Особенности тактики производства отдельных следственных действий

Чаще всего по делам данной категории проводятся такие следственные действия, как осмотры, обыски, выемки, допросы, назначаются экспертизы¹.

Особенности проведения осмотров будут освещены на примере осмотра места происшествия^{[1] [2]}.

Осмотр места происшествия (далее — осмотр) проводится в тех помещениях, в которых находятся компьютерная информация и техника, а в ситуациях, когда преступление совершено путем непосредственного доступа или удаленного доступа с близлежащий территории, то и в прилегающих помещениях и на участках местности, где остались следы преступления.

В связи со скоротечностью протекания информационных процессов в компьютерных системах, повышенной уязвимостью компьютерной информации осмотр должен проводиться как можно быстрее после выявления признаков преступления.

В ходе подготовки осмотра следователь обеспечивает: участие специалистов в области компьютерной информации и техники^[3]; наличие технических средств для работы с компьютерной информацией (программного и аппаратного обеспечения, съемных носителей информации и т. п.), видео- и фототехники; подбор понятых, предпочтительно из числа лиц, обладающих знаниями в сфере информатики.

Желательно использовать специализированные универсальные комплексы криминалистического исследования компьютерной информации^[4].

Все средства работы с компьютерной информацией (аппаратные и программные) должны отвечать следующим требованиям: быть лицензированными или сертифицированными; не изменять содержание компьютерной информации; иметь защиту от несанкционированного доступа; обеспечить представление информации в человекочитаемом виде.

По прибытии на место происшествия необходимо получить сведения от потерпевшего, свидетелей о расположении и состоянии компьютерной техники, признаках противоправных действий, организации работы с компьютерной информацией и мерах по ее защите.

Важнейшими узлами осмотра являются: компьютер и подключенное к нему оборудование; средства связи; соединения ЭВМ со средствами связи и с приборами электропитания; оборудование, обеспечивающее работу локальных и (или) глобальных сетей; хранилища носителей электронной информации; места проникновения в помещение и места установки преступником технических средств (при непосредственном доступе). Фиксация данных узлов в протоколе должна быть максимально полной и обеспечивать индивидуализацию технических средств, показывать их взаимосвязь и порядок соединения между собой. С этой целью необходимо провести фото- и (или) видеосъемку, составить план (схему).

Если осмотру подлежат компьютеры, объединенные в сеть, то необходимо зафиксировать вид и назначение сети, ее элементы, их расположение, включая наличие и расположение сервера, количество мест пользователей.

Осмотр компьютера состоит из внешнего осмотра и осмотра находящейся в нем компьютерной информации.

Осмотр компьютерной информации в ЭВМ и в других устройствах непосредственно на месте происшествия зависит от того, можно ли обеспечить при этом ее неизменность и сохранность. Главной задачей осмотра является фиксация информации. Действия по ее обнаружению (скрытых файлов и т. п.), исследованию (запуск программ и т. д.) проводятся только с учетом вышеизложенных требований и с участием специалиста.

При проведении осмотра информации в ЭВМ в момент совершения преступления или непосредственно после его окончания следователь в реальном времени фиксирует признаки способа совершения преступления^[5], может попытаться установить компьютер, с которого осуществляется незаконный доступ (при условии, что такие действия не затруднят расследование и не приведут к нанесению ущерба потерпевшему).

В протоколе фиксируется: работает ли компьютер в момент осмотра; какая программа выполняется; информация, отображающаяся на экране дисплея (оперативная фиксация осуществляется видео- и фототехникой с последующим приложением материалов к протоколу); тип операционной системы; программы, установленные на ЭВМ; файлы и каталоги, используемые в момент осмотра, если это возможно.

Описание внешнего вида компьютерной техники включает в себя родовые (размеры, цвет, марка и т. п.) и индивидуальные (серийные номера, надписи, повреждения и др.) признаки.

При осмотре нельзя использовать криминалистические средства, которые могут повредить компьютерную информацию и технику: магнитные кисти, другие приборы, воздействующие на электромагнитные поля, дактилоскопические порошки (они не должны попадать внутрь компьютерных устройств или в разъемы электронных носителей информации).

Следователь может изъять носитель компьютерной информации, в том числе ЭВМ и ее устройства, с предоставлением обладателю возможности сделать копию соответствующей информации. Такое копирование допустимо, только если оно не может воспрепятствовать расследованию преступления либо повлечь за собой утрату или изменение информации.

Следователь может обязать пользователя принять меры к сохранности компьютерной информации и техники. Это возможно в случаях, когда компьютерная информация не является средством совершения преступления и ее оставление в месте обнаружения не влечет за собой ее утрату или изменение. Так, при изъятии сервера у провайдера его деятельность может быть парализована и ущерб будет нанесен не только ему, но и правомерным пользователям его услуг.

