Розслідування несанкціонованого втручання в роботу комп’ютерів, автоматизованих систем, комп’ютерних мереж

Проведені соціологічні та кримінологічні дослідження дозволяють виділити декілька категорій суб'єктів незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж.

1. Загальний суб'єкт: а) будь-яка осудна фізична особа, яка на момент здійснення злочину досягла шістнадцятирічного віку; б) будь-яка особа, як працююча в автоматизованій інформаційній системі або мережі чи, яка користується їх послугами (законний користувач), але не має права роботи з інформацією певної категорії, так і стороння особа (особа, яка не є користувачем).

2. Особи, які скоюють незаконний доступ до комп'ютерної інформації в групі за попередньою змовою або організованою групою.

3. Особи, які скоюють незаконний доступ до комп'ютерної інформації з використання власного службового становища.

4. Особи, які мають доступ до електронно-обчислювальних машин, систем ЕОМ чи їх мережі, але здійснюють незаконний доступ до комп'ютерної інформації.

5. Особи, які створюють, використовують і розповсюджують шкідливі програми.

Крім названих, до кола потенційних злочинців можна віднести осіб, котрі страждають новим видом психічних захворювань - інформаційними хворобами або комп'ютерними фобіями. Вивченням подібних захворювань займається інформаційна медицина. Всесвітня організація охорони здоров'я, проаналізувавши і узагальнивши матеріали щодо впливу комп'ютерів на здоров'я людини, дійшла висновку, що тривала робота з комп'ютером несе негативні наслідки для здоров'я користувача, перш за все, психічного.

несанкціонований комп'ютер розслідування злочин

Розділ 2. Особливості розслідування несанкціонованого втручання в роботу комп'ютерів, автоматизованих систем, комп'ютерних мереж

2.1 Початковий етап розслідування несанкціонованого втручання в роботу комп'ютерів, автоматизованих систем, комп'ютерних мереж

Залежно від характеру вихідних даних, при розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж після початку досудового розслідування можуть складатися різноманітні слідчі ситуації. Розглядаючи первісний етап розслідування інформаційних злочинів, Шумилов І.М., залежно від характеру вихідних даних, виділяє п'ять типів слідчих ситуацій:

1) досудове розслідування почато за матеріалами перевірок при наявності ознак складу злочину у сфері інформаційної безпеки;

2) досудове розслідування почато за заявою або скаргою фізичної чи юридичної особи;

3) досудове розслідування почато за матеріалами преси, інших засобів масової інформації, матеріалами публічних виступів;

4) досудове розслідування почато за фактом настання наслідків технологічного характеру, пов'язаних із спричиненням матеріальних збитків і (або) людськими жертвами;

5) досудове розслідування почато стосовно особи (осіб), затриманої при вчиненні дій, що містять ознаки інформаційних злочинів. Шумилов И.Н. Криминалистические аспекты информационной безопасности: дис. к. ю. н. / И.Н. Шумилов - С-Пб.: 1997. - С. 111.

Такий підхід до класифікації типових первісних слідчих ситуацій, коли за основу типології береться характер вихідних даних, здається мені обґрунтованим. Однак, фактично автор запропонував класифікацію, виходячи з приводів до порушення карної справи. Така типологія викликає заперечення.

В.В. Крилов виділяє три перевірочні ситуації, називаючи їх при цьому типовими слідчими:

1. Власник інформаційної системи самостійно виявив порушення цілісності (конфіденційності) інформації в системі, винну особу і заявив про це правоохоронним органам.

2. Власник самостійно виявив указані порушення в системі, однак не зміг виявити винну особу і заявив про це до правоохоронних органів.

3. 3.Дані про порушення цілісності (конфіденційності) інформації в інформаційній системі і винну особу стали загальновідомими чи безпосередньо виявлені органом дізнання (наприклад, у ході проведення оперативно-розшукових заходів стосовно іншої справи) Белкин Р.С Тактика следственных действий / Р.С. Белкин, Е.М. Лившиц. - М.: Фактор, 1997. - С. 140..

Наведене не вичерпує всього спектру перевірочних ситуацій хоча б тому, що факт злочину може виявити не лише власник інформації, а, наприклад, оператор (що частіше і трапляється), хоча це ще не вказує на те, що факт доступу став загальновідомим.

На мою думку, з урахуванням комплексу вихідної інформації, отриманої при проведенні перевірочних дій, на первісному етапі розслідування можуть складатися наступні типові слідчі ситуації.

1. Установлене незаконне втручання в роботу ЕОМ (комп'ютерів), систем і комп'ютерних мереж, є сліди, є підозрюваний, і він дає правдиві свідчення.

2. Установлене незаконне втручання в роботу ЕОМ (комп'ютерів), систем і комп'ютерних мереж, наявні сліди, що прямо вказують на конкретного підозрюваного, але він заперечує свою причетність до вчинення злочину.

3. Установлене незаконне втручання в роботу ЕОМ (комп'ютерів), систем і комп'ютерних мереж, відомі особи, які за своїм службовим становищем несуть за це відповідальність, але характер їх особистої вини, а також обставини доступу не встановлені.

4. Установлено факт незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж, скоїти який і скористатися його результатами могли тільки особи з певного кола (за своїм становищем, професійними навичками і знаннями), або відомі особи (фірми, організації), зацікавлені в отриманні даної інформації.

Остання з наведених слідчих ситуацій є найбільш складною, оскільки відсутні відомості про винну особу, сліди злочину, не відомий спосіб вчинення та інші дані.

Для вирішення слідчих ситуацій, що складаються після початку досудового розслідування, провадяться наступні слідчі дії: допит свідків, обшук приміщень, допит підозрюваного, призначення експертиз, перевірка за оперативно-довідковими, розшуковими і криміналістичними обліками.

Допит свідків. Приймаючи рішення про допит конкретної особи в якості свідка, слідчий повинен зарані прогнозувати, яку інформацію (в тому числі і технічного характеру) він може отримати від допитуваного Белкин Р.С Тактика следственных действий / Р.С. Белкин, Е.М. Лившиц. - М.: Фактор, 1997. - С.143.. Відповідно до цього і необхідно продумувати комплекс запитань.

