Первоначальный этап расследования неправомерного доступа к компьютерной информации

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

ГЛАВА 1. ОБЩАЯ ХАРАКТЕРИСТИКА НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

§1. Уголовно-правовая характеристика неправомерного доступа к компьютерной информации

§2. Криминалистическая характеристика неправомерного доступа к компьютерной информации

ГЛАВА 2. ОРГАНИЗАЦИЯ РАССЛЕДОВАНИЯ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ НА ПЕРВОНАЧАЛЬНОМ ЭТАПЕ

§1. Особенности возбуждения уголовного дела

§2. Типичные следственные ситуации первоначального этапа расследования неправомерного доступа к компьютерной информации

ГЛАВА 3. ОСОБЕННОСТИ ПРОИЗВОДСТВА ПЕРВОНАЧАЛЬНЫХ СЛЕДСТВЕННЫХ ДЕЙСТВИЙ ПРИ РАССЛЕДОВАНИИ НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

§1. Особенности проведения осмотра места происшествия, обыска (выемки), допроса подозреваемого (обвиняемого)

§2. Особенности назначения компьютерной экспертизы (компьютерно-технологической и компьютерно-технической)

ЗАКЛЮЧЕНИЕ

БИБЛИОГРАФИЯ

ВВЕДЕНИЕ

Актуальность темы исследования. ХХI век - век бурного развития научно-технического прогресса и электронно-вычислительной техники. Развитие информационной сферы и обеспечение её безопасности становятся одними из приоритетных задач внутренней политики государства. По темпам развития и влияния на социально-экономическую инфраструктуру общества компьютерная отрасль промышленности не имеет аналогов, поскольку именно она создает основу развития информационного пространства как внутри страны, так и за её пределами.

Расширение использования электронно-вычислительной техники породило как технические, так и правовые проблемы. Негативным последствием процесса компьютеризации общества являются так называемые «компьютерные преступления», представляющие реальную угрозу не только отдельным пользователям электронно-вычислительных машин, но и в целом национальной безопасности страны, так как в последнее время приобретают транснациональный организованный характер.

В современном мире одним из распространенных видов компьютерных посягательств является неправомерный доступ к компьютерной информации. Такие преступления чаще всего совершаются с умыслом на использование охраняемой законом информации в корыстных целях. Поскольку информация в нашем обществе является одним из главных ресурсов деятельности, то необходимо отметить, что в будущем значительно увеличится как количество совершаемых компьютерных преступлений данного вида, так и их качество.

Неправомерный доступ к информации, циркулирующей в датчиках сложных компьютерных систем оборонного и производственного назначения, может привести к катастрофическим последствиям: повлечь гибель людей, причинить вред их здоровью, привести к развитию опасных технологических процессов, уничтожению имущества в значительных размерах. Данная проблема в настоящее время не имеет адекватных решений и по мере внедрения ЭВМ во все сферы общественной жизни, она становится все более острой.

Специфичность преступлений в сфере компьютерной информации обусловлена тем, что при их совершении используются высокие технологии и другие новейшие достижения мировой науки и техники, определенный уровень специальных познаний, что с учетом высокой латентности этих преступлений существенно затрудняет их выявление и фиксацию, а также организацию противодействия им, включая их пресечение и предупреждение.

Рассматриваемые обстоятельства свидетельствуют о важности исследований криминалистических аспектов преступлений в сфере компьютерной информации в целом и их наиболее быстро развивающегося и опасного вида - преступных посягательств, связанных с неправомерным доступом к компьютерной информации.

Целью работы является рассмотрение уголовно-правовой и криминалистической характеристики неправомерного доступа к компьютерной информации, а также порядка возбуждения уголовного дела, проведения оперативно-розыскных мероприятий и следственных действий, проводимых на первоначальном этапе расследования, и выявление на основе этого проблемных аспектов, создающих трудности в решении задач, стоящих перед правоохранительными органами в их практической деятельности.

Для этого были поставлены следующие задачи:

· определить, что в уголовном законодательстве РФ понимается под охраняемой законом компьютерной информацией;

· обозначить особенности элементов криминалистической характеристики неправомерного доступа к компьютерной информации;

· рассмотреть классификацию способов неправомерного доступа и их особенности;

· рассмотреть следовую картину, возникающую как при совершении непосредственного, так и удаленного неправомерного доступа к компьютерной информации;

· обозначить методические рекомендации по проведению ОРМ и следственных действий на первоначальном этапе расследования неправомерного доступа к компьютерной информации;

· выявить основные проблемы, препятствующие расследованию преступлений по данной категории дел и сформулировать на основе этого рекомендации по их устранению.

Объектом исследования являются преступная деятельность, связанная с подготовкой, совершением и сокрытием неправомерного доступа к компьютерной информации, и деятельность сотрудников правоохранительных органов по расследованию указанных преступлений.

Предметом исследования являются закономерности преступной деятельности и криминалистические особенности расследования неправомерного доступа к компьютерной информации, а именно: закономерности механизма совершения неправомерного доступа к компьютерной информации и связанного с ним механизма следообразования, закономерности обнаружения, фиксации, изъятия и исследования следов совершенного преступления и используемые для этой деятельности средства и методы.

