкономбанка"; уголовное дело № 113063 о попытке хищения 68 млрд. руб. из Центрального Банка России, возбужденное СУ ГУВД г. Москвы 25.12.93 г. и др.). Вычислительная техника в таких случаях применялась для использования компьютерной информации в незаконных финансовых операциях. И считалось, что орудием таких преступлений является компьютер, почему и стали они называться компьютерными.

В новом Уголовном кодексе ни разу не употребляется термин "компьютерные преступления". Глава 28 названа: "Преступления в сфере компьютерной информации". В нее включены три статьи: ст. 272 "Неправомерный доступ к компьютерной информации"; ст. 273 "Создание, использование и распространение вредоносных программ для ЭВМ" и ст. 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети". Именно эти преступления и надо рассматривать как компьютерные. Законодатель к определению характера этих преступлений подошел с верных позиций. Главным признаком их является не сам компьютер, выступающий в качестве орудия преступления, а определенные правоотношения. Таковыми, исходя из смысла главы 28 УК РФ, являются информационные отношения, складывающиеся в процессе создания, обработки, накопления, хранения, поиска, распространения и предоставления потребителю компьютерной информации, а также создания и использования информационных технологий и средств их обеспечения, и главным образом, защиты компьютерной информации. Основанием для такого утверждения служит Федеральный закон "Об информации, информатизации и защите информации", принятый Государственной Думой 25.02.95 г. Именно в нем подробно раскрывается содержание этих правоотношений. Данным законом предусмотрены и уголовно-правовые меры защиты компьютерной информации и прав субъектов в области информационных процессов и информатизации, которые теперь нашли свое отражение в нормах нового Уголовного кодекса Российской Федерации.

Очень важным для следователей, которые будут специализироваться на расследовании преступлений в сфере компьютерной информации, является в этом Законе то, что непосредственно в нем даны основные понятия таких терминов, как: информация; информатизация; документированная информация (документ); информационные процессы; информационная система; информационные ресурсы; персональные данные (информация о гражданах); конфиденциальная информация; средства обеспечения автоматизированных информационных систем и их технологий; собственник и владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения; пользователь (потребитель) информации. Их определения узаконены и не могут толковаться иначе.

Правильно законодатель сделал и то, что раскрыл понятие компьютерной информации непосредственно в ст. 272 УК РФ, определив ее как информацию на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети.

Таким образом, общим объектом для всех преступлений, указанных в главе 28 УК РФ, является компьютерная информация, а к непосредственным предметам преступного посягательства следует отнести базы или банки данных конкретных компьютерных систем или сетей, их отдельные файлы, а также определенные компьютерные технологии и программные средства их обеспечения, включая средства защиты компьютерной информации. Денежные средства и другие материальные ценности не могут быть непосредственными предметами преступного посягательства этих преступлений. Они являются предметами преступного посягательства иных преступлений.

Означает ли все сказанное, что мы вообще должны отказаться от термина "компьютерные преступления". Думается, он должен сохраниться, поскольку уже вошел в профессиональный лексикон, который будет обозначать условное наименование не только преступлений, перечисленных в главе 28 УК РФ, но и тех, которые стали логическим продолжением других преступлений, предусмотренных Уголовным кодексом, виновные в совершении которых должны привлекаться к уголовной ответственности по совокупности статей УК РФ. Этот термин необходим прежде всего для использования в статистических и других видах учета, иначе, если будем учитывать такие преступления только по статьям главы 28, очень трудно будет найти преступления, которые стали их продолжением, по своим последствиям более опасные, чем первые. Указанный термин бесспорно сохранится в устной и письменной речи. Не было бы излишним изложить понятие компьютерного преступления непосредственно в УК, как это сделано в отношении многих других преступлений.

Нуждаются в официальных комментариях и такие понятия, как блокирование, модификация компьютерной информации, неправомерный доступ к ней лица, имеющего доступ к ЭВМ. Законодатель отказался также и от термина "компьютерный вирус", хотя вполне очевидно, что именно о нем идет речь в ст. 273 "Создание, использование и распространение вредоносных программ для ЭВМ". Эта же статья относит тяжкие последствия к квалифицирующим признакам, но ничего не сказано, в чем они заключаются, а ведь по ней предусмотрено наказание в виде лишения свободы на срок от трех до семи лет.