У ході підготовки до допиту слідчий може вдатися до допомоги спеціаліста в області комп'ютерної техніки, пояснення і вказівки якого сприятимуть, на мою думку, правильному розумінню суті розслідуваного злочину, точнішому визначенню кола обставин, що підлягають доказуванню, правильній і безпечній підготовці речових доказів та інших матеріалів, які вимагають дотримання особливих умов та правил зберігання, транспортування і подальшого поводження з ними, що має звести до мінімуму ризик пошкодження або їх втрати в ході проведення слідчої дії.

У такій специфічній області знань, як комп'ютерна техніка, зловмисник, вільно оперуючи спеціальною термінологією, може доволі легко приховати свою обізнаність чи навпаки, показати себе більш тямущим, ніж є насправді. Поставлені запитання та їх послідовність мають бути такими, щоб особа, яка проводить допит, могла контролювати достовірність отриманих відповідей. Отже, на етапі підготовки запитань може також знадобитися допомога спеціалістів з різних галузей знань, наприклад, добре знаючих програмні чи апаратні засоби комп'ютерів.

Вибір місця і часу проведення допиту, його послідовність стосовно інших слідчих дій встановлюється, виходячи з реальної слідчої ситуації.

Перелік питань, які слід з'ясувати при допиті свідків, варіюватиметься залежно від конкретного допитуваного і способу вчинення злочину. Разом з тим, у процесі допиту свідків кожного разу необхідно з'ясувати:

- чи не цікавився хто-небудь комп'ютерною інформацією, програмним забезпеченням, комп'ютерною технікою даного підприємства, організації, закладу, фірми або компанії;

- чи з'являлися в приміщенні, де розміщена комп'ютерна інформація, сторонні особи, чи не зафіксовані випадки роботи співробітників з інформацією, що не належить до їх компетенції;

- чи не було збоїв у роботі програм, викрадень носіїв інформації і окремих комп'ютерних пристроїв;

- чи зафіксовані збої в роботі комп'ютерного обладнання, електронних мереж, засобів захисту комп'ютерної інформації;

- хто із співробітників працював позаурочно, хто цікавився інформацією, що не стосується їх безпосередньої діяльності;

- чи зафіксовані останнім часом випадки спрацювання засобів захисту комп'ютерної інформації;

- як часто перевіряються програми на наявність вірусів, які результати останніх перевірок;

- як часто оновлюється програмне забезпечення, яким чином його придбали;

- яким чином купується комп'ютерна техніка, як здійснюється її ремонт і модернізація;

- яким чином на підприємстві, в організації, закладі або фірмі здійснюється робота з інформацією, як вона надходить, обробляється і передається каналами зв'язку;

- хто ще є абонентом комп'ютерної мережі, до якої підключені комп'ютери даного підприємства, організації, закладу або фірми, яким чином здійснюється доступ до мережі, хто з користувачів має право на роботу в мережі, повноваження цих користувачів щодо роботи з інформацією;

- як здійснюється захист комп'ютерної інформації, які засоби і методи захисту застосовуються та інше.

У тих випадках, коли допитуваний свідок реально володіє інформацією про факти незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж, у нього варто додатково з'ясувати:

- що конкретно йому відомо про ці факти;

- чи мали місце подібні прояви на даному підприємстві, в організації, закладі, на фірмі, в компанії раніше, а якщо так, то настільки часто;

- які конкретні випадки незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж, скоєні на підприємстві, в організації, закладі, на фірмі, в компанії, йому добре відомі і за яких обставин;

- де знаходився свідок під час скоєння згаданих випадків незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж;

- на чому ґрунтується заява, що інформацію скопіював (заблокував, знищив, модифікував) саме цей підозрюваний, а не хто-небудь інший;

- чи могли наслідки у вигляді знищення (блокування, модифікації, копіювання) інформації (порушення роботи ЕОМ, системи ЕОМ або їх мережі) стати результатом дії іншої особи, чи несправності роботи ЕОМ, системи ЕОМ, збоїв програмного забезпечення і т.п.;

- які в нього стосунки з підозрюваним;

- чи розповідав підозрюваний про ге, хто запропонував йому (в зв'язку з чим у підозрюваного виникло бажання) вчинити незаконне втручання в роботу ЕОМ (комп'ютерів), систем і комп'ютерних мереж;

- чи здогадується він, яку мету переслідував підозрюваний, вчиняючи незаконне втручання в роботу ЕОМ (комп'ютерів), систем і комп'ютерних мереж;

- чи не було незаконне втручання до комп'ютерної інформації підготовкою до вчинення іншого злочину (якого саме, що про це відомо);

- чи міг підозрюваний з метою скоєння злочину використовувати власне службове становище;

- чи мав підозрюваний, відповідно до своїх службових обов'язків, доступ до ЕОМ (системи ЕОМ або їх мережі);

- чи відомі особи, які мають доступ до інформації, що скопійована (знищена, заблокована, модифікована) підозрюваним;

- чи можливе вчинення даного злочину однією особою, і що

для цього необхідне;

- чи відомі особи, здатні надати безпосередню допомогу підозрюваному як в акті незаконного втручання в роботу електронно- обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж, так і в реалізації наступних планів, а також обізнані з діяльністю підозрюваного;

- чи відомі особи, з якими підозрюваний зустрічався останнім часом, про що він з ними вів розмову, які проблеми обговорював;

- кому дії підозрюваного можуть бути вигідними;

- який характер мають зміни інформації, що виникли після втручання підозрюваного;

- хто конкретно постраждав від дій підозрюваного;

- хто є власником (володарем чи законним користувачем) інформації, скопійованої (знищеної, модифікованої, блокованої) підозрюваним;

- чи можливе вчинення подібних дій в результаті

- чи здогадується він, як підозрюваний міг використати інформацію, отриману в результаті несанкціонованого доступу до неї;

- чи розповідав підозрюваний, скільки разів і за яких обставин він вдавався до подібних дій;

- чи відомо, де можуть зберігатися кеші інформації, зроблені підозрюваним;

- чи знає він підозрюваного особисто, його захоплення, друзів, знайомих, чи вміють вони поводитися з ЕОМ і т. п.

При розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж на первісному етапі, в якості свідків допитуються громадяни різних категорій, для кожної з яких існує своя специфіка. В процесі допитів операторів ЕОМ слід з'ясувати:

- правила ведення журналів операторів, порядок прийому- передачі змін, режим роботи операторів;

- порядок ідентифікації операторів;

- правила експлуатації, зберігання, знищення комп'ютерних роздруківок (лістингів), категорію осіб, які мають до них доступ;

- порядок доступу до приміщення, де знаходиться комп'ютерна техніка, категорію працівників, допущених до роботи з нею і інше.

У процесі допиту програмістів з'ясовується:

- перелік програмного забезпечення, що використовується, і його класифікація (ліцензоване, власне);

- паролі захисту програм, окремих пристроїв комп'ютера, частота їх змін;

- технічні характеристики комп'ютерної мережі (при її наявності), хто є адміністратором мережі;

- порядок придбання і супроводу (мається на увазі поповнення, отримання нових версій і т.п.) програмного забезпечення;

- існування ідентифікаційних програм, наявність у робочих програмах спеціальних файлів протоколів, які реєструють доступ у комп'ютер користувачів, їх зміст і ін.

У співробітника, який відповідає за інформаційну безпеку або адміністратора комп'ютерної мережі (при її наявності), з'ясовується:

- наявність спеціальних технічних засобів захисту інформації;

- порядок доступу користувачів до комп'ютерної мережі;

- порядок ідентифікації користувачів комп'ютерів;

- розпорядок робочого дня користувачів комп'ютерної мережі;

- порядок доступу співробітників комп'ютерної техніки у неробочий час;

- порядок присвоєння і зміни паролів користувачів;

- характеристика заходів щодо захисту інформації.

У співробітників, котрі займаються технічним обслуговуванням обчислювальної техніки, з'ясовується:

- перелік і технічні характеристики засобів комп'ютерної техніки, встановлених в організації, а також перелік захисних технічних засобів;

- періодичність технічного обслуговування, проведення профілактичних і ремонтних робіт;

- відомості про випадки виходу з ладу апаратури, що відбулися протягом останнього періоду;

- випадки незаконного підключення до телефонних ліній зв'язку, встановлення якого-небудь додаткового електрообладнання.

У начальника обчислювального центру або керівників підприємства (організації) слід з'ясувати:

- чи діють у закладі спеціальні служби з експлуатації мереж, служби безпеки, їх склад і обов'язки;

- чи сертифіковані програми системного захисту;

- організаційну структуру обчислювального центру;

- чи сертифіковані технічні пристрої обчислювальної техніки;

- чи діють внутрівідомчі правила експлуатації ЕОМ і мережі, який порядок ознайомлення з ними і контролю за їх виконанням;

- які співробітники закладу (організації) були звільнені протягом періоду, що викликає цікавість, і за якими мотивами;

- чи були раніше випадки незаконного проникнення до приміщення, де встановлена комп'ютерна техніка, несанкціонованого доступу до комп'ютерної інформації та інше.

Обшук приміщень. Закон розрізняє три види обшуку: обшук у приміщенні, обшук на місцевості, особистий обшук. При підготовці і проведенні обшуку приміщень, де знаходиться комп'ютерна техніка, необхідно враховувати специфіку комп'ютерної інформації. Наведемо специфічні тактичні прийоми, врахування яких, на наш погляд, забезпечує результативність пошуку і вилучення комп'ютерної інформації при проведенні слідчої дії, що розглядається Голубев В.О. Деякі особливості тактики окремих слідчих дій при розслідуванні комп'ютерних злочинів / В.О. Голубев // Підприємництво, господарство і право. - 2003. - № 7. - С. 75-82..

У процесі підготовки до обшуку (до виїзду на місце проведення) необхідно:

- з'ясувати, яка обчислювальна техніка є в приміщенні, де проводиться обшук, та її кількість;

- встановити, чи використовується в комплекті з обчислювальною технікою пристрій автономного або безперебійного живлення, і до яких наслідків може призвести вимкнення електроенергії;

- запросити спеціаліста з комп'ютерних систем, так як його знання будуть необхідними під час підготовки до обшуку, а також для оперативного аналізу інформації і кваліфікованого її вилучення з комп'ютера;

- підготувати відповідну комп'ютерну техніку, яка використовуватиметься для зчитування і зберігання вилученої інформації;

- вивчити особистість власника комп'ютера, його професійні навички з володіння комп'ютерною технікою;

- визначити час пошуку і заходи, які забезпечують його конфіденційність;

- спрогнозувати характер інформації, яка, можливо, знаходиться в комп'ютері, її роль у швидкому і результативному обшукові, визначити, яку комп'ютерну інформацію необхідно вивчити на місці, а яку вилучити для подальшого дослідження Агафонов В.В. Соотношение и связи криминалистики и теории оперативно-розыскной деятельности органов внутренних дел / В.В. Агафонов. - Краснодар: 1996. -С. 60..

На попередній стадії обшуку необхідно, в першу чергу, організувати охорону комп'ютерів. Не можна допускати до них будь-кого з присутніх у приміщенні. Варто знати, що зміну або знищення інформації може спричинити не лише робота з клавіатурою, але і увімкнення чи вимикання комп'ютера. Тому, якщо на момент проникнення до приміщення комп'ютер був увімкнений, він має залишатися увімкненим до обстеження його спеціалістом. Власника приміщення або оператора ЕОМ не можна допускати до комп'ютера і клавіатури (навіть у разі згоди добровільно видати інформацію, яка цікавить слідство). Всю роботу на ЕОМ має виконувати запрошений спеціаліст. Усі спроби будь-кого здійснити які-небудь маніпуляції з комп'ютером або клавіатурою (в тому числі увімкнення чи вимикання комп'ютера) слід розглядати як спробу знищення інформації в ЕОМ і бажано зафіксувати у протоколі.

На оглядовій стадії обшуку необхідно:

1) з'ясувати, чи сполучені комп'ютери, які знаходяться в приміщенні, у локальну обчислювальну мережу;

2) встановити, чи сполучений комп'ютер з обладнанням або обчислювальною технікою за межами приміщення, що обшукується;

3) встановити, чи не міститься в комп'ютері інформація, яка може сприяти розслідуванню. Кваліфіковано провести таку дію може тільки спеціаліст шляхом огляду інформації, яка зберігається на жорсткому дискові. Цікавість можуть викликати файли з текстовою і графічною інформацією.

