Типовые методические рекомендации по выявлению, раскрытию и расследованию преступлений, связанных с использованием компьютерных технологий (Назмышев Р.А.)

15.04.2010

Типовые методические рекомендации
по выявлению, раскрытию и расследованию преступлений, связанных
с использованием компьютерных технологий

(Назмышев

Рахмади Айтышович)

1. ВВЕДЕНИЕ

В настоящее время особую тревогу вызывают факты появления и развития в Республике Казахстан нового вида преступных посягательств, ранее неизвестных отечественной юридической науке и практике и связанной с использованием средств компьютерной техники и информационно-обрабатывающей технологии - компьютерных преступлений, вследствие того, что с появлением на рынке компактных и сравнительно недорогих персональных компьютеров, по мере совершенствования которых стали размываться границы между мини- и большими ЭВМ, появилась возможность подключаться к мощным информационным потокам неограниченному кругу лиц. Естественно, одновременно с этим, встал вопрос о контролируемости доступа к информации, ее сохранности и доброкачественности. При этом организационные меры, а также программные и технические средства защиты иногда оказываются недостаточно эффективными. Особенно остро проблема несанкционированного вмешательства дала о себе знать в странах с высокоразвитыми технологиями и информационными сетями. Вынужденные прибегать к дополнительным мерам безопасности, они стали активно использовать правовые средства защиты.

Не исключено, что в Казахстане компьютерная преступность имеет скрытный характер в связи с общей криминальной обстановкой и несовершенством уголовного законодательства, а также специфичностью самой компьютерной сферы, требующей специальных познаний. Также, необходимо учесть определенную специфику преступлений, связанных с вычислительной техникой. Сама вычислительная техника может быть как предметом преступного посягательства (преступления против собственности - хищение, уничтожение, повреждение), так и инструментом совершения преступления, то есть средством хищения, сокрытия налогов, искажения информации и пр. (в этом смысле компьютер может рассматриваться в одном ряду с такими орудиями преступления, как оружие или транспортное средство).

Парадоксальность компьютерных преступлений состоит в том, что трудно найти другой вид преступления, после совершения которого его жертва не выказывает особой заинтересованности в поимке преступника, а сам преступник, будучи пойман, всячески рекламирует свою деятельность на поприще компьютерного взлома, мало что утаивая от представителей правоохранительных органов. Психологически этот парадокс вполне объясним. Во-первых, жертва компьютерного преступления совершенно убеждена, что затраты на его раскрытие (включая потери, понесенные в результате утраты, например, банком своей репутации) существенно превосходят уже причиненный ущерб. А во-вторых, преступник, даже заработав максимальный срок лишения свободы (до трех лет, если не наступили тяжкие последствия, а чаще срок условный), приобретает широкую известность в деловых и криминальных кругах, что в дальнейшем позволит ему с выгодой использовать приобретенные знания и умения.

2. ПОНЯТИЕ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Необходимо определить некоторые основные понятия, используемые в данной методике.

Компьютерная информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах, представленных в машиночитаемом виде, т.е. в виде совокупности данных, хранимых в памяти компьютера, либо на машинном носителе (дискете, оптическом, магнитооптическом диске, магнитной ленте и т.п.), либо ином материальном носителе.

ЭВМ (компьютер), вычислительная система - устройство или система (несколько объединенных устройств) предназначенное для ввода, обработки и вывода информации.

Программа для ЭВМ - объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения;

Сеть ЭВМ (компьютеров) - совокупность компьютеров, средств и каналов связи, позволяющая использовать информационные и вычислительные ресурсы каждого компьютера включенного в сеть независимо от его места нахождения.

База данных - это объективная форма представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.

Средства вычислительной техники -совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем;

Удаленный доступ к ЭВМ или сети ЭВМ -доступ пользователя с применением коммуникационных линий (телефонная линия, локальная сеть) и устройств (модем, сетевая карта), к ресурсам ЭВМ или сети ЭВМ с назначенными правами.