Методологическую базу работы составили всеобщий, общенаучные и частнонаучные методы познания. В частности, применялись такие методы, как диалектический, методы рационального познания и другие.

Теоретической базой исследования послужили работы ученых в области уголовного права, криминалистики, а также научные статьи, диссертации, специальная и общетеоретическая литература. В частности, были изучены работы В.Б. Вехова, Ю.В. Гаврилина, В.А. Мазурова, Н.Н. Федотова, Н.Г. Шурухнова и др.

Правовая основа работы представлена Конституцией Российской Федерации, уголовным, уголовно-процессуальным законодательством РФ, федеральными законами, а также подзаконными актами в области применения информационных технологий, обеспечения защиты информации.

Эмпирическую базу исследования составили материалы уголовных дел Следственного управления Следственного комитета при УВД по Вологодской области, содержащие сведения о неправомерном доступе к компьютерной информации.

Научная новизна исследования обусловлена недостаточной разработанностью криминалистических аспектов преступлений в сфере компьютерной информации. Данная работа является результатом системного криминалистического исследования неправомерного доступа к компьютерной информации, в которой рассматриваются уголовно-правовая и криминалистическая характеристика этого вида преступлений, а также особенности возбуждения уголовного дела и специфика проведения оперативно-розыскных мероприятий и следственных действий.

Теоретическая и практическая значимость работы. Полученные в работе результаты расширяют криминалистические знания о закономерностях и особенностях совершения неправомерного доступа к компьютерной информации. Данные результаты могут быть полезными при проведении новых криминалистических исследований по проблематике преступлений в сфере компьютерной информации.

Сформулированные предложения и рекомендации могут быть использованы в учебном процессе, при подготовке соответствующих учебно-методических материалов, а также в практической деятельности сотрудников правоохранительных органов.

Структура исследования. Данная работа состоит из введения, трех глав, заключения, библиографии и приложений.

Глава 1. ОБЩАЯ ХАРАКТЕРИСТИКА НЕПРАВОМЕРНОГО ДОСТУПА К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

§1. Уголовно-правовая характеристика неправомерного доступа к компьютерной информации

Как известно, основанием возбуждения уголовного дела является наличие достаточных данных, указывающих на признаки преступления Уголовно-процессуальный кодекс Российской Федерации от 18.12.2001 № 174-ФЗ (в ред. от 29.12.2009) // Российская газета. - 2001. - №249. - Ст. 140.. Определение юридически значимых признаков преступления и установление их соответствия диспозиции статьи Особенной части УК РФ Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (в ред. от 30.12.2008) // Собрание законодательства РФ. - 1996. - №25. - Ст. 2954. осуществляется в ходе квалификации преступлений, точность которой зависит от знания уголовно-правовой характеристики преступления. Именно с данного аспекта представляется целесообразным начать рассмотрение темы.

Объект неправомерного доступа к компьютерной информации.

Родовым объектом неправомерного доступа к компьютерной информации Неправомерный доступ к компьютерной информации - далее НДКИ. является совокупность общественных отношений, составляющих содержание общественной безопасности и общественного порядка. Однако такое деяние посягает не на все отношения общественной безопасности в целом, а лишь на связанные с информационной безопасностью, под которой понимается состояние защищенности жизненно важных интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз, обеспечивающее её формирование, использование и развитие в интересах граждан, общества и государства Мазуров В.А. Компьютерные преступления: классификация и способы противодействия. - М.: «Логос», 2002. - С. 21..

Видовым объектом НДКИ является совокупность общественных отношений в части правомерного и безопасного использования компьютерной информации и информационных ресурсов.

Непосредственным объектом анализируемого состава преступления, исходя из диспозиции ст. 272 УК РФ, являются общественные отношения, обеспечивающие безопасность компьютерной информации, нормальную работу ЭВМ, системы ЭВМ или их сети.

В качестве дополнительного объекта могут выступать общественные отношения, охраняющие права собственника компьютерной информации, авторские права, права на неприкосновенность личной жизни и т.д.

Предмет неправомерного доступа к компьютерной информации.

Компьютерная информация, как и любая другая информация в соответствии со ст. 128 ГК РФ Гражданский кодекс Российской Федерации (часть первая) от 30.10.1994 № 51-ФЗ (в ред. от 27.12.2009) // Российская газета. - 1994.- №238-239. является объектом гражданских прав. При наличии исключительных прав на нее как на результат интеллектуальной деятельности она признается интеллектуальной собственностью Хилюта В. Можно ли похитить информацию? // Законность. - 2008. - №5. - С. 48..

Компьютерная информация как объект гражданских прав может свободно отчуждаться или переходить от одного лица к другому в соответствии с действующим законодательством, если она не изъята из оборота или не ограничена в обороте. Виды объектов гражданских прав, нахождение которых в обороте не допускается, должны быть прямо указаны в законе. Применительно к компьютерной информации это, например, Закон РФ «О государственной тайне» Закон Российской Федерации «О государственной тайне» от 21.07.1993 № 5485-1 (в ред. от 18.07.2009) // Собрание законодательства РФ. - 1997. - №41. - Стр. 8220-8235..