Детальна стадія обшуку трудомістка і вимагає високої кваліфікації не лише спеціаліста з комп'ютерних систем, а і усієї слідчо-оперативної групи. Крім спеціальних дій з комп'ютером, на цій стадії потрібно чітко організувати пошукові заходи, спрямовані на виявлення тайників, в яких можуть знаходитися звичайні документи і предмети. Таким тайником може бути і сам комп'ютер.

Найбільшу цікавість викликає системний блок. Він має деякі особливості побудови, які роблять його зручним для організації сховищ. По-перше, всередині системного блоку дуже багато вільного місця. Комп'ютери будуються за модульним принципом, тобто їх складання здійснюється з окремих плат, і кожна конкретна конфігурація збирається під конкретного користувача. Всередині корпусу резервується місце для розширення і нарощування можливостей комп'ютера шляхом встановлення додаткових плат. Це і призводить до великого обсягу додаткового місця всередині корпусу системного блоку комп'ютера.

Завдяки модульній побудові системний блок комп'ютера дуже зручний і швидкий у розбиранні-складанні, яке здійснюється, як правило, без яких-небудь додаткових пристроїв (викрутки, гайкових ключів і ін.). Це сприяє зручному доступові до вузлів комп'ютера, не залишаючи слідів.

Всередині комп'ютера використовуються електронні схеми з малою напругою, не загрозливою для життя людини. Єдине місце з напругою 220 вольт - блок живлення, який завжди поміщений у захисний кожух; живлення, що подається на плати, не перевищує 12 вольт. Це дає можливість розкрити корпус, не відключаючи його від мережі живлення.

Найбільша плата системного блоку, так звана материнська плата, кріпиться затискувачами до стіни чи низу корпусу, між якими залишається досить великий зазор, дуже зручний Для зберігання документів. Для спеціаліста доступ до подібного тайника є нескладним.

Носії інформації можуть бути вилучені і приєднані до кримінальної справи як речові докази (з дотриманням установленого КПК порядку).

Якщо на момент обшуку комп'ютер був увімкненим, то на магнітний носій необхідно скопіювати програми і файли даних, що зберігаються на його віртуальному дискові або в оперативній пам'яті.

У зв'язку з неможливістю швидко проаналізувати великий обсяг інформації на комп'ютері, її необхідно вилучити для подальшого дослідження. Переписати інформацію можна на жорсткий диск персонального комп'ютера оперативно-слідчої групи.

Скопіювати інформацію можна і на CD-диск при допомозі пишучого CD-ROM. Використання CD-ROM можливе при робочому комп'ютері, з якого відбувається копіювання.

Носії, на які здійснене копіювання, мають бути відповідним чином упаковані і опечатані.

Якщо в розпорядженні оперативно-слідчої групи немає переносного персонального комп'ютера з пишучим CD-ROM, досить вилучити жорсткий диск (або диски, коли їх декілька) з виявленого комп'ютера. Вилучення має відбуватися з дотриманням усіх процесуальних правил. При вилученні жорсткого диска бажано вести відеозапис.

Якщо у складі групи немає спеціаліста з комп'ютерної техніки, здатного кваліфіковано здійснити демонтаж жорсткого диска, доцільно провести вилучення всього системного блока комп'ютера.

Якщо на місці обшуку небагато комп'ютерів або спеціаліст сумнівається в можливості дослідження комп'ютерної інформації при вилученні лише системного блока, необхідно вилучити весь комп'ютер. При цьому варто: точно описати порядок сполучення між собою пристроїв комп'ютера, акуратно упакувати кожен пристрій і з'єднувальні кабелі, а також виконати фотографування комп'ютерної системи.

На більшості комп'ютерів, незважаючи на їх досить високу ціну, відсутні заводські і серійні номери (це значною мірою ускладнює їх пошук та ідентифікацію). Однак, такий номер завжди є на жорсткому дискові, дисководах і материнській платі. Оскільки ці вузли є основними з конструктивної точки зору і найдорожчими з точки зору їх вартості, ідентифікацію можна провести за ними. Заводські номери також можуть бути вказані на блоці живлення і допоміжних платах.

Всі плати всередині системного блока з'єднуються роз'ємами, і можуть легко вилучатися і ставитися в корпус комп'ютера. Причому, багато з них можуть не впливати на працездатність комп'ютера в основному режимі. Тому, для точної ідентифікації даного системного блока комп'ютера, необхідно перелічити всі вбудовані плати, і, якщо є заводські номери, вказати їх у протоколі обшуку. При вилученні жорсткого диска, обов'язково вказується фірма-виробник, тип (модель), країна-виробник, технічний стан (бажано вказати і обсяг диска).

На заключній стадії слідчої дії складається протокол та описи до нього, накреслюються плани і схеми обшукуваних приміщень, проводяться додаткові фотографування та відеозапис.

Призначення експертиз. На первісному етапі розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж призначаються і проводяться різні експертизи, в тому числі і традиційні: криміналістичні, експертизи речовин і матеріалів, економічні та ін. Призначення і проведення перелічених експертиз не викликає особливих труднощів Соловьев А.Б. Использование доказательств при допросе / А.Б. Соловьев. -М.: 1981.- С. 177.. Щодо власне комп'ютерно-технічних експертиз, то вони належать до нового виду експертиз і їх проведення має свої особливості.

Комплекс експертиз, що призначаються при розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж, може змінюватися і залежить від способу вчинення і механізму злочину.

Справедливо розглядаючи комп'ютерно-технічну експертизу як самостійний вид судових експертиз, що належать до класу інженерно-технічних, Е.Р. Росинська виділяє два її види: технічну експертизу комп'ютерів та їх комплектуючих і експертизу даних та програмного забезпечення. Технічна експертиза комп'ютерів і їх комплектуючих проводиться з метою вивчення конструктивних особливостей та стану комп'ютера, його периферійних пристроїв, магнітних носіїв і ін., комп'ютерних мереж, а також причин виникнення збоїв у роботі вказаного обладнання. Експертиза даних і програмного забезпечення здійснюється з метою вивчення інформації, що зберігається в комп'ютері і на магнітних носіях Российская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе / Е.Р. Российская. - М.: 1996. - С. 173..