Остается неясным, нарушение каких правил эксплуатации ЭВМ или их сети следует считать, согласно ст. 274 УК РФ, уголовно наказуемым и что понимать под тяжкими последствиями такого преступления. Не мешало бы пояснить и что понимается в законе под эксплуатацией ЭВМ, системы ЭВМ или сети. Технологический ли это термин или технический? Нам думается, что это технологический термин, обозначающий порядок формирования и использования компьютерной информации, и нельзя отождествлять его по аналогии с правилами техники безопасности, нарушение которых угрожает жизни и здоровью граждан.

Без официального разъяснения всего перечисленного очень трудно будет определить исчерпывающий круг обстоятельств, подлежащих доказыванию в процессе расследования рассматриваемых преступлений.

В настоящее время нами наиболее полно разработана методика расследования неправомерного доступа к компьютерной информации. Алгоритм расследования этого преступления построен по следующей схеме:

1. Установление самого факта неправомерного доступа к информации в компьютерной системе или сети.

2. Установление места несанкционированного проникновения в компьютерную систему или сеть.

3. Установление времени несанкционированного доступа.

4. Установление надежности средств защиты компьютерной информации.

5. Установление способа несанкционированного доступа.

6. Установление лиц, совершивших неправомерный доступ к компьютерной информации.

7. Установление виновности и мотивов лиц, совершивших неправомерный доступ к компьютерной информации.

8. Установление вредных последствий неправомерного доступа к компьютерным системам или сетям.

9. Выявление обстоятельств, способствовавших неправомерному доступу к компьютерной информации.

Конкретный факт неправомерного доступа к компьютерной информации, как правило, первыми обнаруживают сами пользователи компьютерной системы, но при этом они не всегда, по известным причинам, охотно идут на то, чтобы своевременно сообщить о случившемся правоохранительным органам. Особенно это относится к руководителям кредитно-финансовых и банковских учреждений, которые не очень-то желают привлекать к себе внимание общественности и вызвать у клиентов сомнения в надежности этих учреждений. И больше всего они боятся того, что по этому факту начнется проведение, проверок, ревизий и экспертиз, которые могут раскрыть их финансовые и иные служебные тайны и вскрыть другие серьезные недостатки. Именно так случилось в одном из московских коммерческих банков, когда его сотрудниками было установлено, что ведущий бухгалтер отдела валютных операций умышленно ввела ложные команды о переводе с одного счета банка на личные счета своих знакомых 123 тыс. .дол. США. Долгое время они не хотели сообщать об этом правоохранительным органам, надеясь разобраться своими силами, и вынуждены были это сделать, когда данный факт невозможно было уже дальше скрывать. Поэтому, помимо применения оперативно розысканых и иных известных мер обнаружения таких преступлений, видимо необходимо поставить перед специалистами задачу о разработке программных, технических и других средств автоматического выявления каждого случая такого неправомерного доступа к компьютерной системе, моментальной фиксации, блокирования его и своевременного оповещения служб информационной безопасности для предотвращения тяжких последствий и изобличения виновных. Тогда бы была снята и проблема установления точного времени этого доступа.

Среди организационно-правовых мер в этом направлении мы видим необходимость принятия ведомственных нормативных актов, регулирующих порядок оформления и направления в правоохранительные органы материалов по фактам уголовно-наказуемых нарушений в сфере компьютерной информации, подобно тому, как в свое время поступили природоохранные органы в отношении фактов нарушения экологического законодательства.

Особые трудности для следователей будет представлять установление способа неправомерного доступа к компьютерной информации. Конечно, он может быть установлен путем допросов свидетелей из числа лиц, обслуживающих данную систему, или ее разработчиков, в результате производства следственного эксперимента с целью проверки возможности преодоления средств и методов защиты компьютерной системы одним из вероятных способов, а также путем производства судебных экспертиз, о которых следует сказать особо.

Назначение судебных экспертиз по делам о преступлениях в сфере компьютерной информации необходимо для исследования как технологии процессов сбора, обработки, накопления, хранения, поиска и распространения информации в условиях функционирования автоматизированных информационных систем и сетей, так и самой электронно-вычислительной техники, технических средств связи и их комплектующих, выступающих в качестве вещественных доказательств. Поэтому к основным мы относим два новых вида судебных экспертиз: информационно-технологическая и информационно-техническая (никогда ранее не рассматриваемые в юридической литературе).