В отличие от обычной информации, содержащей сведения о лицах, фактах, событиях и процессах независимо от формы представления, под компьютерной информацией понимаются не сами сведения, а форма их представления в машиночитаемом виде, т.е. совокупность символов, зафиксированная на «жестком» диске и в памяти компьютера либо на съемном носителе, либо передаваемая по телекоммуникационным каналам в доступной восприятию электронно-вычислительной машиной форме. Исходя из данного определения и с учетом ст. 2 ФЗ «Об информации, информационных технологиях и защите информации» Федеральный закон Российской Федерации «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ // Собрание законодательства РФ. - 2006. - №31 (ч. 1). - Ст. 3448. (далее по тексту - ФЗ «Об информации») компьютерная информация является документированной, поскольку она зафиксирована на материальном носителе путем документирования с реквизитами, позволяющими определить такую информацию или в установленных законодательством случаях ее материальный носитель.

ФЗ «Об информации» устанавливает две категории информационных ресурсов Поскольку на основе документированной информации формируются информационные ресурсы, то, следовательно, они также могут быть предметом неправомерного доступа к охраняемой законом компьютерной информации.: информация общего пользования и информация ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. НДКИ общего пользования, то есть к неохраняемой законом информации, адресованной неограниченно широкому кругу лиц и в отношении которой не принято технических, организационных и защитных мер, не образует признаков преступления, ответственность за совершение которого предусмотрена ст. 272 УК РФ.

Что касается второй категории информационных ресурсов, то к ней относится информация, свободный доступ к которой ограничен в соответствии с законодательством РФ. Эта информация предназначена для определенного круга лиц, имеющих право на ознакомление с ней. Кроме того, в отношении нее должны быть приняты технические, организационные и защитные меры. Действующее уголовное законодательство РФ берет под свою охрану информацию ограниченного доступа с учетом тех требований, которые предъявляются к ней со стороны законодательства РФ по организации защиты. К такого рода охраняемой законом компьютерной информации, в отношении которой устанавливается режим защиты, относятся:

· информация, составляющая государственную тайну. Меры по ее защите предпринимают уполномоченные органы на основании Закона РФ «О государственной тайне». Согласно ст. 2 указанного закона к государственной тайне относятся сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которой может нанести ущерб безопасности РФ Указом Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» запрещено осуществлять включение информационных систем, информационно-телекоммуникационных сетей, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей Интернет.;

· конфиденциальная информация, меры по защите которой на основании ФЗ «Об информации» и других законов РФ предпринимают собственники информационных ресурсов или уполномоченные лица.

Что касается конфиденциальной информации, то под ней понимают обязательное выполнение лицом, получившим доступ к определенной информации, требования не передавать такую информацию третьим лицам без согласия её обладателя. Перечень ее определен в Указе Президента РФ Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера» (в ред. от 23.09.2005) // Собрание законодательства РФ. - 1997. - №10. - Ст. 1127..

Стоит уточнить, что в соответствии с ФЗ «Об информации» обладателем последней признается лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект РФ, муниципальное образование. Обладатель информации, в частности, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа, защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами, а также обязан принимать меры по ее защите.

По общему правилу степень защиты конфиденциальной информации должна соответствовать уровню ее ценности для обладателя. Перечень обязательных мер по охране конфиденциальности информации включает ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за его соблюдением. При этом меры по охране конфиденциальности информации признаются разумно достаточными, если исключается доступ к этой информации любых лиц без согласия ее обладателя. Подчеркнем, что обладатель компьютерной информации должен принимать не только организационные и юридические меры к охране конфиденциальности информации, но и специальные технические, затрудняющие доступ третьих лиц к ней в компьютерной системе Осипенко А. Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации // Уголовное право. - 2007. - №3 - С. 43..

Кроме собственно информации, т.е. сведений, предназначенных для информирования, предметом преступного воздействия может выступать информация в виде программных средств, которые призваны обеспечивать бесперебойную работу компьютерной техники. Под программой для ЭВМ понимается объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения. Выделяют классы операционных систем, сервисных программ, языков программирования и т.д.

Компьютерная информация, выступающая предметом по ст. 272 УК РФ, должна быть зафиксирована на материальном носителе, в памяти ЭВМ, системы ЭВМ Система ЭВМ - упорядоченная совокупность взаимосвязанных и взаимодействующих как единое целое ЭВМ, обеспечивающих выполнение определенной функции. или их сети Сеть ЭВМ - способ установления связи между удаленными ЭВМ, совокупность компьютеров, средств и каналов связи, позволяющая использовать информационные и вычислительные возможности каждого компьютера, включенного в сеть, независимо от его местонахождения. , для того чтобы она была доступна для восприятия. В литературе идет бурная дискуссия по поводу того, что понимать под ЭВМ. Исходя из следственной и судебной практики, под ЭВМ понимается электронно-вычислительная машина, преобразующая информацию в ходе своего функционирования в числовую форму, т.е. устройство, предназначенное для ввода, обработки и вывода информации. Термин компьютер употребляется в том же смысле, что и термин ЭВМ. Малогабаритная ЭВМ, установленная на рабочем месте пользователя, именуется персональным компьютером (ПК или ПЭВМ). В последние годы следственная и судебная практика идет по такому пути, что такие электронные устройства, как, например, пейджер, сотовый телефон, электронный кассовый аппарат и другие подпадают под понятие ЭВМ.