Можна виділити наступні види комп'ютерно-технічних експертиз, необхідність призначення яких виникає при розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж:

- технічна експертиза комп'ютерів і периферійних пристроїв. Вона призначається і проводиться з метою вивчення технічних особливостей комп'ютера, його периферійних пристроїв, технічних параметрів комп'ютерних мереж, а також причин появи збоїв у роботі комп'ютерного обладнання;

- технічна експертиза обладнання захисту комп'ютерної інформації. Проводиться з метою вивчення технічних пристроїв захисту інформації, що використовуються на даному підприємстві, організації, закладі або фірмі;

- експертиза машинних даних і програмного забезпечення ЕОМ. Проводиться з метою вивчення інформації, що зберігається комп'ютері і на магнітних носіях, у тому числі вивчення програмних методів захисту комп'ютерної інформації;

- експертиза програмного забезпечення даних, щ0 використовуються в комп'ютерній мережі. Проводиться з метою вивчення інформації, яка обробляється з допомогою комп'ютерних мереж, що експлуатуються на даному підприємстві, організації закладі, фірмі або компанії.

Як показує практика, можливе також призначення комплексної експертизи, що включає: дактилоскопічну, комп'ютерно-технічну експертизу, експертизу речовин і матеріалів, техніко-криміналістичну експертизу документів, а також інші види експертного дослідження.

На вирішення технічної експертизи комп'ютерів виносяться наступні діагностичні запитання:

1. Яка модель комп'ютера представлена на дослідження, які його технічні характеристики, параметри периферійних пристроїв?

2. Чи справна представлена комп'ютерна техніка? Чи можлива її експлуатація? Якщо ні, то з яких причин?

3. Чи відповідає представлена документація даним технічним пристроям і периферійному обладнанню?

4. Які умови складання комп'ютера і його комплектуючих: фірмове збирання, збирання з комплектуючих на іншій фірмі або кустарне збирання? Чи є додаткові пристрої, які не входять до базового комплекту поставки (базовий комплект визначається з документації)?

5. Чи мають місце несправності окремих пристроїв, магнітних носіїв інформації (виявляються різними тестовими програмами)?

6. Чи не проводилась адаптація комп'ютера для роботи з ним специфічних користувачів (лівша, людина з дефектом зору і інше)?

При проведенні технічної експертизи обладнання захисту ставляться наступні запитання:

1. Які технічні пристрої використовуються для захисту комп'ютерної інформації? їх технічні характеристики.

2. Чи є технічна документація на ці вироби? Чи відповідають параметри пристроїв, викладеним у документації?

3. Чи піддавалися засоби захисту програмній модифікації або фізичному впливові? Чи використовуються кустарні засоби захисту інформації?

При проведенні експертизи даних і програмного забезпечення можуть вирішуватися як діагностичні, так і ідентифікаційні задачі. Залежно від конкретних обставин запитання можуть бути наступними. При вирішенні діагностичних задач:

1. Який тип операційної системи використовується в комп'ютері? Яка її версія?

2. Які програмні продукти експлуатуються на даному комп'ютері? Чи є вони ліцензійними, або "піратськими" копіями, або власними оригінальними розробками? Коли проводилася інсталяція (установка) даних програм?

3. Яке призначення програмних продуктів? Для вирішення яких прикладних задач вони призначені? Які способи введення і виведення інформації використовуються? Чи відповідають результати виконання програм потрібним діям?

4. Які програмні методи захисту інформації (паролі, ідентифікаційні коди, програми захисту і т.д.) використовуються? Чи були спроби підбирання паролів або інші спроби незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж?

5. Яка інформація міститься в прихованих файлах?

6. Чи є на представленому магнітному носієві стерті (знищені) файли? Якщо так, то які їх імена, розміри і дати створення, давність знищення?

7. Чи можливе відновлення раніше знищених файлів і який їх зміст?

8. Чи змінювався зміст файлів (вказати, яких саме), якщо так, то в чому він проявився?

9. У якому вигляді зберігається інформація про результати роботи антивірусних програм, програм перевірки контрольних сум файлів? Який зміст даної інформації?

10. Чи мають місце збої в роботі окремих програм? Які їх причини?

11. У якому стані знаходяться і яку інформацію містять файли на магнітних носіях? Коли востаннє відбувалася їх корекція?

12. До яких саме файлів зверталася програма (вказати, яка саме), представлена на машинному носієві і які інформаційні файли вона створювала?

При вирішенні ідентифікаційних задач можуть ставитися наступні запитання:

1. Чи виконана окрема програма (або її частина) певною особою?

2. Чи відповідають паролі та ідентифікаційні коди, що використовуються в програмах, тим, які вводяться користувачами?

Під час експертизи мережного програмного забезпечення і даних ставляться наступні запитання:

1. Яке програмне забезпечення використовується для функціонування комп'ютерної мережі? Чи є воно ліцензійним?

2. Яким чином здійснюється сполучення комп'ютерів мережі? Чи є вихід у глобальні комп'ютерні мережі?

3. Які комп'ютери є серверами (головними комп'ютерами) мережі? Яким чином здійснюється передача інформації на даному підприємстві, закладі, організації, фірмі чи компанії вузлами комп'ютерної мережі?

4. Чи використовуються для обмеження доступу до інформації комп'ютерної мережі паролі, ідентифікаційні коди? В якому вигляді?

5. Чи є збої в роботі окремих програм, комп'ютерів при функціонуванні їх у складі мережі? Які причини цих збоїв?

6. Яка інформація передається, обробляється і модифікується з допомогою комп'ютерної мережі?

Об'єктами комп'ютерно-технічних експертиз, крім комп'ютерів у звичному розумінні, їх окремих блоків, периферійних пристроїв, технічної документації до них, а також носіїв комп'ютерної інформації, можуть бути: електронні записні книжки, мобільні телефони, електронні касові апарати, інші електронні носії текстової або цифрової інформації, документації до них. При цьому на вирішення експерта виносяться аналогічні запитання.

