Неправомерный доступ к компьютерной информации может быть связан и с насилием над личностью либо угрозой его применения.
Способы сокрытия рассматриваемого преступления в значительной степени детерминированы способами его совершения. При непосредственном доступе к компьютерной информации, сокрытие следов преступления сводится к воссозданию обстановки, предшествующей совершению преступления, т.е. уничтожению оставленных следов (следов пальцев рук, следов обуви, микрочастиц и пр.). При опосредованном (удаленном) доступе сокрытие заключается в самом способе совершения преступления, который затрудняет обнаружение неправомерного доступа. Это достигается применением чужих паролей, идентификационных средств доступа и т.д.
Одним из распространенных орудий неправомерного доступа к компьютерной информации является сам компьютер. Необходимо различать орудия непосредственного и опосредованного доступа. К орудиям непосредственного доступа можно отнести, прежде всего, машинные носители информации, а так же все средства преодоления защиты информации.
К орудиям опосредованного (удаленного) доступа относится, прежде всего, сетевое оборудование (при неправомерном доступе из локальных сетей), а так же средства доступа в удаленные сети (средства телефонной связи, модем).
Другим распространенным средством совершения неправомерного доступа в последнее время стала глобальная мировая телекоммуникационная среда Интернет.
Одним из распространенных орудий неправомерного доступа к компьютерной информации является сам компьютер.
Обстановку совершения неправомерного доступа к компьютерной информации составляют обстоятельства, характеризующие вещественные, технические, пространственные, временные, социально-психологические особенности события рассматриваемого преступления.
Особенностью данного преступления является то, что на него практически не оказывают влияние природно-климатические факторы. Дополнительными факторами, характеризующими обстановку совершения неправомерного доступа к компьютерной информации могут являться наличие и состояние средств защиты компьютерной техники (организационных, технических, программных), сложившаяся на объекте дисциплина, требовательность со стороны руководителей по соблюдению норм и правил информационной безопасности и эксплуатации ЭВМ. Для обстановки, в которой возможно совершение рассматриваемого преступления, наиболее свойственно следующее: невысокий технико-организационный уровень хозяйственной деятельности и контроль за информационной безопасностью, неналаженная система защиты информации, атмосфера безразличия к случаям нарушения требований информационной безопасности. Так же особенностью неправомерного доступа к компьютерной информации является то, что место непосредственного совершения противоправного деяния - (место, где выполнялись действия объективной стороны состава преступления) и место наступления вредных последствий (место, где наступил результат противоправного деяния) могут не совпадать.
Следы неправомерного доступа к компьютерной информации подразделяются на два вида: традиционные следы, рассматриваемые трассологией, и нетрадиционные - информационные следы.
К первому тину относятся материальные следы. Ими могут быть рукописные записи, распечатки и т.п., свидетельствующие о приготовлении и совершении преступления. Материальные следы могут остаться и на самой вычислительной технике (следы пальцев рук, микрочастицы на клавиатуре, дисководах, принтере и т.д.), а так же на магнитных носителях и CD-ROM дисках.
Информационные следы образуются в результате воздействия (уничтожения, модификации, копирования, блокирования) на компьютерную информацию путем доступа к ней и представляют собой любые изменения компьютерной информации, связанные с событием преступления. Прежде всего, они остаются на магнитных носителях информации и отражают изменения в хранящейся в них информации (по сравнению с исходным состоянием). Речь идет о следах модификации информации (баз данных, программ, текстовых файлов), находящейся на жестких дисках ЭВМ, дискетах, магнитных лентах, лазерных и магнито-оптических дисках. Кроме того, магнитные носители могут нести следы уничтожения или модификации информации (удаление из каталогов имен файлов, стирание или добавление отдельных записей, физическое разрушение или размагничивание носителей). Информационными следами являются так же результаты работы антивирусных и тестовых программ. Данные следы могут быть выявлены при изучении компьютерного оборудования, рабочих записей программистов, протоколов работы антивирусных программ, а так же программного обеспечения. Для выявления подобных следов необходимо участие специалистов в сфере программного обеспечения и вычислительной техники.
Наиболее распространенными поводами к возбуждению уголовного дела по ст. 272 УК РФ являются: сообщения должностных лиц организаций или их объединений (около 40 %); заявления граждан (около 35 %); непосредственное обнаружение органом дознания, следователем или прокурором сведений, указывающих на признаки преступления (около 20 %); сообщения в средствах массовой информации и иные поводы (около 5 %).