Объективная сторона неправомерного доступа к компьютерной информации выражается в неправомерном доступе к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Данное преступление выражается в форме активных действий, заключающихся в неправомерном доступе виновного к компьютерной информации или информационным ресурсам. Под доступом к информации понимается возможность получения информации и её использования. Соответственно, одним из оснований для привлечения лица к уголовной ответственности по ст. 272 УК РФ будет являться установление того факта, что лицо действовало именно неправомерно. А это значит, что лицо не имело право вызывать, знакомиться и распоряжаться информацией, в отношении которой принимаются специальные меры по её защите, ограничивающие круг лиц, без разрешения на то собственником или обладателем данной информации.

НДКИ вменяется соответствующему лицу по совокупности с теми преступлениями, ради совершения которых такой доступ осуществлялся Комментарий к УК РФ / Под общ. ред. Ю.И. Скуратова, В.М. Лебедева. - М., 2001. - С. 703. . Вместе с тем квалификация содеянного по совокупности не должна производиться исключительно в случаях, когда сама по себе компьютерная информация является предметом посягательства Так, уничтожение информации в целях подрыва экономической безопасности и обороноспособности Российской Федерации должно быть квалифицировано лишь по ст. 281 УК РФ. В то же время тайное копирование чужой компьютерной информации для неправомерного обладания ею дополнительной квалификации по ст. 158 УК РФ не требует..

Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из последствий:

* уничтожение информации, т.е. удаление информации на материальном носителе и невозможность ее восстановления на нем. В то же время имеющаяся у пользователя возможность восстановить уничтоженную или поврежденную компьютерную информацию с помощью средств программного обеспечения или получить идентичную утраченной информацию из другого источника, в том числе от другого пользователя, не освобождает виновного от ответственности за содеянное;

* блокирование информации, т.е. совершение действий, приводящих к ограничению или закрытию доступа к компьютерной системе и предоставляемым ею информационным ресурсам, т.е. искусственное затруднение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением, в том числе путем введения паролей, неизвестных пользователям;

* модификация информации, т.е. внесение изменений в программы, базы данных, текстовую и любую другую информацию, находящуюся на материальном носителе, а для программ ЭВМ - адаптацию, под которой понимают внесение изменений, осуществляемых исключительно в целях обеспечения функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя, или под управлением конкретных программ пользователя;

* копирование информации, т.е. перенос информации на другой материальный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме: от руки, путем фотографирования текста с экрана дисплея, а также считывания информации путем перехвата излучений ЭВМ (монитора), расшифровки шумов принтера и другими способами;

* нарушение работы ЭВМ, системы ЭВМ или их сети, т.е. нарушение работы как отдельных программ, баз данных, выдача искаженной информации, так и нештатное функционирование аппаратных средств и периферийных устройств, либо нарушение нормального функционирования сети, в том числе прекращение функционирования автоматизированной информационной системы в установленном режиме, либо сбой в обработке компьютерной информации Мазуров В.А. Компьютерные преступления: классификация и способы противодействия. - М.: «Логос», 2002. - С. 94-113..

Однако, такой перечень обязательных последствий, предусмотренных ст. 272 УК РФ, не обеспечивает должным образом защиту, например, конфиденциальной информации, поскольку сам факт вызова или просмотра компьютерной информации на съемном носителе, не образует данного состава преступления. Необходимо по крайней мере установить факт переноса указанной информации на другой машинный носитель. Если полученные следствием материалы не подтверждают факта уничтожения, блокирования, модификации или копирования компьютерной информации, то несанкционированное обладателем ознакомление с ней не может служить достаточным основанием к применению ст. 272 УК РФ. Однако совершенно понятно, что на практике в большинстве случаев существенный ущерб обладателю конфиденциальной информации наносит уже само ознакомление с ней постороннего лица Осипенко А. Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации // Уголовное право. - 2007. - №3. - С. 43.. Данную проблему предлагаем устранить путем уточнения диспозиции ст. 272 УК РФ, включив в состав данного преступления необходимые альтернативные последствия НДКИ.

Наконец, следующим необходимым признаком объективной стороны НДКИ является причинная связь между противозаконными действиями и наступившими вредными последствиями. При функционировании сложных компьютерных систем возможны уничтожение, блокирование и иные нарушения работы ЭВМ в результате технических неисправностей или ошибок в программных средствах. В этих случаях лицо, совершившее НДКИ, не подлежит ответственности по данной статье ввиду отсутствия причинной связи между его действиями и наступившими последствиями.