Накопитель компьютерной информации (машинный носитель)- устройство для долговременного хранения служебных или принадлежащих пользователю данных (жесткий диск, дискета, магнитная лента, оптический диск и т.п.).

Периферийное оборудование- устройство, которое подключается к ЭВМ и которым управляет его процессор (клавиатура, манипулятор «мышь», модем, принтер, сканер и т.п.).

Под компьютерными преступлениями следует понимать предусмотренные уголовным законом общественно опасные действия, в которых машинная информация является или средством, или объектом преступного посягательства (в настоящее время в отечественной криминалистической науке все еще не существует четкого определения понятия компьютерного преступления, однако в данной методике будем использовать предложенное выше).

Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать любую форму проникновения к ней с использованием средств вычислительной техники, позволяющую манипулировать информацией, и, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ или их сети. Способы неправомерного доступа к компьютерной информации могут быть самыми различными, например, представление фиктивных документов на право доступа к информации (ст. 176 УК РК), изменение кода или адреса технического устройства, нарушение средств или системы защиты информации, кража носителя информации (ст. 175 УК РК).

Собственником информационных ресурсов, информационных систем, технологии и средств их обеспечения является субъект, в полном объеме реализующий права владения, пользования, распоряжения указанными объектами.

Владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий права распоряжения в пределах, установленных законом.

Пользователем (потребителем) информации является субъект, обращающийся к информации.

Под уничтожением информации следует понимать ее утрату при невозможности ее восстановления.

Блокирование информации - это невозможность ее использования при сохранности такой информации.

Модификация информации означает изменение ее содержания по сравнению с той информацией, которая первоначально (до совершения деяния) была в распоряжении собственника или законного пользователя.

Под копированием информации следует понимать ее переписывание, а также иное тиражирование при сохранении оригинала. Представляется, что копирование информации может означать и ее разглашение.

Нарушение работы ЭВМ или их сети может выразиться в их произвольном отключении, в отказе выдать информацию, в выдаче искаженной информации при сохранении целости ЭВМ или их сети.

Компьютерные преступления условно можно подразделить на две большие категории -преступления, связанные с вмешательством в работу компьютера, сети компьютеров, и преступления, использующие компьютер, сеть компьютеров, как необходимые технические средства.

Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. В приложении 1 приведены названия способов совершения подобных преступлений, соответствующих кодификатору Генерального Секретариата Интерпола. В 1991 году данный кодификатор был интегрирован в автоматизированную систему поиска и в настоящее время доступен более чем в 100 странах.

Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного преступления (приложение 1).

3. ВЫЯВЛЕНИЕ И РАСКРЫТИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ.

Международный опыт борьбы с преступностью свидетельствует о том, что одним из приоритетных направлений решения задачи эффективного противодействия современной преступной деятельности является активное использование правоохранительными органами различных действий мер профилактического характера по выявлению и раскрытию компьютерных преступлений. Несмотря на многообразие компьютерных преступлений, практически все способы их совершения имеют свои индивидуальные, присущие только им признаки, по которым их можно распознать и классифицировать по отдельным общим группам:

1. Изъятие средств компьютерной техники.

2. Неправомерный доступ, перехват компьютерной информации:

• Преступления, совершаемые в отношении компьютерной информации, находящейся в ЭВМ.

• Преступления, совершаемые в отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (сотовые телефоны, пейджеры и их сети связи, радиотелефоны, игровые и кассовые аппараты).

3. Изготовление или распространение вредоносных программ.

4. Нарушение авторских прав (компьютерное пиратство).

Рассмотрим более подробно некоторые известные приемы и методы совершения компьютерных преступлений по принадлежности к той или иной группе:

Изъятие средств компьютерной техники производится с целью получения системных блоков, отдельных носителей информации, хранящих личные сведения пользователя или служебную информацию, принадлежащую организации. Такие действия могут осуществляться путем хищения, разбоя, вымогательства, обмана или злоупотребления доверием и сами по себе содержат состав преступления обычных «некомпьютерных» преступлений. В связи с изложенным, преступления, относящиеся к данной группе можно квалифицировать с использованием статей 175, 178, 179, 181,182 УКРК.