В зависимости от источника и содержания сведений о неправомерном доступе к компьютерной информации, могут складываться различные проверочные ситуации:
1. Неправомерный доступ обнаружен при реализации компьютерной информации незаконным пользователем (например, при распространении сведений, носящих конфиденциальный характер).
2. Факт неправомерного доступа к компьютерной информации обнаружен законным пользователем, но лицо, совершившее это, не установлено.
3. Неправомерный доступ обнаружен законным пользователем с фиксацией на своей ЭВМ данных о лице, осуществляющем «перекачку» информации через сеть.
4. Неправомерный доступ обнаружен оператором, программистом или иным лицом в результате того, что преступник застигнут на месте преступления.
5. Имел место неправомерный доступ к компьютерной информации (имеются иные сведения об этом), однако лицо, его совершившее, не установлено.
Для установления основания для возбуждения уголовного дела и разрешения приведенных проверочных ситуаций необходимо осуществление проверочных действий в соответствии со ст. 109 УПК РСФСР: получение объяснений, производство осмотра места происшествия, истребование необходимых материалов, осуществление оперативно-розыскных мероприятий.
Для уточнения оснований к возбуждению уголовного дела по ст. 272 УК РФ необходимо получить объяснения у инженеров-программистов, занимавшихся разработкой программного обеспечения и его сопровождением (отладкой и обслуживанием), операторов, специалистов по техническому обеспечению, занимающихся эксплуатацией и ремонтом средств компьютерной техники, системных программистов, инженеров по средствам связи и телекоммуникационному оборудованию, специалистов по обеспечению безопасности компьютерных систем и др.
При подготовке к проведению осмотра места происшествия необходимо пригласить соответствующих специалистов и понятых из числа лиц, владеющих компьютерной техникой, подготовить соответствующую компьютерную технику, проинструктировать членов следственной группы и провести консультации со специалистами. По прибытии на место происшествия необходимо:
1) зафиксировать обстановку, сложившуюся на момент осмотра места происшествия;
2) исключить возможность посторонним лицам (да и участникам следственно-оперативной группы) соприкасаться с оборудованием;
3) определить, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть;
4) установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения;
5) пояснить, подключен ли компьютер к телефонной или телетайпной линиям;
6) определить, запущены ли программы на ЭВМ и какие именно.
При изъятии компьютерной информации необходимо руководствоваться следующими рекомендациями:
1) в случае невозможности изъятия средства компьютерной техники, после его осмотре необходимо блокировать соответствующее помещение, отключать источники энергопитания аппаратуры;
2) при изъятии, магнитного носителя информации нужно их перемещать и хранить только в специальных опломбированных и экранированных контейнерах или в стандартных футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучении;
3) при необходимости изъятия информации из оперативной памяти компьютера, ее копируют на физический носитель с использованием стандартных программных средств; 4) изъятие средств компьютерной техники производится только в выключенном состоянии.
При решении вопроса о возбуждении уголовного дела целесообразно истребовать:
— журнал учета сбоев в работе компьютерной сети, выхода отдельных компьютеров или технических устройств из строя; журнал учета рабочего времени;
— документы о проведенных в течение дня операциях; физические (материальные) носители информации; программное обеспечение ЭВМ (при невозможности изъять физические носители);
— файл администратора сети, в котором фиксируется вся работа сети (моменты включения и выключения, результаты тестирования, протоколы сбойных ситуаций);
— системный блок и выносные накопители информации; информация (в виде файлов) о попытках незаконного использования компьютера, несанкционированного подключения к сети;
— акты по результатам антивирусных проверок контрольные суммы файлов, которые хранятся в соответствующих программах; список лиц, которые имеют право доступа к той или иной компьютерной информации и список паролей, под которыми они идентифицированы в компьютере;
— технические средства распознания пользователей (магнитные карты, ключи блокировки и пр.) с целью предотвратить доступ пользователей к компьютерам в период проведения проверки; и др.
С учетом комплекса исходной информации, полученной при проведении проверочных действий, на первоначальном этапе расследования могут складываться следующие типичные следственные ситуации.
1. Установлен неправомерный доступ к компьютерной информации, есть следы, есть подозреваемый, который дает правдивые показания.
Страницы: 1, 2, 3
