К компьютерной информации

Информация и информационные правоотношения все чаще

становятся новым предметом преступного посягательства.

К преступлениям этой категории УК РФ относит: неправомерный

доступ к компьютерной информации (ст. 272); создание, исполь-

зование и распространение вредоносных программ для ЭВМ (ст.

273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их

сети (ст. 274).

Общий объект данных преступлений — общественные отноше-

ния по обеспечению информационной безопасности, а непосред-

ственными объектами преступного посягательства являются: базы

и банки данных, отдельные файлы конкретных компьютерных сис-

тем и сетей, а также компьютерные технологии и программные

средства, включая те, которые обеспечивают защиту компьютер-

ной информации от неправомерного доступа.

Под информацией понимаются сведения о лицах, предметах,

фактах, событиях, явлениях и процессах независимо от формы

их представления. Документированная информация — это за-

фиксированные на материальном носителе сведения с реквизи-

тами, которые позволяют их идентифицировать. Компьютерная

информация считается документированной, но хранящейся в

ЭВМ или управляющей ею в соответствии с программой и (или)

предписаниями пользователя.

К машинным носителям компьютерной информации относятся

блоки памяти ЭВМ, ее периферийные системы, компьютерные

средства связи, сетевые устройства и сети электросвязи.

Ответственность по ст. 272 УК РФ наступает в случае, если

неправомерный доступ к компьютерной информации привел к

таким опасным последствиям, как уничтожение, блокирование,

модификация, копирование информации либо нарушение работы

ЭВМ, их системы или сети.

Уничтожением считается такое изменение информации, ко-

торое лишает ее первоначального качества, вследствие чего она

перестает отвечать своему прямому назначению. Под блокиро-

ванием понимается временная или постоянная невозможность

доступа к информации со стороны законного пользователя, а под

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

модификацией — ее видоизменение с появлением новых, неже-

лательных свойств. Копирование — это воспроизведение точного

или относительно точного аналога оригинала; а нарушение ра-

боты ЭВМ, их системы или сети — замедление, зацикливание,

прекращение действия программы, нарушение порядка выполне-

ния команд, отказ в выдаче информации, отключение элементов

компьютерной системы, другие нештатные ситуации. При этом

системой считается взаимосвязанная совокупность компьютеров

с их единым организационно-техническим обеспечением, а сетью

— объединение систем ЭВМ, действующих на определенной

территории.

При расследовании неправомерного доступа к компьютерной

информации обстоятельства содеянного устанавливаются в та-

кой очередности:

1) факт неправомерного доступа к информации в компьютер-

ной системе или сети;

2) место несанкционированного проникновения в эту систему

или сеть;

3) время совершения преступления;

4) способ несанкционированного доступа;

5) степень надежности средств защиты компьютерной инфор-

мации;

6) лица, совершившие неправомерный доступ, их виновность

и мотивы преступления;

7) вредные последствия содеянного.

Для рассматриваемых преступлений характерны такие си-

туации начала расследования:

1. Собственник компьютерной системы обнаружил нарушение

ее целостности и (или) конфиденциальности, установил виновное

лицо и заявил о случившемся в правоохранительные органы.

2. Собственник самостоятельно выявил названные наруше-

ния, однако не смог установить злоумышленника и заявил о слу-

чившемся.

3. Сведения о нарушении целостности и (или) конфиденци-

альности информации и виновном субъекте стали известны или

непосредственно обнаружены компетентным органом, владелец

компьютерной системы этот факт скрывает.

4. Правоохранительным органом обнаружены признаки проти-

воправного вторжения в компьютерную систему, виновное лицо и

владелец информации неизвестны.

§ 1. Расследование фактов неправомерного доступа к компьютерной информации 711

Факт неправомерного доступа к информации обнаружива-

ют, как правило, пользователи компьютерной системы или сети.

Такие факты иногда устанавливаются в ходе оперативно-

розыскной деятельности органов внутренних дел, ФСБ, ФСНП

России. Их можно выявить и в ходе прокурорских проверок, реви-

зий, судебных экспертиз, следственных действий по расследуе-

мым делам.

Признаками несанкционированного доступа или подготовки к

нему могут служить:

а) появление в компьютере искаженных данных;

б) длительное необновление кодов, паролей и других защит-

ных средств компьютерной системы;

в) увеличение числа сбоев в работе ЭВМ;

г) участившиеся жалобы пользователей компьютерной систе-

мы или сети.

Таким фактам могут предшествовать или сопутствовать:

1) осуществление без необходимости сверхурочных работ;

2) немотивированные отказы отдельных сотрудников, обслу-

живающих компьютерную систему или сеть, от очередного отпус-

ка;

3) приобретение работником для личного пользования доро-

гостоящего компьютера;

4) чистые дискеты или диски, принесенные на работу кем-то

из сотрудников компьютерной системы под предлогом копирова-

ния программ для компьютерных игр;

5) участившиеся случаи перезаписи отдельных данных без

серьезных на то причин;

6) необоснованный интерес некоторых работников к содержа-

нию чужих принтерных распечаток;

7) повторный ввод в компьютер одной и той же информации и

др.

