О расследовании «компьютерных» преступлений

Автор: | 09.10.2012

Компьютерные преступленияДисклеймер: Данная статья преследует цель показать «нарушителям» авторских прав их ошибки, которые могут привести к их осуждению судом, и  –  ошибки следствия, которые могут привести к оправданию «нарушителей» авторского права.

Расследование компьютерных преступлений существенно отличается от расследований других распространенных преступлений. По уголовным делам данной категории чаще всего допускаются ошибки, что объясняется отсутствием надлежащего уровня теоретической и практической подготовки оперативных работников и следователей. Изучение уголовных дел этой категории дает основание полагать, что одной из существенных причин низкого качества следствия является отсутствие систематизированных и отработанных методик расследования компьютерных преступлений, а также ошибки, которые совершаются при проведении следственных действий в отношении компьютерной информации либо самих компьютеров.

Результаты анализа практической деятельности правоохранительных органов по расследованию компьютерных преступлений, проведенного мной (юридической консультацией «Право-законЪ») свидетельствуют о том, что исследование компьютерной техники целесообразно проводить в условиях криминалистической лаборатории, где эту работу выполняют специалисты с необходимой профессиональной подготовкой. Доказательства, связанные с компьютерными преступлениями и изъятые с места происшествия, могут быть легко изменены, как в результате ошибок при их изъятии, так и в процессе самого исследования. Представление подобных доказательств в судебном процессе требует специальных знаний и соответствующей подготовки. Здесь нельзя недооценивать роль экспертизы, которая может дать квалифицированный ответ на поставленные вопросы.

Однако,  экспертиза требует какого-то времени не только на ее проведение, но и на поиск соответствующих специалистов, а при изъятии компьютерной техники существенным фактором, позволяющим сохранить необходимую доказательную информацию, является неожиданность и оперативность. Именно поэтому изъятие компьютеров и информации приходится оперативными работниками, как правило- сотрудниками ОЭП. Они, как и следователь, расследующий дело,  не застрахованы от ошибок, обусловленных недостаточностью знаний, что потом  используется стороной  защитой в суде.

Поставленная проблема имеет два аспекта: 1) общие ошибки, которые допускаются работниками правоохранительных органов при расследовании компьютерных преступлений, и 2) технические аспекты, связанные с защитой информации, которая устанавливается на компьютерах их непосредственными пользователями.

Закон предусматривает, что обнаружение, осмотр и изъятие компьютеров и компьютерной информации в процессе следственных действий могут совершаться не только при следственном осмотре (ст. 190 УПК), но и при проведении других следственных действий: обыски (ст. 178 УПК); выемки (ст. 179 УПК); воспроизведения обстоятельств и обстановки происшествия (ст.194 УПК), Осмотре места происшествия (ОМП).

Выделяют  правила работы с компьютерами, изъятыми при расследовании «компьютерных» преступлений в сфере компьютерной информации, и общие рекомендации, которые могут быть полезными при обработке компьютерных доказательств.

Рассмотрим некоторые типичные ошибки, наиболее часто совершаемые при проведении следственных действий в отношении компьютерной информации либо самих компьютеров.

Ошибка 1. Ошибочная работа с компьютером.

Никогда и ни при каких условиях нельзя работать на изъятом компьютере  (изъятый компьютер – есть объект исследования специалиста. Не допускается загрузка такого компьютера с использованием его собственной операционной системы.

Подобная мера объясняется достаточно просто: пользователю  не составляет особого труда установить на своем компьютере программу для уничтожения информации на жестком или гибком магнитном дисках, записав такие “ловушки” через модификацию операционной системы. Например, простая команда DIR, которая используется для отображения каталога диска, может быть легко изменена, чтобы отформатировать жесткий диск.

После того, как данные и сама разрушительная программа уничтожены, никто не сможет сказать наверняка, был ли “подозреваемый” компьютер оборудован такими программами специально, или это результат небрежности при исследовании компьютерных доказательств.

Ошибка 2. Допуск к компьютеру владельца (пользователя) компьютера.

Серьезной ошибкой является допуск к исследуемому компьютеру владельца для оказания помощи в его эксплуатации. Известны многие случаи из практики, когда подозреваемые на допросах, связанных с компьютерными доказательствами, допускались к работе на изъятом компьютере. Так, например, гр.О., по делу, которое расследовалось в ОМ «на КамАЗЕ» умудрился даже удалить часть информации, что и привело к его оправданию. Учитывая такие последствия, компьютерные специалисты стали делать резервные копии компьютерной информации прежде, чем допускать к работе над ней.

Еще одна проблема связана с возможностью опровержения в суде идентичности предъявленного на процессе программного обеспечения тому, которое находилось на данном компьютере на момент изъятия. До проведения каких-либо операций с компьютером, необходимо зафиксировать его состояние на момент проведения следственных действий.

Ошибка 3. Отсутствие проверки компьютера на наличие вирусов и программных закладок.

С целью проверки компьютера на наличие вирусов и программных закладок, специалист должен загрузить компьютер не с его операционной системы, а со своей загодя подготовленной дискеты, либо со стендового жесткого диска. Проверке подвергаются все носители информации – дискеты, жесткий диск и другие носители.

В противном случае, суд может обвинить следствие в умышленном заражении компьютера вирусами, в некомпетентности при проведении следственных действий, либо просто в небрежности, поскольку доказать, что вирус находился в компьютере до момента исследования, вряд ли возможно, а подобное обвинение поставит под сомнение всю работу эксперта и достоверность его выводов.

Эти ошибки часто встречаются при расследовании «компьютерных» преступлений, что объясняется отсутствием достаточного опыта в подобных делах в нашей стране.

Во избежание ошибок при проведении следственных действий на начальном этапе расследования, которые могут привести к потере или искажению компьютерной информации, следует придерживаться нижеследующих рекомендаций:

Рекомендация 1. В первую очередь следует сделать резервную копию информации.

Рекомендация 2. Найти и сделать копии временных файлов.

Рекомендация 3. Необходимо обязательно проверить Swap File.

Рекомендация 4. Необходимо сравнивать дубли текстовых документов.

Рекомендация 5. Фотографирование и маркирование элементов компьютерной системы.

В заключение хочу указать, что при проведении любых следственных действий по «компьютерным» преступлениям, целесообразно с самого начала привлечение специалиста в области информационных технологий.

В любом случае, после задержания «нарушителя» авторских прав, не стоит надеяться, что этим все и закончится… Как правило, проходит время, и уголовное дело возбуждается. Нельзя терять время, надо обращаться за юридической помощью на доследственном этапе. Вы можете заказать и провести исследование по стоимости программного обеспечения, а его  результаты предоставить в орган дознания, как документ, доказывающий свою невиновность. ЮК «Право-законЪ» имеет большой опыт в проведении подобных исследований, как и опыт в исследовании программного обеспечения.

Ярослав Михайлов (Юридическая консультация «Право-законЪ»).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.