Субъективная сторона данного преступления характеризуется виной в форме прямого умысла в отношении деяния. Вместе с тем косвенный умысел может проявляться только в отношении неблагоприятных последствий доступа, предусмотренных диспозицией данной нормы уголовного закона Так, если в результате неправомерного доступа к системе ЭВМ, управляющей процессами, связанными с повышенной опасностью (например, в результате уничтожения, блокирования информации в системе управления атомной станцией нарушена работа реактора), наступили тяжкие последствия, уголовная ответственность за такие действия наступает, когда наступление этих последствий не охватывалось умыслом лица, либо лицо предвидело возможность наступления последствий, но без достаточных к тому оснований самонадеянно рассчитывало на их предотвращение, либо лицо не предвидело, но должно было предвидеть возможность наступления этих последствий, но относилось к этому безразлично. . С учетом того, что информационные системы обладают высокой сложностью, и их функционирование зависит от огромного числа параметров, значение многих из которых пользователь не контролирует, следует признать, что неосторожность здесь неприменима. Сложность, слабая предсказуемость современных компьютерных систем приводит к тому, что доступ к чужой информации и воздействие на неё происходит в силу ошибок в программах и случайных факторов. Каждый специалист знает об этом и вынужден допускать возможность возникновения таких ошибок, застраховаться от которых невозможно Богомолов М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации. - Красноярск, 2002. Гл. 2, §4. [Электронный вариант].. Поэтому включение в состав преступления варианта его совершения по неосторожности криминализировало бы всю повседневную работу любых специалистов по информационным технологиям Середа С.А., Федотов Н.Н. Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ» // Закон. - 2007. - № 7 // URL: http://bajki.narod.ru/ras_tolkovanie.html (дата обращения - 10.02.2010)..

По общему правилу субъектом рассматриваемого преступления может быть физическое вменяемое лицо, достигшее 16-летнего возраста. На основании данных, полученных из уголовных дел, возбужденных российскими правоохранительными органами, следует, что примерно 98% НДКИ совершают мужчины. На долю лиц до 25 лет приходится в среднем примерно 63%, от 26 до 35 лет чуть выше 30%, старше 35 лет примерно 6%. На долю лиц с высшим и неполным высшим образованием приходится 2/3 всех лиц, совершающих преступления по ст. 272 УК РФ Иванова И.Г. Выявление и расследование неправомерного доступа к компьютерной информации. Автореф. дисс. … канд. юрид. наук. - Барнаул, 2007. - С. 11.. В настоящее время наблюдается тенденция увеличения количества преступлений, совершаемых самими сотрудниками потерпевших организаций, в том числе и бывшими, а также организованными преступными группами и сообществами, для которых характерно четкое распределение ролей в совершенном преступлении.

Вместе с тем ч. 2 ст. 272 УК РФ предусматривает наличие специального субъекта, совершившего данное преступление с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети. Под доступом в данном случае следует понимать фактическую возможность использования ЭВМ при отсутствии права на работу с защищенной информацией Например, специалист по ремонту компьютерной техники имеет доступ к ЭВМ в силу своих служебных обязанностей, но вносить какие-либо изменения в информацию, находящуюся в памяти ЭВМ, он не имеет права..

Под использованием служебного положения, предусмотренного в ч. 2 ст. 272 УК РФ, понимается использование возможности доступа к ЭВМ, возникшей в результате выполняемой работы (по трудовому, гражданско-правовому договору) или влияния по службе на лиц, имеющих такой доступ (в данном случае субъектом преступления не обязательно является должностное лицо), т.е. тех, кто на законных основаниях использует ЭВМ, работает на ней или непосредственно обслуживает ее работу Лопатина Т.М. Отдельные вопросы характеристики уголовно-правовых признаков субъекта преступлений в сфере компьютерной информации // Российский судья. - 2006. - № 1. - С. 24-25. (программисты, сотрудники, вводящие информацию в память ЭВМ, другие пользователи, а также администраторы баз данных, инженеры-электрики, ремонтники, специалисты по эксплуатации электронно-вычислительной техники и т.п.).

На наш взгляд, ст. 272 УК РФ сформулирована в общем виде. Это, с одной стороны, позволяет на практике правоохранительным органам «подгонять» многие совершаемые компьютерные преступления под НДКИ, с другой стороны, создает трудности для юридической квалификации преступлений.

Отсутствие четкого уголовно-правового определения компьютерной информации, единого понимания ее сущности как предмета преступного посягательства значительно затрудняет выработку общей концепции борьбы с компьютерной преступностью и может служить причиной отказа в возбуждении уголовных дел или их прекращения по реабилитирующим основаниям.

Введение в УК РФ гл. 28 «Преступления в сфере компьютерной информации» проблемы не снимает, а появляется лишь видимость ее решения. Кроме того, речь в ней идет о преступлениях, совершаемых в отношении средств компьютерной техники и информации, но не преступлений, совершаемых с их использованием. Все это и многое другое свидетельствует о необходимом пересмотре ст. 272 УК РФ.

С учетом позиций, излагаемых в литературе, для решения указанных проблем, помимо внесения изменений в ст. 272 УК РФ законодательным путем, необходимо, чтобы Пленум Верховного Суда РФ издал постановление о практике по делам о преступлениях в сфере компьютерной информации, выработав в нем, исходя из судебной практики, понятия неправомерного доступа, ЭВМ, системы ЭВМ, сети ЭВМ, использованные законодателем в диспозиции ст. 272 УК РФ, а также последствия неправомерного доступа. В этой связи определение неправомерного доступа могло бы звучать, как несанкционированное собственником или владельцем информации, ознакомление лица с данными, содержащимися на машинных носителях или в памяти ЭВМ и имеющих уровень защиты в соответствии с законодательством РФ.

Кроме того, принятие постановления Пленума ВС РФ по данной категории дел позволило бы на практике выработать общую концепцию борьбы с компьютерной преступностью, что существенно бы облегчило работу и правоохранительных органов, и судов.