Полученная компьютерная информации должна храниться в неизменном виде. Для проведения компьютерной экспертизы или иных следственных действий следователь с участием специалиста делает полную копию данной информации и с ней совершаются необходимые действия.

В ходе осмотра могут изыматься: носители информации, хранящиеся вне ЭВМ (в электронном и бумажном виде) и отражающие следы совершенного преступления (электронные журналы регистрации соединений с другими компьютерами и др.); документы, регламентирующие работу с ЭВМ (должностные инструкции и др.); образцы, характеризующие работу ЭВМ и ее устройств (распечатки, тонер и др.); документы, содержащие описание аппаратных и программных средств (проектная документация и др.); сведения о системе защиты, применяемой потерпевшим (коды, пароли, специальные криптографические программы) и т. п.

Тактика обысков требует обязательного участия в обыске специалистов и применения специальных технических средств^[6].

При подготовке обыска важное значение имеет временной фактор. Обыск должен быть проведен как можно быстрее и внезапнее для обыскиваемого. Требование соблюдения внезапности является жизненно необходимым для достижения целей обыска, так как компьютерная информация может быть очень быстро уничтожена, заблокирована.

Обыск во время совершения компьютерного преступления имеет большой психологический эффект, позволяет получить большой объем доказательственной информации, но чреват опасностью уничтожения искомой информации. Данный вид обыска требует тщательного изучения личности обыскиваемого, путей проникновения на место обыска, аппаратных и программных средств, имеющихся у подозреваемого, особенно средств защиты и уничтожения информации. Подготовка и сам обыск должны сопровождаться ОРМ.

Одним из важнейших факторов, влияющих на выбор момента производства обыска, является возможность получить беспрепятственный доступ к данным и технике подозреваемого. Легче всего это сделать во время работы лица с компьютером. При обыске необходимо не допустить выключения компьютера и прекращения работы программ, в том числе дистанционно.

Обыск начинается с личного обыска лица. Помимо обычно искомых и изымаемых предметов при личном обыске изымаются все средства связи, предметы, способные служить носителями компьютерной информации, приборы, инициирующие уничтожение такой информации^[7].

В дальнейшем важнейшей задачей обыска остается предотвращение уничтожения компьютерной информации обыскиваемым или третьими лицами: поиск и изъятие технических средств, недопущение обмена информацией с другими лицами, нейтрализация действий соответствующих программ.

В ходе обыска должны фиксироваться и изыматься все традиционные следы, устанавливающие взаимодействие лица с компьютерной техникой, носителями информации: отпечатки пальцев, биологические следы и др.

Вещественными доказательствами, чаще всего обнаруживаемыми при обыске, являются рукописные записи (график сеансов связи, пароли ит. п.); документы, подтверждающие приобретение компьютерных средств (накладные и т. п.); документы, указывающие на каналы связи преступника (телефонные счета, интернет-карты и т. п.); литература, документы, содержащие описание аппаратных и программных средств (инструкции, руководства по эксплуатации и др.); источники, описывающие способы совершения преступления (исходные тексты вредоносных программ, распечатки с форумов хакеров); документы о местонахождении преступника (билеты, чеки и т. п.); техника, материалы, используемые при изготовлении носителей информации (например, упаковки дисков с вредоносными программами); образцы, характеризующие работу компьютерной техники (распечатки, тонер и т. п.); электронные носители информации.

При обыске операции с компьютерной информацией в ЭВМ зависят от того, работает компьютер или нет. При неработающем компьютере фиксируются его внешний вид, соответствующие соединения, и он изымается. Когда компьютер работает, главное для следователя не допустить потери информации. В зависимости от складывающейся ситуации возможно изъятие машины при фиксации необходимой для процессуального оформления информации и сохранения возможности по беспрепятственному доступу к ней в дальнейшем. Когда возможность потери информации минимизирована и интересы следствия требуют оперативного получения информации (например, установление сетевого адреса сообщника, сетевых ресурсов используемых в момент обыска), возможны действия с компьютерной информацией на месте обыска. Последняя ситуация характеризуется высоким тактическим риском, и решение следователь должен принимать с учетом всех обстоятельств дела.

Тактические приемы фиксации и изъятия компьютерной информации и техники при обыске аналогичны приемам, применимым при осмотре. Изъятая в ходе обыска информация подлежит копированию, и все последующие действия проводятся только с ее копиями.

Основная специфическая проблема допроса лиц по данной категории дел обусловлена сложностью передачи информации от допрашиваемого следователю при описании наблюдавшихся явлений. С одной стороны, лица, не имеющие профессиональной подготовки в области информатики, часто не могут правильно понять и изложить воспринятое, при этом они не всегда корректно используют специальную терминологию. С другой стороны, лица, обладающие специальной подготовкой, используют при даче показаний технические термины и жаргонизмы. В результате следователю трудно осознать значение полученных сведений, соотнести их с другими доказательствами.

