Носителях

Изменения в ОЗУ

Описания программного

обеспечения

Рукописные записи

и принтерные распечатки

Коды доступа

Тексты

программ

Записные книжки

с именами дру-

гих хакеров

Инструкции по пользо-

ванию ЭВМ и ее устрой-

ствами

Нестандартные пери-

ферийные устройства

Устройства доступа

в телефонные сети

и сети ЭВМ

Счета телефонных

компаний

Документированная

информация о прохождении

сигнала через оператора

Результаты наблюдения при прове-

дении оперативно-розыскных мер и

предварительного следствия

Специализированная

конфигурация оборудо-

вания

Специальная конфигура-

ция программ

работы в сетях

Следы в файловой

системе

Компьютерная

информация

Пеленгация

источника

сигналов

Прослушивание

телефонных

и иных

переговоров

Прохождение

криминального

сигнала через

оператора

Документы

Документы,

регистрирующие

соединения

абонентов

Базы данных,

фиксирующие

соединения

Коммутаторы,

осуществляющие

и регистрирующие

соединения

Протоколы взаи-

морасчетов между

операторами

Копии чужих

файлов Платежные доку-

менты об оплате

трафика между

операторами

Программное

обеспечение

для создания

программ

Специализирован-

ное «хакерское»

программное

обеспечение

§ 1. Расследование фактов неправомерного доступа к компьютерной информации 715

Чрезвычайно важны и другие действия, направленные на фик-

сацию факта нарушения целостности (конфиденциальности) ком-

пьютерной системы и его последствий, следов преступных мани-

пуляций виновного субъекта, отразившихся в ЭВМ и на машинных

носителях информации, в линиях связи и др.

Способ несанкционированного доступа надежнее установить

путем производства судебной информационно-технической экс-

пертизы. Перед экспертом ставится вопрос: «Каким способом

был осуществлен несанкционированный доступ в данную компь-

ютерную систему?» Для этого эксперту нужно представить всю

проектную документацию на взломанную компьютерную систему,

а также данные о ее сертификации. При производстве такой экс-

пертизы не обойтись без использования компьютерного оборудо-

вания той же системы, которую взломал преступник, либо специ-

альных технических и программных средств.

В ряде случаев целесообразен следственный эксперимент

для проверки возможности преодоления средств защиты компью-

терной системы одним из предполагаемых способов. Одновре-

менно может быть проверена возможность появления на экране

дисплея конфиденциальной информации или ее распечатки

вследствие ошибочных, неумышленных действий оператора либо

случайного технического сбоя в электронном оборудовании.

Выясняя надежность средств зашиты компьютерной ин-

формации, прежде всего следует установить, предусмотрены

ли в данной системе или сети ЭВМ меры защиты от несанкцио-

нированного доступа, в том числе к определенным файлам. Это

возможно в ходе допросов разработчиков и пользователей сис-

темы, а также при изучении проектной документации и инструк-

ций по эксплуатации системы. Изучая инструкции, нужно обра-

щать особое внимание на разделы о мерах защиты информа-

ции, порядке допуска пользователей к конкретным данным, раз-

граничении их полномочий, организации контроля за доступом.

Важно разобраться в аппаратных, программных, криптографи-

ческих, организационных и других методах защиты информа-

ции, поскольку для обеспечения высокой степени надежности

компьютерных систем, обрабатывающих документированную

информацию с ограниченным доступом, обычно используется

комплекс мер по обеспечению их безопасности от несанкциони-

рованного доступа.

Так, законодательством предусмотрена обязательная серти-

фикация средств защиты систем и сетей ЭВМ, а кроме того —

обязательное лицензирование всех видов деятельности в облас-

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

ти проектирования и производства названных средств. Поэтому в

процессе расследования необходимо выяснить: 1) есть ли лицен-

зия на производство средств защиты информации, задейство-

ванных в данной компьютерной системе, от несанкционированно-

го доступа и 2) соответствуют ли их параметры выданному сер-

тификату. Ответ на последний вопрос может дать информацион-

но-техническая экспертиза, с помощью которой выясняется: со-

ответствуют ли средства защиты информации от несанкциониро-

ванного доступа, использованные в данной компьютерной систе-

ме, выданному сертификату? Правда, ответственность за выяв-

ленные отклонения, позволившие несанкционированный доступ к

компьютерной информации, ложится на пользователя системы, а

не на разработчика средств ее защиты.

При установлении лиц, совершивших несанкционирован-

ный доступ к конфиденциальной компьютерной информа-

ции, следует учитывать, что он является технологически весьма

сложным. Осуществить его могут только специалисты, обладаю-

щие достаточно высокой квалификацией. Поэтому поиск подоз-

реваемых рекомендуется начинать с технического персонала

взломанных компьютерных систем или сетей. Это в первую оче-

редь их разработчики, а также руководители, операторы, про-

граммисты, инженеры связи, специалисты по защите информа-

ции, другие сотрудники.

Следственная практика свидетельствует, что чем технически

сложнее способ проникновения в компьютерную систему или

сеть, тем легче установить подозреваемого, ибо круг специали-

стов, обладающих соответствующими способностями, весьма

ограничен.

Доказыванию виновности конкретного субъекта в несанкцио-

нированном доступе к компьютерной информации способствует

использование различных следов, обнаруживаемых при осмотре

ЭВМ и ее компонентов. Это, например, следы пальцев, записи на

внешней упаковке дискет и др. Для их исследования назначаются

криминалистические экспертизы — дактилоскопическая, почерко-

ведческая и др.