§2. Криминалистическая характеристика неправомерного доступа к компьютерной информации

Под криминалистической характеристикой любого преступления подразумевается система обобщенных данных о типичных следах, способе совершения и механизме преступления, личности преступника и других существенных чертах, свойствах и особенностях преступления и сопутствующих ему обстоятельствах, способствующая оптимизации расследования и практическому применению средств, приемов и методов криминалистики в раскрытии и расследовании преступлений Яблоков Н.П. Криминалистика. - М.: Юристъ, 2005. - С. 60..

Прежде чем рассматривать элементы криминалистической характеристики НДКИ, необходимо отличать компьютерные преступления от преступлений в сфере компьютерной информации. Термин «компьютерные преступления» шире второго, он также охватывает те преступления, где компьютерная техника, программы, компьютерная информация и цифровые каналы связи являются орудиями совершения преступления или предметом посягательства.

Использованная законодателем формулировка диспозиции ст. 272 УК РФ имеет широкую сферу применения, что подтверждается на практике Середа С.А. Доклад на VII Международной конференции «Право и Интернет» // URL: http://www.ifap.ru/pi/07/ (дата обращения - 14.02.2010).. Поэтому для того, чтобы иметь представление о том, кто совершает неправомерный доступ, с какой целью, каким образом, необходимо дать криминалистическую характеристику не только НДКИ, но и тем компьютерным преступлениям, ради совершения которых такой доступ осуществляется В Приложении № 1 отражена криминалистическая характеристика компьютерных преступлений, при совершении которых может быть осуществлен НДКИ..

Начнем рассмотрение криминалистической характеристики НДКИ с особенностей предмета ст. 272 УК РФ.

Выделение компьютерной информации в качестве самостоятельного предмета уголовно-правовой охраны обусловлено её специфическими характеристиками. Для данного вида информации характерно наличие материального носителя, вне которого она не может существовать. Это позволяет устанавливать в автоматизированных процессах статус носителей информации, поскольку одна и та же компьютерная информация может храниться, передаваться на различных носителях. Кроме того, она имеет способность к сохранению и сжатию при помощи таких архивов, как Win Rar, Zip и др. Компьютерная информация при её потреблении не исчезает и не подвергается физическому износу. Она может быть растиражирована в неограниченном количестве, а также создана и изменена только при помощи ЭВМ. Помимо этого машинная информация легко удаляется при помощи компьютерной техники и передается по сетям. Данный вид информации может находиться как на машинном носителе Под машинным носителем понимают любое техническое устройство либо физическое поле, предназначенное для фиксации, хранения, накопления, преобразования и передачи компьютерной информации., так и на самой ЭВМ (ОЗУ и иной памяти ЭВМ) временно, например, информация, находящаяся в буфере обмена, и относительно постоянно, при условии, что она сохранена.

Следует помнить, что иногда компьютерная информация может выступать не только в качестве предмета преступления, но и в качестве средства преступного посягательства, причем в рамках одного и того же преступления. Исходя из этого, следует признать, что программы для ЭВМ также имеют двойственную природу: с одной стороны, служат инструментом воздействия на информацию, с другой - они могут подвергнуться любому воздействию в результате деяний, предусмотренных гл. 28 УК РФ.

При изъятии компьютерной информации, в отличие от изъятия материального предмета (вещи), она сохраняется в первоисточнике, т.к. доступ к ней могут одновременно иметь несколько лиц, например, при работе с информацией, содержащейся в одном файле, доступ к которому одновременно имеют несколько пользователей сети ЭВМ Вехов В.Б. Компьютерные преступления: способы совершения и сокрытия. - М., 2002. - С. 22-23..

Обстановка совершения НДКИ имеет существенное значение для анализа преступного деяния и обычно ее определяют обстоятельства, характеризующие пространственные, временные, вещественные, технические, психологические особенности события рассматриваемого преступления. Обстановка обусловлена тем, что преступление, предусмотренное ст. 272 УК РФ, может совершаться как непосредственно, так и с удаленного стационарного, а в последнее время и перемещающегося терминала. Данному преступлению, как правило, способствуют использование самодельных и нелицензионных программ, неэффективность методов защиты, неприменение всех установленных методов и средств защиты, нарушения правил хранения и уничтожения копий файлов, компьютерных распечаток и иных носителей информации и т.д.

Особенностью НДКИ является то, что место непосредственного совершения противоправного деяния и место наступления вредных последствий могут не совпадать. На практике этот случай имеет место тогда, когда используются средства удаленного доступа. При непосредственном доступе место совершения противоправного деяния и место наступления вредных последствий совпадают Егорышев А.С. Криминалистические особенности обстановки неправомерного доступа к компьютерной информации // Актуальные проблемы криминалистики на современном этапе. Часть 2. Сборник научных статей / Под ред. З.Д. Еникеева. - Уфа: РИО БашГУ, 2003. - С. 37 - 41.. Если попытки неправомерного доступа предпринимаются одновременно с нескольких компьютеров, то мест совершения преступления может быть несколько.

НДКИ, как правило, может осуществляться во всех местах, где действует человек и функционирует техника, но чаще всего в помещении самого предприятия (организации), где установлен компьютер или группа компьютеров; либо во внеслужебных помещениях, которыми могут быть жилые помещения, помещения других предприятий или организаций, заранее арендованные помещения, специально оборудованные автомобили, кафе, бары.