Информационно-технологическая экспертиза, по нашему мнению, должна назначаться в тех случаях, когда для возникающих в ходе расследования вопросов требуются специальные познания в технологии информационных процессов, связанной с использованием средств вычислительной техники и связи. К объектам ее исследования можно отнести: проектную документацию на АИС или сеть; программы для ЭВМ; инструкции и методики по эксплуатации АИС; схемы формирования информационных массивов, базы и банки данных и их описания; первичные документы для ввода в ЭВМ и т.д.

Информационно-техническая экспертиза назначается тогда, когда возникает необходимость в ходе следствия в специальных исследованиях непосредственно технической части отдельных узлов, блоков, периферийных устройств, оборудования, составляющих компьютерные системы или сети, которые тоже могут стать вещественными доказательствами. Ее объекты исследования можно разделить на две группы: непосредственно технические средства обработки информации и непосредственно машинные носители информации.

Указанные виды судебных экспертиз пока не проводятся в специализированных экспертных учреждениях, поэтому уже сейчас необходимо определить, кому можно поручать их производство. Нам думается, что в решении этой проблемы должны принять непосредственное участие Гостехкомиссия, Роскоминформ, ФАПСИ, РосАПО, Роскомсоюз, АО "Диалог-Наука" и другие учреждения и организации, тесно связанные с разработкой, внедрением и использованием компьютерных систем и сетей. Видимо, следует говорить о создании специализированных экспертных учреждений в этом направлении.

Мы полностью поддерживаем предложение и о специализации следственных подразделений по делам о расследовании компьютерных преступлений (будем продолжать их так называть), которые могли бы тесно взаимодействовать с уже созданными в МВД подразделениями по борьбе с такими преступлениями. Но это не означает, что такую специализацию надо доводить до того, чтобы следователь становился опытным программистом, как это предлагают некоторые авторы работ по данной тематике.

Следователи и оперативники должны быть вооружены специальными средствами (программными и аппаратными) для выявления и расследования компьютерных преступлений, о которых так много говорится в зарубежных источниках.

В качестве приложения к методике расследования таких преступлений мы предлагаем подготовить словарь специальных терминов, поскольку многие из них нуждаются в пояснении. Например, для юристов не совсем понятно, что понимать под протоколом, термином, часто употребляемом в компьютерном лексиконе, и каким образом можно было бы его использовать в качестве судебных доказательств. Без помощи специалистов нам, разумеется, не справиться с этой задачей, и мы приглашаем принять активное участие не только в подготовке такого словаря, но и всего методического пособия.

Сказанное здесь далеко не исчерпывает всех проблем расследования компьютерных преступлений.

Так, нами не рассмотрены проблемы установления лиц, совершивших неправомерный доступ к компьютерной информации, где речь должна идти о разработке надежных средств идентификации пользователей компьютерных систем и сетей.

Не рассмотрены проблемы установления надежности средств защиты их, которые связаны с сертификацией и лицензированием деятельности по разработке этих средств.

Трудной проблемой является установление размеров ущерба, причиненного такими преступлениями.

Завершающим этапом расследования, как известно, является установление обстоятельств, способствовавших преступлению. В настоящее время типичными из них, относящимися к неправомерному доступу к компьютерной информации, мы считаем следующие:

1. Нарушение технологического цикла проектирования, разработки, испытаний и сдачи в эксплуатацию АИС.

2. Совмещение функций разработки и эксплуатации программного обеспечения в рамках одного структурного подразделения.

3. Неприменение в технологическом процессе всех имеющихся средств и процедур регистрации и протоколирования операций, действий программ и обслуживающего персонала.

4. Нарушение сроков изменения паролей и кодов пользователей.

5. Нарушение установленных сроков хранения копий программ и копий информации, а иногда и отсутствие их.

Все это в конечном счете сводится к недостаточной эффективности средств и методов защиты компьютерной информации от неправомерного доступа к ней.

___________________________________________

Скоромников К.С. - кандидат юридических наук

---

&copy Информационное общество, 1996, вып. 4, с. 26-31.