При подготовке к допросу рекомендуется выяснить профессиональные навыки допрашиваемого в данной области, использовать методическую литературу, консультации специалиста. В особо сложных случаях специалист привлекается к допросу. Во время допроса важно детализировать показания, можно предложить допрашиваемому продемонстрировать свои действия на технике, аналогичной той, с которой он работал, проиллюстрировать показания графически (схема и т. п.).

В ходе допроса свидетелей, потерпевших выясняется следующее: обстоятельства организации работы с компьютерной информацией и компьютерной техникой до совершения преступления (режимы доступа, защиты, нормативная регламентация, полномочия соответствующих лиц и др.); обстоятельства приобретения программных и аппаратных средств; какие правила по использованию компьютеров были нарушены; методы передачи данных, коммуникационные протоколы; возможные признаки подготовки совершения преступления (неожиданные сбои в работе, необычные сообщения, полученные по сетям, появление подозрительных лиц и др.); информация о преступном событии (время, место, необычные явления в работе аппаратных и программных средств и др.); программы, использованные в качестве орудия преступления; действия допрашиваемого и других лиц по ликвидации последствий преступления; могло ли случившееся произойти в результате непредвиденных обстоятельств (природных явлений, техногенных факторов и др.); сведения о личности преступника

(профессионализм, признаки внешности, мотивах и др.); размер ущерба.

Допрос подозреваемых (обвиняемых) направлен на установление: средств совершения преступления; методов сбора сведений о предмете посягательства; каналов получения данных о способах совершения правонарушения (сайты в сети Интернет, опыт знакомых и др.); осведомленности лица об опасности средств, используемых при совершении преступления (о свойствах вредоносных программ и др.); процесса получения доступа к информации в ЭВМ преступника и в других используемых им компьютерах, включая раскрытие мер по ее защите; детализации степени его профессиональной подготовки в области компьютерной информации, целей, мотивов; фактов доступа к его компьютеру третьих лиц, сообщников; мест хранения похищенной информации, каналов сбыта; ограничения или возмещения ущерба (восстановление уничтоженных (модифицированных) данных и т. п.).

Следственный эксперимент проводится для установления функций программных и аппаратных средств (например, обеспечение доступа к сетям, взаимодействие с определенной программой и т. п.). В некоторых случаях эксперимент используется для проверки интеллектуальных способностей лица: может ли человек работать с определенными программами или техникой, позволяет ли его квалификация совершать те или иные действия, в частности, мог ли человек сам написать данную вредоносную программу. Проведение эксперимента в данных ситуациях зависит от добросовестного поведения лица, его результаты могут быть оценены неоднозначно. Представляется, что если указанные обстоятельства могут быть установлены путем назначения экспертизы, проведения иных следственных действий (например, допрос, проверка показаний на месте), то предпочтительнее проводить такие действия.

Эксперимент проводится только с копией компьютерной информации и не на технике, используемой при совершении преступления, а на ее аналогах.

• [1] Вопросы назначения и проведения компьютерной экспертизы рассматриваются вгл. 14 учебника.
• [2] Специфика проведения всех видов осмотров по компьютерным преступлениямсвязана с осмотром компьютерной информации и техники.
• [3] Как правило, специалисты приглашаются из экспертных подразделений МВДРоссии или Минюста России, в случае отсутствия таковых — из профильных научно-исследовательских организаций, осуществляющих эксплуатацию компьютерной техники, и т. п. Необходимо избегать привлечения в качестве специалистов сотрудниковпострадавшей организации или ее структур.
• [4] О возможностях данных комплексов см. гл. 14 учебника.
• [5] В. В. Крылов к числу таких признаков относит изменение структуры файловойсистемы, в том числе переименование каталогов и файлов, изменение реквизитов, размера и содержимого файлов, появление новых каталогов и файлов и т. п.; изменения вконфигурации компьютера, в том числе изменение картинки и цвета экрана, изменение порядка взаимодействия с периферийными устройствами, появление новых и удаление прежних сетевых устройств и др.; необычные проявления в работе ЭВМ — замедление или неправильная загрузка операционной системы, замедление реакции наввод с клавиатуры, замедление работы машины с внешними устройствами, неадекватные реакции ЭВМ на команды пользователя, появление на экране нестандартных символов и т. п.
• [6] Технические средства, применяемые при обыске, аналогичны используемым приосмотре, включая универсальные комплексы криминалистического исследования компьютерной информации и техники.
• [7] Внешний вид таких средств может быть весьма разнообразен, они могут быть замаскированы под другие предметы, поэтому изъятию подлежат все предметы неясногоназначения или имеющие вид обычных бытовых предметов (брелок, ручка и проч.).Данная рекомендация должна соблюдаться и при обыске самих помещений.