НДКИ может совершаться в любое время суток, т.к. компьютерные системы функционируют круглосуточно. Причем необходимо отметить, что гораздо больше времени уходит на подготовку к совершению преступления и сокрытие следов, чем на сам факт неправомерного доступа.

Что касается способов НДКИ, то их можно подразделить на способы непосредственного доступа и удаленного доступа, т.е. при помощи ресурсов Internet и локальной сети. Среди способов удаленного доступа можно выделить способы, связанные с преодолением парольной, программной, технической защиты с последующим подключением к чужой системе (в свою очередь включают высокотехнологичные способы и относительно простые в техническом плане) и способы перехвата информации. Третью группу способов составляют смешанные, которые могут осуществляться как путем непосредственного, так и удаленного доступа Характеристика способов неправомерного доступа к компьютерной информации отражена в Приложении № 2..

Следует отметить, что если неправомерный доступ был совершен при помощи удаленного доступа, то способ во многих случаях будет являться определяющим «вектором» в направлении расследования преступления, предусмотренного ст. 272 УК РФ, поскольку именно от него будут зависеть, какие специалисты будут участвовать при осмотре места происшествия, какие виды судебных экспертиз будут проводиться и т.д. Кроме того, установив способ неправомерного доступа, мы можем предварительно оценить уровень владения преступником компьютерной техникой, а также выявить места, где могут находиться следы преступления.

При непосредственном способе остаются как традиционные следы, так и нетрадиционные следы: виртуальные Гаврилин Ю.В., Головин А.Ю., Тишутина И.В. Криминалистика. Толкование понятий учебного курса: Учеб. пособие / Под ред. А. Ю. Головина. - М., 2005. - С. 19.. В качестве первых могут выступать материальные и идеальные следы. К материальным относятся рукописные записки, распечатки, свидетельствующие о приготовлении к преступлению. На вычислительной технике, на компьютерных носителях, периферийных устройствах могут остаться следы пальцев рук, микрочастицы. Идеальные следы преступления - это отражения события преступления и элементов механизма его совершения в сознании и памяти людей, имеющие психофизиологическую природу формирования и проявляющиеся в виде мысленных образов преступления в целом, отдельных его моментов и участников данного деяния. Информация в виде образов, запечатленная в памяти людей, может быть использована впоследствии при составлении словесных и субъективных портретов, а также при проведении процессуальных действий, предусмотренных УПК РФ, и в рамках оперативно-розыскных мероприятий, как ориентирующая информация.

Понятие виртуальных следов в науку криминалистики было введено неслучайно, поскольку сложившееся в теории традиционное понимание следов не в полной мере относится к преступлениям, связанным с НДКИ. Виртуальные следы (вернее их называть цифровые) не обладают физическими и химическими характеристиками, кроме того, к ним неприменимо деление в зависимости от механизма следообразования на поверхностные и объемные, локальные и периферические. Цифровые следы по своей природе являются материальными. Они представляют собой результаты преобразования компьютерной информации, причинно связанные с событием преступления. Данный вид следов остается на машинных носителях и отражает процесс модификации файлов, реестра операционной системы и т.д. Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Вып. 3. - Тула, 2000. - С. 170-172.

В отличие от традиционных следов, цифровые - достаточно легко уничтожаются, как умышленно, так и случайно. Их часто подделывают, эта фальсификация выявляется либо по смысловому содержанию информации либо по оставленным в иных местах компьютерным следам. Цифровые доказательства воспринимаются через систему аппаратно-программных средств, а значит, их сложно продемонстрировать прокурору, судье, следователю. Кроме того, не всегда удается обеспечить их неизменность, поскольку есть методы хранения информации, предусматривающие постоянную смену носителей, к тому же никто не застрахован от программных и технических ошибок и сбоев Запись на любой компакт-диск производится с использованием кода Рида-Соломона с коррекцией массовых ошибок, т.е. такая процедура заведомо рассчитана на возникновение ошибок на этапе считывания информации с носителя. Органы следствия в силу недостаточного объема финансирования как раз используют эти носители для хранения вещественных доказательств. .

Для неправомерного удаленного доступа характерно нахождение следов в разных местах одновременно и на большом расстоянии друг от друга. Так, они могут быть оставлены не только на рабочем месте, но и в месте хранения или резервирования информации Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 4. - С. 11-14.. Следы также могут быть обнаружены в местах подготовки к доступу (например, там, где разрабатывались, тестировались и компилировались программы), использования инструментов, устройств и средств, предназначенных для операций неправомерного доступа, а также в месте использования информации Никонов В., Панасюк А. Нетрадиционные способы собирания и закрепления доказательств // Законность. - 2001. - №4. - С. 19-24.. Указанные обстоятельства требуют проверки всех предполагаемых мест, где могут находиться цифровые следы. Важно отметить, что только полученные и оформленные с соблюдением уголовно-процессуального законодательства следы могут быть приобщены к уголовному делу и станут рассматриваться в качестве доказательств.

Рассмотрим общую следовую картину, которая остается при использовании преступником способов удаленного доступа.

