По сравнению с где-то так называемыми пока что «традиционными преступлениями», преступления, связанные с компьютерной средой, то есть «компьютерные преступления» отличаются во многих аспектах и являются особенными. Соответственно – и их расследование, которое должно пользоваться своими технологиями и методиками.
Компьютерные преступления – это одна из тех сфер, в которых раньше совершалось очень много следственных ошибок, и в которой они совершаются до сих пор. Речь идет о тех случаях, в которых над решением вопросов работают недостаточно квалифицированные лица. В результате – защита получает возможность свободно оперировать разными доводами, и у нее гораздо больше ходов для того, чтобы оправдать подзащитного, даже если следствие и стороны процесса уверены в его виновности или причастности к преступлению.
Как правило, оперативники и работники следствия, дознаватели и другие лица не имеют квалификации для расследования таких дел, что при этом очевидно. Однако на протяжении многих лет и во многих случаях в России компьютерные дела пытались расследовать только их силами. И не только уголовные дела, но и гражданские, и частные спорные ситуации пытались решить с помощью обычных знаний, пытаясь разобраться в ситуации методами традиционной криминалистики и традиционного анализа и расследования. Хорошо, если в этом принимали участие какие-то компьютерные специалисты, занимающиеся хотя бы сервисом и наладкой компьютеров, и приглашенные для рассмотрения дел.
Для разрешения таких случаев и правильной экспертной работы до недавнего времени в распоряжении судов и следствия, в распоряжении граждан и организаций не было достаточных теоретических и практических знаний. Так что уровень этой работы был низок, и верная раскрываемость – где-то там же. Имеются в виду гражданские и уголовные дела, спорные, страховые ситуации и расследования, связанные с компьютерной информацией, компьютерной техникой и программным обеспечением, их использованием, модификацией, созданием, кражами, подделкой, распространением и продажей.
Логичные и современные требования к расследованиям компьютерных преступлений
Здесь требуется квалификация, совмещающая в себе специальные знания в разной области, знание и правильное использование специальных программных и аппаратных средств, и специальные экспертные методики для работы в указанных областях, отработанные и систематизированные.
Для правильного проведения таких расследований необходимо соблюдать и другие требования. Совмещать работу квалифицированных специалистов и использование специальных знаний и инструментов лучше всего с условиями специальной лаборатории, где проводятся все исследовательские работы.
Нужно очень внимательно обращаться с вещественными доказательствами и всеми элементами, подвергающимися исследованию, чтобы не допустить ошибок и незапланированного изменения состояния объектов в ходе исследования и при подготовке к нему. Также и процесс изъятия и перевозки вещественных доказательств должен быть регламентирован специальными правилами. Эти правила, как и в случае многих других экспертных исследований, гарантируют неприкосновенность вещественных доказательств, и верный и результативный ход работы экспертов.
Появление, роль и помощь российской независимой экспертизы
Представьте себе, что совершено компьютерное преступление, и что перед ним оказывается обычное или необычное, но «традиционное» следственное учреждение, пусть даже высокого уровня. Работники высокой, но традиционной квалификации – что они будут делать с ситуацией, в которой речь идет о компьютерной технике, компьютерной информации, или ПО, то есть программном обеспечении, и специальных манипуляциях с ним или с компьютерной техникой?
В первую очередь, как часто случается и случалось, при решении «компьютерных» дел важно немедленно провести грамотное изъятие доказательств. Для этого используются обычные оперативные работники, если под рукой нет прямо готовых к действию специалистов. Ими же, оперативными работниками, проводится осмотр места, где изымается информация и техника, ими же пакуются, перевозятся и оставляются на хранение вещдоки. Выбор объектов для изъятия, упаковка, перевозка, обращение с вещдоками этого типа – на этих стадиях тоже есть риск совершения ошибок.
А затем наступает время самого расследования. И важной проблемой расследований компьютерных преступлений во все времена, до появления специальных служб, было нахождение нужных специалистов для проведения экспертизы. Сроки проведения исследований в результате поиска нужных специалистов затягивались, и при этом очень хорошо если удавалось верно решить проблему.
Такая ситуация была печально-статичной, пока не начали появляться специальные работники сперва государственной, а потом уже и независимой постоянно работающей компьютерной экспертизы. До 2008 года мы могли пользоваться услугами квалифицированных компьютерных экспертов только из государственной экспертной системы. После 2008-го стало возможно проведение негосударственной и независимой сертифицированной экспертизы, и в ней стали работать специалисты, занимающиеся «компьютерными делами».
На протяжении нескольких лет, прошедших с этого времени, уровень работы и подготовки некоторых независимых экспертных компаний вырос настолько, что они могут решать очень многие, можно сказать любые проблемы, связанные с ПО, компьютерной техникой и информацией. Мы говорим «некоторых», так как независимые эксперты работают на открытом рынке и делают в соответствии с собственной инициативой – и уровень, и профиль, масштаб и отношение к работе у разных организаций бывают разными.
Есть общие требования к экспертам, а есть вопросы, в которых по-разному подбираются, готовятся, аттестируются и работают специалисты разных компаний. Поэтому важно сотрудничать с организациями, которые пользуются самыми современными возможностями, от которых выступают как можно более квалифицированные специалисты. Этими экспертами в частности используются специальные средства и комплексы, программные и аппаратные, и специальные экспертные методики на всех стадиях процессов расследования.
Ошибки старого «традиционного» подхода и верные экспертные методы КТЭ
Самые распространенные ошибки такого следствия – это обращение с изъятой у подозреваемых или где-то еще во время следственных действий компьютерной техникой. Согласно ст. 190 КПК изъятие такой техники может проводиться не только во время следственного осмотра. Но и при «выемке», при обысках, в процессе восстановления обстановки или обстоятельств, в которых произошло какое-то происшествие. Это статьи 178, 179 и 194 КПК.