Неправомерный доступ, перехват компьютерной информации - это активные действия по созданию возможности распоряжаться информацией без согласия собственника. Перехват информации служит для получения определенных сведений. Он может осуществляться с использованием методов и аппаратуры аудио-, визуального и электромагнитного наблюдения. Объектами, как правило, являются каналы связи, телекоммуникационное оборудование, служебные помещения с установленными ЭВМ, сетью ЭВМ, бумажные и магнитные носители (в том числе и технологические отходы). Неправомерный доступ, перехват компьютерной информации могут быть квалифицированы с использованием статей 143, 177, 200, 227 УК РК.

Компьютерные преступления данной группы обычно реализуется с использованием следующих известных приемов:

«За дураком» - физическое проникновение в производственные помещения злоумышленника, путем маскировки под обслуживающий персонал организации. Другой вариант - электронное проникновение в ЭВМ путем подключения дополнительного компьютерного терминала к каналу связи с использованием специального коммутационного шлейфа («шнурка») в тот момент времени, когда законный пользователь кратковременно покидает свое рабочее место, оставляя ЭВМ или терминал в активном режиме.

«За хвост» - злоумышленник подключается к линии связи законного пользователя и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его на себя, а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к сети ЭВМ.

«Компьютерный абордаж» - злоумышленник вручную или с использованием компьютерной программы подбирает код (пароль) доступа к вычислительной системе или сети ЭВМ, используя удаленное соединение.

«Неспешный выбор» - злоумышленник изучает и исследует систему защиты от несанкционированного доступа используемую отдельным пользователем или организацией, ее слабые места, выявляет участки, имеющие ошибки или неудачную логику программного строения, разрывы программы (брешь, люк) и вводит дополнительные команды, разрешающие доступ.

«Маскарад» - злоумышленник проникает в сеть ЭВМ, выдавая себя за законного пользователя с применением его кодов (паролей) и других идентифицирующих шифров.

«Мистификация» - злоумышленник создает условия, когда законный пользователь сети ЭВМ осуществляет связь с нелегальным терминалом, будучи абсолютно уверенным в том, что он работает с нужным ему законным абонентом. Злоумышленник вручную или с помощью компьютерной программы формирует правдоподобные ответы на запросы законного пользователя и поддерживая его заблуждения некоторое время, добывает коды (пароли) доступа или отклик на пароль.

«Аварийный» - злоумышленник создает условия для возникновения сбоев или других отклонений в работе ЭВМ или сети ЭВМ. При этом включается особая программа, позволяющая в аварийном режиме получать доступ к наиболее ценным данным. В этом режиме возможно «отключение» всех имеющихся, если таковые существуют, средств защиты информации, что облегчает доступ злоумышленника к данным, хранящимся в ЭВМ или сети ЭВМ.

Асинхронная атака является одним из приемов подготовительного этапа к совершению преступления. Злоумышленник, используя асинхронную природу операционной системы, заставляет работать ЭВМ или сеть ЭВМ при ложных условиях из-за чего управление обработкой частично или полностью нарушается. Эта ситуация используется для внесения изменений в операционную систему, причем эти изменения не будут заметны.

Моделирование (Реверсивная модель) - это наиболее сложный и трудоемкий прием подготовки к совершению преступления. Существо метода заключается в следующем. Создается модель конкретной компьютерной системы. В нее вводятся реальные исходные данные и учитываются планируемые действия. Затем, исходя из полученных правильных результатов, подбираются правдоподобные желательные результаты. Затем модель прогоняется назад, к исходной точке, и становится ясно, какие манипуляции с входными данными нужно проводить. В принципе, прокручивание модели «вперед-назад» может проходить не один раз, чтобы через определенное число итераций добиться желаемого. После этого остается только осуществить задуманное.