Варто зазначити, що деякі програми кримінального характеру, які створюються злочинцями, можна назвати розробками дуже високого рівня складності. Тому запрошений експерт з професійної точки зору має бути готовим до вирішення різних за складністю завдань. Вибираючи експертний заклад чи експерта, слід враховувати специфіку майбутніх досліджень. Так, якщо передбачається мати справу із зашифрованою інформацією, доцільно запросити спеціаліста в області криптографії. Такими можуть бути представники спеціалізованих підрозділів МВС або СБУ.

Для вивчення розрізнених елементів комп'ютерної техніки слід скористатися послугами інженерів-електронників, інженерів-програмістів і системотехніків доцільно залучати для дослідження програмного забезпечення, обладнання комп'ютерних систем. Спеціалісти в галузі радіо-електричного зв'язку можуть надати кваліфіковану консультацію в разі необхідності визначення особливостей взаємних зв'язків у межах локальних або глобальних комп'ютерних мереж.

Крім спеціалістів інженерно-технічної кваліфікації, може знадобитися допомога експертів, які володіють знаннями в тій чи іншій області, де використовуються комп'ютери. В цьому випадку слідчий має підготуватися до проведення комплексної експертизи. Скласти перелік запитань, адресованих експертові чи групі експертів відповідно до їх професійної приналежності. Тут важливо звернути особливу увагу на можливість ефективної взаємодії експертів різних профілів. Підготувати технічні засоби та додаткову апаратуру, необхідні для забезпечення нормального ходу досліджень та фіксації отриманих результатів.

Перелічені вимоги мають на меті забезпечити отримання і закріплення в матеріалах справи конкретних даних про походження речових доказів та їх характерних ознак і, таким чином, створюють необхідні умови для з'ясування їх співвіднесення до розслідуваної справи, оцінки достовірності встановлених відомостей. Передбачений законом процесуальний порядок закріплення речових доказів повинен забезпечити використання у справі справжніх речових доказів, створює гарантії проти можливої їх підміни чи фальсифікації.

2.2 Специфіка проведення окремих слідчих (розшукових) дій на подальшому етапі розслідування несанкціонованого втручання в роботу комп'ютерів, автоматизованих систем, комп'ютерних мереж

На наступному етапі розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж, залежно від того, наскільки підозрюваний признає власну вину, можуть складатися наступні слідчі ситуації:

1. Підозрюваний признає власну вину і дає розгорнуті правдиві свідчення.

2. Підозрюваний частково признає власну вину, але заперечує участь в основних епізодах злочинної діяльності.

3. Підозрюваний визнає власну вину, але не встановлені всі епізоди злочинної діяльності.

4. Підозрюваний (при скоєнні злочину групою осіб за попередньою змовою або організованою групою) заперечують власну причетність до злочину, дають суперечливі свідчення.

5. Підозрюваний признає власну вину, але не називає співучасників злочину.

У наведеному перелікові слідчих ситуацій найскладнішою є остання. Висуваючи і перевіряючи версії, слідчий проводить комплекс слідчих дій, до яких входять: допит підозрюваного, очні ставки, призначення експертиз, пред'явлення Для впізнавання, слідчий експеримент, перевірка і уточнення свідчень на місці тощо Российская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе / Е.Р. Российская. - М.: 1996. - С. 192..

Допит підозрюваного. Для успішного проведення допиту підозрюваного необхідно ретельно вивчити всі матеріали справи, особливості особистості підозрюваного, способи вчинення злочину, докази, які вказують на винність конкретної особи, і т.п. На час притягнення особи в якості підозрюваного слідство повинне мати дві категорії доказів. Першою з них передбачається доказування обставин, що свідчать про те, що розслідувана подія мала місце, другою - що це діяння вчинене особою, яка притягається до кримінальної відповідальності, і воно відповідає складові злочину, передбаченого ст. 361 КК України.

Допит підозрюваного є однією з найважливіших, найскладніших і, почасти, конфліктних слідчих дій Куликов В.И. Основы борьбы с организованной преступностью / В.И. Куликов; под ред. В.Е. Эминова, Н.П. Яблокова; -М.: 1996.- С. 153.. Не маючи на меті розглядати тактику допиту підозрюваного в цілому, відзначимо, що правдиві свідчення підозрювані дають у тих випадках, коли певні, що розслідуванням встановлене коло фактичних даних. Тому найбільш результативні, зазвичай, прийоми представлення допитуваним зібраних у справі доказів і докладного викладення обставин злочину без посилання на джерела.

Коло питань, які вимагають пояснень підозрюваного, визначаються конкретною слідчою ситуацією, що склалася по кримінальній справі. Однак, у кожному разі при допиті підозрюваного завжди уточняється наступний комплекс обставин:

1. Яким чином відбулося проникнення до приміщення, де встановлена комп'ютерна техніка (в разі безпосереднього доступу), або відбулося підключення до комп'ютерної мережі?

2. Від кого і яким чином отримані відомості про інформацію, що зберігається на комп'ютері?

3. Від кого отримані відомості про засоби захисту комп'ютерної інформації і способи її переборення?

4. Яким чином було подолано фізичний, технічний і програмний захист комп'ютерної інформації?

5. Яким чином здійснювалося незаконне втручання в роботу ЕОМ (комп'ютерів), систем і комп'ютерних мереж? Які технічні і програмні засоби при цьому використовувалися?

6. Чи робилося незаконне копіювання комп'ютерної інформації? Які носії інформації при цьому використовувалися?

7. Кому були передані відомості, отримані в результаті незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж? З якою метою?

8. Як відбувалося знищення слідів незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж?

9. Як часто здійснювалося незаконне втручання в роботу ЕОМ (комп'ютерів), систем і комп'ютерних мереж?

10. Чи відомі особи, які займаються подібною діяльністю? В яких стосунках з ними підозрюваний і що йому про них відомо?

11. Чи входить до кола функціональних обов'язків підозрюваного робота з комп'ютерною інформацією? З якою саме інформацією він має право працювати?

12. Чи має він право доступу до викликаної інформації за своїм службовим становищем?

13. Чи усвідомлює підозрюваний ту обставину, що викликана ним інформація охороняється законом (її використання було обмежене певним колом осіб)?

14. Чи знав він про зміст інформації, яку викликав і знищив, заблокував, модифікував, скопіював?