Для установления лиц, обязанных обеспечивать надлежащий

режим доступа к компьютерной системе или сети, следует преж-

де всего ознакомиться с должностными инструкциями, опреде-

ляющими полномочия сотрудников, ответственных за защиту

конфиденциальной информации. Их необходимо допросить для

выяснения, кто запускал нештатную программу и фиксировалось

§ 1. Расследование фактов неправомерного доступа к компьютерной информации 717

ли это каким-либо способом. Нужно также выяснить, кто особо

увлекается программированием, учится или учился на курсах

программистов, интересуется системами защиты информации.

У субъектов, заподозренных в неправомерном доступе к

компьютерной информации, производится обыск в целях обна-

ружения: ЭВМ различных конфигураций, принтеров, средств

телекоммуникационной связи с компьютерными сетями, запис-

ных книжек, в том числе электронных, с уличающими записями,

дискет и дисков с информацией, могущей иметь значение для

дела, особенно если это коды, пароли, идентификационные

номера пользователей данной компьютерной системы, а также

сведения о них. При обыске нужно изымать также литературу и

методические материалы по компьютерной технике и програм-

мированию. К производству обыска и осмотру изъятых предме-

тов рекомендуется привлекать специалиста по компьютерной

технике, незаинтересованного в исходе дела.

Доказать виновность и выяснить мотивы лиц, осуществивших

несанкционированный доступ к компьютерной информации, мож-

но лишь по результатам всего расследования. Решающими здесь

будут показания свидетелей, подозреваемых, обвиняемых, по-

терпевших, заключения судебных экспертиз, главным образом

информационно-технологических и информационно-технических,

а также результаты обысков. В ходе расследования выясняется:

1) с какой целью совершен несанкционированный доступ к

компьютерной информации;

2) знал ли правонарушитель о системе ее защиты;

3) желал ли преодолеть эту систему и какими мотивами при

этом руководствовался.

Вредные последствия неправомерного доступа к компь-

ютерной системе или сети могут заключаться в хищении де-

нежных средств или материальных ценностей, завладении ком-

пьютерными программами, а также информацией путем изъятия

машинных носителей либо копирования. Это может быть также

незаконное изменение, уничтожение, блокирование информации,

выведение из строя компьютерного оборудования, внедрение в

компьютерную систему вредоносного вируса, ввод заведомо

ложных данных и др.

Хищения денежных средств чаще всего совершаются в бан-

ковских электронных системах путем несанкционированного

доступа к их информационным ресурсам, внесения в последние

изменений и дополнений. Такие посягательства обычно обна-

руживают сами работники банков, устанавливаются они и в хо-

Глава 38. Методика расследования

преступлений в сфере компьютерной информации

де оперативно-розыскных мероприятий. Сумма хищения опре-

деляется посредством судебно-бухгалтерской экспертизы.

Факты неправомерного завладения компьютерными програм-

мами вследствие несанкционированного доступа к той или иной

системе и их незаконного использования выявляют, как правило,

потерпевшие. Максимальный вред причиняет незаконное получе-

ние информации из различных компьютерных систем, ее копиро-

вание и размножение с целью продажи либо использования в

других преступных целях (например, для сбора компрометирую-

щих данных на кандидатов на выборные должности различных

представительных и исполнительных органов государственной

власти).

Похищенные программы и базы данных могут быть обнаруже-

ны в ходе обысков у обвиняемых, а также при оперативно-

розыскных мероприятиях. Если незаконно полученная информа-

ция конфиденциальна или имеет категорию государственной

тайны, то вред, причиненный ее разглашением, определяется

представителями Гостехкомиссии России.

Факты незаконного изменения, уничтожения, блокирования

информации, выведения из строя компьютерного оборудования,

«закачки» в информационную систему заведомо ложных сведе-

ний выявляются прежде всего самими пользователями компью-

терной системы или сети. Следует учитывать, что не все эти не-

гативные последствия наступают в результате умышленных дей-

ствий. Их причиной могут стать случайные сбои в работе компью-

терного оборудования, происходящие довольно часто.

При определении размера вреда, причиненного несанкциони-

рованным доступом, учитываются не только прямые затраты на

ликвидацию негативных последствий, но и упущенная выгода.

Такие последствия устанавливаются в ходе следственного ос-

мотра компьютерного оборудования и носителей информации с

анализом баз и банков данных. Помогут здесь и допросы техни-

ческого персонала, владельцев информационных ресурсов. Вид

и размер ущерба обычно определяются посредством комплекс-

ной экспертизы, проводимой с участием специалистов в области

информатизации, средств вычислительной техники и связи, эко-

номики, финансовой деятельности и товароведения.

На заключительном этапе расследования формируется це-

лостное представление об обстоятельствах, которые облегчили

несанкционированный доступ к компьютерной информации.

Здесь важно последовательное изучение различных докумен-

§ 2. Расследование создания, использования

и распространения вредоносных программ для ЭВМ

тов, особенно относящихся к защите информации. Весьма зна-

чимы материалы ведомственного (служебного) расследования.

К этим обстоятельствам относятся:

1) неэффективность методов защиты компьютерной инфор-

мации от несанкционированного доступа;

2) совмещение функций разработки и эксплуатации про-

граммного обеспечения в рамках одного структурного подразде-

ления;

3) неприменение в технологическом процессе всех имеющих-

ся средств и процедур регистрации операций, действий программ

и обслуживающего персонала;

4) нарушение сроков изменения паролей пользователей, а

также сроков хранения копий программ и компьютерной инфор-

мации.