Необходимо выяснить также признаки неправомерного досту-

па, выражающиеся в отступлениях от установленного порядка

обработки документов. Имеются в виду:

а) нарушения принятых правил оформления документов и из-

готовления машинограмм;

б) лишние документы, подготовленные для обработки на ЭВМ;

в) несоответствие информации, содержащейся в первичных

документах, данным машинограмм;

г) преднамеренные утрата или уничтожение первичных доку-

ментов и машинных носителей информации, внесение искажений

в данные их регистрации. Следует, однако, помнить, что пере-

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

численные признаки могут быть результатом не только злоупот-

реблений, но и других причин, например халатности персонала,

случайных ошибок и сбоев компьютерной техники.

Место несанкционированного проникновения в компьютер-

ную систему или сеть удается установить с определенными труд-

ностями, поскольку таких мест может быть несколько. На практике

чаще обнаруживается место неправомерного доступа к компью-

терной информации с целью хищения денежных средств, но для

этого также приходится выявлять все места работы компьютеров,

имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается тогда, когда рассле-

дуется несанкционированный доступ к единичному компьютеру. Но

и тут нужно учитывать, что информация на машинных носителях

может храниться в других помещениях.

Во много раз труднее определить место непосредственного

применения технических средств удаленного несанкционирован-

ного доступа, которые не входят в данную компьютерную систему

или сеть. К его установлению необходимо привлекать соответст-

вующих специалистов. Необходимо выяснить также место хране-

ния информации на машинных носителях, добытой преступником

в результате неправомерного доступа к компьютерной системе

или сети.

Время несанкционированного доступа можно определить с

помощью программ общесистемного назначения. В работающем

компьютере они обычно фиксируют текущее время. Если данная

программа функционирует, то при несанкционированном входе в

систему или сеть время работы на компьютере любого пользова-

теля и производства конкретной операции автоматически фикси-

руется в оперативной памяти. Тогда время несанкционированно-

го доступа можно определить в ходе следственного осмотра ком-

пьютера, его распечаток или дискет, производимого с участием

специалиста, чтобы информация, находящаяся в оперативной

памяти ЭВМ или на дискете, не была случайно стерта. В качестве

специалистов могут выступать, например, сотрудники информа-

ционных центров МВД, ГУВД, УВД субъектов Российской Феде-

рации.

Время несанкционированного доступа устанавливается и пу-

тем допроса свидетелей из числа сотрудников данной компью-

терной системы. Выясняется, когда именно каждый из них рабо-

тал на ЭВМ, если это не было зафиксировано в автоматическом

режиме.

§ 1. Расследование фактов неправомерного доступа к компьютерной информации 713

Способы преступных манипуляций в сфере компьютерной

информации могут быть разделены на две большие группы. Первая

группа осуществляется без использования компьютерных уст-

ройств в качестве инструмента для проникновения извне в ин-

формационные системы или воздействия на них. Это могут быть:

а) хищение машинных носителей информации в виде блоков

и элементов ЭВМ;

б) использование визуальных, оптических и акустических

средств наблюдения за ЭВМ;

в) считывание и расшифровка различных электромагнитных

излучений компьютера и обеспечивающих систем;

г) фотографирование информации в процессе ее обработки;

д) изготовление бумажных дубликатов входных и выходных

документов, копирование распечаток;

е) использование оптических и акустических средств наблю-

дения за лицами, имеющими отношение к необходимой зло-

умышленнику информации, фиксация их разговоров;

ж) осмотр и изучение не полностью утилизированных отходов

деятельности компьютерных систем;

з) вступление в прямой контакт с лицами, имеющими отноше-

ние к необходимой злоумышленнику информации, получение от

них под разными предлогами нужных сведений и др.

Для таких действий, как правило, характерна достаточно ло-

кальная следовая картина. Она определяется тем, что место со-

вершения преступных действий и дислокация объекта преступно-

го посягательства расположены вблизи друг от друга или совпа-

дают. Приемы их исследования достаточно традиционны.

Вторая группа преступных действий осуществляется с исполь-

зованием компьютерных и коммуникационных устройств. Тогда

несанкционированный доступ реализуется с помощью различных

способов: подбором пароля, использованием чужого имени, оты-

сканием и применением пробелов в программе, а также других мер

преодоления защиты компьютерной информации. Конкретный спо-

соб несанкционированного доступа можно установить путем до-

проса свидетелей из числа лиц, обслуживающих компьютерную

систему, и ее разработчиков. При этом следует учитывать выяв-

ленную следовую картину. У них необходимо выяснить как пре-

ступник мог проникнуть в защищенную систему, например узнать

идентификационный номер законного пользователя, код, пароль

для доступа, получить сведения о других средствах защиты систе-

мы или сети ЭВМ (см. схему).

Глава 38. Методика расследования

преступлений в сфере компьютерной информации