15. З якою метою скоювалося подібне діяння?

16. Хто знав (здогадувався) про скоєне діяння? Хто бачив його в момент здійснення незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж?

17. Чи знав підозрюваний, хто є законним власником (володарем) інформації, до якої здійснювався несанкціонований доступ?

18. Яким чином використовувалася отримана інформація?

19. Хто сприяв скоєнню цього діяння?

20. Яким чином відбулося сприяння у скоєнні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж з боку інших осіб?

21. Хто був ініціатором скоєння цього діяння?

22. Як були розподілені ролі, хто конкретно їх виконував?

Допит свідків. Завдання слідчого на наступному етапі розслідування полягає в тому, аби встановити конкретне коло свідків. Певну допомогу в цьому можуть надати керівники підприємства, організації, закладу, фірми, компанії, їх співробітники, а також оперативні уповноважені карного розшуку, підрозділів по боротьбі з економічними злочинами і організованою злочинністю.

При розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж свідками можуть бути особи, які спостерігали подію злочину (особливо при безпосередньому доступі) або його окремі моменти, а також бачили злочинців безпосередньо у момент вчинення злочину або після нього.

При допиті свідків на наступному етапі розслідування незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж виникає необхідність у деталізації раніше встановлених обставин або у з'ясуванні фактів, які стали відомі при проведенні інших слідчих дій. У цей період з'ясовується:

1. За яких обставин свідок спостерігав злочинців (процес здійснення злочину)?

2. У чому полягав спосіб вчинення злочину?

3. Яку роль виконував кожен із співучасників незаконного втручання в роботу електронно-обчислювальних машин

4. Чи знає свідок, яку мету переслідував підозрюваний, здійснюючи незаконне втручання в роботу ЕОМ (комп'ютерів), систем комп'ютерних мереж?

5. Хто з працівників підприємства, організації, закладу, фірми, компанії сприяти скоєнню злочину?

6. Чи мали місце подібні прояви раніше, як на них реагували керівники підприємства, організації, закладу, фірми, компанії?

7. Як характеризує свідок підозрюваного і його оточення?

8. Що спаяло скоєнню злочину?

Очні ставки. При розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж очні ставки можуть проводитися між підозрюваними (при скоєнні злочину групою осіб за попередньою змовою або організованою групою), підозрюваними і свідками, які дають різні свідчення про одній ті ж обставини. У деяких випадках вони, наприклад, можуть проводитися за участю осіб, котрі надавали свої приміщення (житло), не знаючи про підготовку та вчинення злочину певним способом при опосередкованому доступі до комп'ютерної інформації, але володіють інформацією про події чи факти, існування яких підозрювані взагалі заперечують.

Приймаючи рішення про проведення очної ставки, кожного разу слід мати на увазі, що під час неї підозрюваний певною мірою знайомиться з доказами по справі. Тому передчасне проведення очної ставки може показати підозрюваному прогалини в системі доказів і зміцнити його позицію. У тих випадках, коли є сумніви щодо результатів очної ставки, варто спробувати усунути істотні протиріччя у свідченнях проведенням повторних допитів. Разом з тим, слід мати на увазі, що для підозрюваних психологічно більш дієвим є вирішення протиріч на очній ставці. Оскільки аргументи на користь того чи іншого положення висуваються не слідчим, а безпосередньо допитуваним, у цій ситуації з'являється ще один компонент психологічного впливу - "ефект присутності" іншого допитуваного, котрий дає інше, нерідко протилежне, пояснення спірних обставин, що створює додаткові можливості для встановлення істини. "Ефект присутності" посилюється, коли в очній ставці бере участь особа, чия думка має моральну цінність для недобросовісного учасника Вехов В.Б. Компьютерные преступления. Способы совершения, методики расследования / В.Б. Вехов. - М.: Право и закон, 1996. - С. 36..

У тих випадках, коли в очній ставці бере участь авторитетний свідок (старший за віком, незалежний у поведінці), підозрюваний (з числа авторитетів злочинного середовища), не бажаючи визнати себе викритим, нерідко не дає правдивих свідчень під час самої очної ставки. Однак, такі свідчення можуть бути отримані від нього на допиті, проведеному відразу ж після очної ставки. Це пояснюється тим, що такі підозрювані не бажають показувати себе у присутності свідків "переможеними".

Перед проведенням очної ставки можуть складатися дві типові слідчі ситуації:

1) один з учасників слідчої дії, пояснюючи певні обставини злочину, дає правдиві свідчення, а інший - неправдиві;

2) обидва учасники слідчої дії дають неправдиві свідчення і по-різному пояснюють окремі, важливі для розслідування кримінальної справи, обставини.

Наведені слідчі ситуації можуть бути наслідком або добросовісної помилки, або умисною неправдою учасників слідчої дії.

Необхідно зазначити, що добросовісна помилка може пояснюватися об'єктивними і суб'єктивними причинами. Об'єктивні пов'язані з несприятливими умовами усвідомлення події, обставини якої з'ясовуються. Суб'єктивні - з дефектами органів відчуття, особливостями психіки, які можуть перешкоджати адекватному сприйняттю і запам'ятовуванню подій. Виходячи з цього, можливості очної ставки щодо усунення відмічених недоліків певною мірою обмежені, що безпосередньо впливає на її результативність Сергеев Л.А. Руководство для следователей / Л.А. Сергеев. - М.: 1971. -С. 415..

Готуючись до очної ставки, необхідно передбачити такі запитання до її учасників, щоб вони викликали асоціативні зв'язки, намітити розгляд суміжних подій та обставин, вирішити, які і коли докази (предмети, документи, комп'ютерну техніку, або комп'ютерну інформацію) пред'явити і т.п. Сергеев Л.А. Руководство для следователей / Л.А. Сергеев. - М.: 1971. -С. 173. Нагадування про певні обставини, демонстрація комп'ютерної техніки або перегляд комп'ютерної інформації за асоціацією можуть викликати в пам'яті допитуваного іншу, забуту, випущену з уваги обставину, явище, факт. З цією метою на очній ставці можуть демонструватися результати наглядної фіксації результатів інших слідчих дій: фотографії, схеми, плани, креслення, роздруківки (лістинги) комп'ютерної інформації, вилучені чорнові записи тощо.