Весь процесс неправомерного доступа начинается от ЭВМ преступника и заканчивается в виде последствий, предусмотренных ст. 272 УК РФ, на ЭВМ потерпевшей стороны Полещук О.В., Шаповалова Г.М. Криминалистическое исследование следов при расследовании компьютерных преступлений. - Владивосток, 2006. [Электронный вариант].. При этом промежуточными звеньями в указанной цепи, на которых остаются цифровые следы и которые будут иметь значение для следствия, являются провайдер (сервер провайдера); компьютеры - посредники при передаче данных; шлюзы, через которые проходит информация (пакеты данных).

При осмотре программных средств ЭВМ преступника могут быть обнаружены данные о подключении к провайдеру, время и продолжительность подключения, история посещений и кэш-программ, используемых для просмотра ресурсов сети Интернет, специализированное программное обеспечение, лог-файлы операционной системы и иных программ об операциях, данные, оставшиеся в кэш-памяти аппаратных средств. Необходимо также исследовать с участием специалиста обозреватель Интернет Explorer, который поможет органам следствия установить, какие сайты преступник посещал, а именно: папку «cookies», журнал Интернет Explorer, закладки Интернет Explorer, поисковую строку, в которой отражается история запросов. С компьютера, выходящего в сеть Интернет, в автоматическом режиме ведется протокол выхода в Интернет, количество дней хранения которого определяется пользователем.

У провайдера, предоставившего выход в Интернет преступнику, должна храниться информация о совершенных сетевых подключениях в виде логов, в том числе осуществленных с компьютера преступника. На сервере провайдера обычно хранятся регистрационные данные для сетевого подключения (логин и пароль), электронный адрес компьютера (логический адрес), так называемый IP-адрес, и физический адрес сетевой карты (MAC-адрес, телефонный номер, с которого осуществлялось модемное соединение), данные об отправленных или полученных пакетах информации, времени их отправки и приема, размера и типа, IP-адреса получателя и отправителя.

Следы, находящиеся в лог-файлах, не всегда могут рассматриваться в качестве неопровержимых доказательств, поскольку такие данные могут быть изменены не только самими преступниками, но и сотрудниками фирмы провайдера или третьими лицами, в том числе случайно. Однако в них может быть обнаружена идентификационно - справочная информация, которая позволит следователю строить версии о том, где и какие следы искать дальше.

На ЭВМ, которые выступают в качестве посредников передачи данных, могут и не сохраняться следы. В редких случаях лишь короткое время могут сохраняться сведения, например, о направлении движения пакета данных.

В качестве объекта посягательства может выступать персональный компьютер пользователя, подключенный к Интернету, либо компьютер, находящийся в локальной сети и имеющий при этом выход в Интернет. Следами, указывающими на посторонний доступ, могут быть переименование папок и файлов, изменение их содержания и размеров, атрибутов, появление новых файлов, изменение в реестре операционной системы, изменение конфигурации компьютера и т.п.

Для предотвращения неправомерного доступа, осуществляемого при помощи ресурсов сети Интернет, на персональных компьютерах или компьютерах, объединенных в сеть, устанавливаются программы - антивирусы и брандмауэр Windows, который позволяет фильтровать входящие и исходящие пакеты данных в зависимости от параметров и настроек этого технического устройства, в том числе по IP-адресу отправителя и получателя. Таким способом, если речь идет о локальной сети, можно сузить число ЭВМ в сети, которые будут доступны извне. Как правило, это почтовые серверы, прокси-сервер, позволяющие выходить с компьютеров, не имеющих прямого выхода. Практика показывает, что при такой организации сети можно зафиксировать подробно действия преступника специально установленными программными средствами Гавло В.К., Поляков В.В. Некоторые особенности расследования преступлений, связанных с неправомерным доступом к компьютерной информации // Известия АГУ. - 2006. - № 2. - С. 44-48..

Орудиями НДКИ являются ЭВМ, средства компьютерной техники (основные и периферийные), в том числе и специальное программное обеспечение. Следует выделить средства непосредственного и опосредованного (удаленного) доступа. К орудиям непосредственного доступа относятся машинные носители информации, а также все средства преодоления защиты информации. К орудиям удаленного доступа - сетевое оборудование, телефонная связь, модем, в том числе и мобильные, сотовые телефоны, сетевые карты и т.д. Сюда же относятся глобальная мировая сеть Интернет, локальные сети Вехов В.Б. Компьютерные преступления: способы совершения и сокрытия. - М., 2002. - С. 34-37..

Всех лиц, которые совершают НДКИ можно подразделить на две категории: лица, состоящие в трудовых отношениях с предприятием, организацией, учреждением, фирмой или компанией, на котором совершено преступление, а именно: непосредственно занимающиеся обслуживанием ЭВМ, пользователи ЭВМ, имеющие определенную подготовку и свободный доступ к компьютерной системе, и административно-управленческий персонал; вторая группа - граждане, не состоящие в правоотношениях с предприятием, организацией, учреждением, фирмой или компанией, на котором совершено преступление, а именно: лица, занимающиеся проверкой финансово-хозяйственной деятельности предприятия и т.п.; пользователи и обслуживающий персонал ЭВМ других предприятий, связанных компьютерными сетями с предприятием, на котором совершено преступление; лица, имеющие в своем распоряжении компьютерную технику Мазуров В.А. Компьютерные преступления: классификация и способы противодействия. - М.: «Логос», 2002. - С. 125-126..