Соответственно, компьютеров в связи с некоторыми делами изымается много. И работа с ними является для следствия надеждой на то, что будут раскрыты дела, будут найдены доказательства, какая-то информация. Конечно, ведь все работают с помощью этой техники, и на ней действительно могут храниться важные данные. Но в попытках их обнаружить кроются самые распространенные ошибки традиционного «некомпьютерного» следствия, относящиеся к работе с техникой, которая была изъята в целях его проведения.
Правила фиксации информации и техники на момент изъятия
Самая лучшая ситуация – если изъятие техники происходит по всем правилам, и при этом присутствуют понятые. Если изъятие техники можно произвести при свидетелях, то можно при свидетелях снять копии с жестких дисков и затем опечатать компьютеры или другую технику как вещественное доказательство. В подтверждение того, что с ними не будет производиться никаких действий. Дело в том, что на суде представленные доказательства в виде информации с жестких дисков компьютеров могут быть оспорены защитой на основании возможности ее модификации работниками следствия или экспертами. Нужна защита и подтверждение неприкосновенности оригиналов вещественных доказательств.
Это называется так же фиксацией состояния техники и информации на момент проведения следственных действий. Существуют и некоторые новые пути для решения этой проблемы, и некоторые эксперты могут доказать идентичность информации, представляемой как улики, той, что изначально находилась на изъятом компьютере. Но классический способ такой: делается копия для исследования, сам компьютер полностью опечатывается как вещественное доказательство. Затем изучается копия, и после этого на суде в присутствии суда и свидетелей нужная информация извлекается и демонстрируется.
Правило не использования компьютера, который был изъят
Раньше повсеместно нарушалось одно самое главное правило, а сейчас оно нарушается часто – правило запрета на работу с компьютерами, которые были изъяты для ведения следствия или специальных расследований. Включать эти компьютеры, работать с ними, открывать программы и файлы – нельзя. Такие объекты должны быть неприкосновенно переданы в руки сертифицированным специалистам компьютерной экспертизы.
Современные эксперты вынимают информацию из компьютеров, полностью сохраняя ее специальными средствами. Избавляют ее от влияния систем, на которых она использовалась, изолируют ее от возможных защит от проникновения и других специальных систем, и только тогда работают с ней, полностью независимо от того, какие условия использования информации наложил на нее ее прошлый пользователь.
Существуют самые разные средства защиты информации, которыми пользуются злоумышленники, хакеры, предприниматели разного уровня и вообще современные пользователи компьютеров. В специальных и криминогенных случаях эти защиты могут достигать высокого уровня, так как и на них, как и на обеспечение бизнеса, тратятся большие деньги.
Защита информация может заключаться в ее удалении при вводе пароля, в невозможности обычного включения техники, в невозможности безопасного открытия файлов, программ или проведения любых других действий. При попытке доступа информация может удаляться, меняться, или могут куда-то отправляться какие-то сигналы. Бывает, что изменение условий содержания уже так влияет на технику, что с ней что-то происходит, или с нее уже нельзя обычным способом получить информацию. Поэтому обращаться с техникой следует очень аккуратно, и для извлечения данных нужны внимательные действия экспертов, использующих специальные технологии.
В программных файлах операционной системы, например, можно так изменить команду отображения директорий, чтобы ее внешнее имя вызывало форматирование жесткого диска, удаление информации. После таких удалений информации у защиты появляется гораздо больше возможностей для опровержения подозрений и доводов обвинения.
Правило не допуска к компьютеру других лиц и средства защиты в этом случае
Еще одна распространенная ошибка – это допущение к изъятой компьютерной технике лиц, у которых эта техника была изъята. Или лиц, которые работали на ней ранее, или которые являются ее владельцами. Да и вообще любых лиц, не имеющих отношения к работе следствия.
Мы вроде бы только что говорили о том, что компьютер никто вообще не должен трогать до прихода квалифицированного эксперта. Как тогда может случиться такая вот ситуация? Во время следствия и во время ведения дознавательной деятельности, когда подозреваемый или другое лицо, которое помогает следствию, дает ему информацию, подвергается допросам, предлагает совершить какие-то действия с компьютером, чтобы помочь следствию.
Многие такие случаи уже известны – лица предлагают следствию помощь в том, чтобы разобраться с изъятой техникой, помочь получить важную информацию, включить, настроить, и так далее. В результате эти лица прямо в присутствии работников следствия и полиции могли удалить, модифицировать или зашифровать нужную информацию. О таких случаях затем узнавалось по рассказам самих злоумышленников.
Как видите, психологические и логические ловушки, на которых можно обмануть следствие, остаются, даже если мы и пользуемся всеми правилами, и их помним. Преступники предлагают «другие» причины для того, чтобы нарушить правила, они предлагают помочь и создают ситуации, в которых «ну это же можно и вам нужно».
Средством от таких акций является предварительная работа сертифицированных специалистов над изъятой компьютерной техникой. Вся информация должны быть сперва скопирована специальными средствами, и только затем к ней можно допускать посторонних лиц. Более того, этот ход дает возможности узнать, какие мотивы были у тех, кто получил доступ к изъятой технике. Так как специалисты могут увидеть, что сделали допущенные лица с информацией. Если заранее подготовиться к такой ситуации, то эксперты без труда докажут впоследствии факты совершения любых действий с информацией и техникой.
С участием материалов статьи Владимира Голубева «Некоторые вопросы расследования компьютерных преступлений», опубликованной на http://www.crime-research.org/library/Atlanta.html