У тих випадках, коли очна ставка проводиться між особами, протиріччя у свідченнях яких є результатом добросовісної помилки, рекомендується надати їм ширші можливості спілкування між собою з приводу питань, що потребують з'ясування.

Для розкриття зумисної брехні на очній ставці варто використовувати правдиві свідчення свідка. У тих випадках, коли підозрюваний відзначається жорстким характером, проявляє наполегливість, грубість, нахабство, необхідно: при підготовці слідчої дії отримати згоду свідка на участь в очній ставці; проінформувати його про те, що підозрюваний може спробувати вплинути на нього; вжити заходи щодо виключення можливих ексцесів між ними в період її проведення.

Існує декілька загальнотактичних прийомів викриття фальшивих свідчень на очній ставці незалежно від ступеня правдивості кожного з її учасників. Найефективнішим з них є пред'явлення доказів (речових доказів, протоколів слідчих дій і додатків до них, висновків експертів і т.п.). Докази на очній ставці мають використовуватися за наявності наступних умов:

- коли свідчення правдивого учасника досить широкі за своїм змістом і охоплюють усі події або всі істотні їх обставини;

- коли в розпорядженні слідчого є докази, що підтверджують основні положення свідчень правдивого учасника;

- коли слідчий упевнений в тому, що правдивий учасник, в силу своїх морально-вольових якостей і відповідних рис характеру, при проведенні слідчої дії займе активну наступальну позицію, направлену на викриття брехливих свідчень Соловьев А.Б. Использование доказательств при допросе / А.Б. Соловьев. -М.: 1981.- С. 82..

У деяких випадках позитивного результату можна досягти прийомом, коли слідчий оголошує підозрюваному своє рішення про проведення очної ставки з декількома свідками, які дали правдиві свідчення і можуть викрити підозрюваного у неправдивих показаннях. Після такого попередження він може дати правдиві свідчення, відмовившись від зустрічі з особами, які можуть його викрити.

Інколи, для викриття зумисної брехні, рекомендується послідовне проведення декількох очних ставок. Для цього на першу очну ставку виноситься лише частина протиріч, яка досліджена при проведенні інших слідчих дій, в результаті чого зібрані достатні докази. Слід мати на увазі, що повторна (наступна) очна ставка може проводитися лише в тому випадку, коли один з учасників відмовився від своєї попередньої позиції. Виключенням можуть бути випадки, коли виникає нова слідча ситуація.

Позитивні результати можуть бути і тоді, коли очна ставка проводиться як наслідок комплексу слідчих дій за участю підозрюваного, який дає неправдиві свідчення, наприклад, допит, слідчий експеримент, перевірка і уточнення показань на місці.

Звичайно, не завжди очна ставка може дати результати, однак, у переважній більшості випадків, вона створює передумови для встановлення істини при проведенні інших слідчих дій.

Результати слідчої дії відбиваються в протоколі; нерідко вони підкріплюють висновки слідчого і підсилюють комплекс доказів, . отриманих у процесі розслідування кримінальної справи.

При проведенні очної ставки бажано використати звукозапис або відеозапис. Це, певною мірою, дозволяє уникнути втрат важливої доказової інформації.

Пред'явлення для впізнавання. Пред'явлення для впізнавання, поряд з іншими наступними слідчими діями, має істотне значення для встановлення і уточнення конкретних обставин незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж. Пред'явлення комп'ютерної інформації, предметів і об'єктів (знарядь злочину, магнітних носіїв інформації тощо) для впізнавання дозволяє встановити не лише знаряддя злочину, а і осіб, котрі брали участь у їх виготовленні (особливо, при опосередкованому доступі), бачили їх у злочинців або виробників, визначити приналежність комп'ютерної інформації певним особам.

При розслідуванні незаконного втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем і комп'ютерних мереж для впізнавання, крім традиційних об'єктів (предмети, люди, об'єкти, зображені на фотографіях), може пред'являтися також комп'ютерна інформація у вигляді програм, баз даних, текстових або графічних файлів, її носії, комп'ютерна техніка. При цьому, впізнавання має ряд особливостей, обумовлених специфікою комп'ютерної інформації.

На практиці, пред'явлення для впізнавання живих людей, комп'ютерної техніки і носіїв комп'ютерної інформації (як матеріальних предметів), інших предметів або їх фотографій труднощів не викликає Белкин Р.С Тактика следственных действий / Р.С. Белкин, Е.М. Лившиц. - М.: Фактор, 1997. - С. 143.. Що ж до пред'явлення для впізнавання комп'ютерної інформації, то тут маємо низку труднощів тактичного і процесуального характеру.

Комп'ютерна інформація все ж таки має певні ідентифікаційні ознаки: змісту вид, атрибути, носії, імена та розмір файлів, дати і час їх створення, то це, на мій погляд, робить можливим її впізнавання, тобто ототожнення. Крім того, комп'ютерна інформація може мати індивідуальні особливості. Так, текст, набраний на комп'ютері, може мати різний шрифт, кегль (висота букв), інтерліньяж (відстань між рядками), величину абзацних відступів, особливий стиль виділення заголовків, розмір полів, особливості нумерації сторінок; комплекс ознак конкретного програмного продукту: призначення, функції, інтерфейс, графічне і музичне оформлення, що робить його придатним для впізнавання.

Криміналістичні складнощі пов'язані з відсутністю у вітчизняній літературі методичних рекомендацій пред'явлення для впізнавання комп'ютерної інформації. Очевидно, в зв'язку з цим, при вивченні кримінальних справ за ст.361 КК України нам не зустрілося жодного випадку пред'явлення для впізнавання комп'ютерної інформації. Склалася практика, коли в ситуаціях, в яких необхідно провести впізнавання інформації (наприклад, виявленої і вилученої з ЕОМ у ході обшуку підозрюваного), слідчі проводили допит свідка (потерпілого), в ході якого демонструвалася (пред'являлася) дана інформація, і допитувана особа "впізнавала" її в ході допиту. Бачиться, що такий підхід не зовсім правильний, оскільки подібне пред'явлення уже саме по собі може зумовити відповідь допитуваної особи. На мій погляд, у подібних випадках необхідне проведення пред'явлення для впізнавання.