Например, в нескольких сторонних банках открываются счета на незначительные суммы, моделируется ситуация при которой деньги переводятся из одного банка в другой и обратно с постепенным увеличением сумм. В ходе анализа выявляются условия, при которых:

а) в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой;

б) когда в банк необходимо прислать извещение из другого банка, о том, что общая сумма покрывает требование о первом переводе;

в) сколько циклов это нужно повторять, что бы на нужном счете оказалась достаточная сумма и число платежных поручений не казалось подозрительным.

«Троянский конь» (матрешка, червь, бомба) так же служит непосредственно для неправомерного доступа к информации. Это такая манипуляция, при которой злоумышленник тайно вводит в прикладное программное обеспечение ЭВМ или сети ЭВМ специальные программные модули, обеспечивающих сбор, хранение для последующего неправомерного доступа к данной информации или передачу этих сведений злоумышленнику по телекоммуникационным каналам. Все манипуляции с данными производятся и контролируются этим программным модулем в определенный заданный момент времени и при стечении благоприятных для злоумышленника обстоятельств.

«Салями» - оригинальная электронная версия метода изъятия «лишних» денежных средств, перемещающихся, в электронном виде, по банковским информационным системам в свою пользу. При использовании этого метода злоумышленник использует «троянского коня», «дописывая» к нему специальный модуль, который манипулирует с информацией - перебрасывает на подставной счет мелочи (результата округления при осуществлении законных транзакций), которая на бухгалтерском сленге называется «Салями». Расчет построен на том, что отчисляемые суммы столь малы, что их потери практически незаметны, а незаконное накопление суммы осуществляется за счет суммы совершения большого количества операций.

Особое место занимают приемы, которые используются злоумышленником для сокрытия следов преступления при неправомерном доступе к банковским информационным системам. Эти действия вряд ли можно квалифицировать по статьям Уголовного Кодекса, однако, они направлены на то, что бы злоумышленник смог воспользоваться плодами своего неблагородного труда. Эти приемы важны при оценке завершенности совершенного преступления. Вот описание некоторых из них:

Дробление денежных сумм - злоумышленник делит полученные в результате несанкционированных манипуляций с банковской информацией денежные суммы на неравные долевые части с зачислением на корреспондентские счета сторонних банков, в которых, можно было бы снять переведенные суммы наличными.

Переброска денежных средств - злоумышленник организует перевод полученных денежных сумм по счетам различных клиентов банка, прогоняет их по цепочкам счетов и, в результате, затрудняет возможность определения истинного происхождения денег. Далее, когда «концы» потеряны, эти суммы можно использовать по своему усмотрению.

«Бухинг» (организация электронного блокирования) - банковская компьютерная система блокируется одновременной «атакой» несанкционированного доступа большим количеством злоумышленников (сообщников злоумышленника) со своих персональных компьютеров из различных регионов. Они организуют прикрытие одной основной незаконной транзакции огромным количеством фиктивных платежных поручений, которые затрудняют определение истинных путей утечки денежных средств.

Изготовление или распространение вредоносных программ - это действия, при которых злоумышленник тайно вводит в прикладное программное обеспечение ЭВМ или сети ЭВМ специальные программные модули, которые запрограммированы на:

• сбор, сохранение компьютерной информации для последующего неправомерного доступа к ней;

• передачу определенных сведений злоумышленнику по телекоммуникационным каналам связи;

• повреждение или блокирование компьютерной информации;

• несанкционированное удаление компьютерной информации;

• нарушение нормальной работы ЭВМ или сети ЭВМ.

Преступления, относящиеся к данной группе можно квалифицировать с использованием статей 227,257 УК РК.

Наиболее широко известны следующие способы совершения компьютерных преступлений, относящихся к этой группе:

«Компьютерный вирус» - это специально написанная программа-вирус, которая может «приписать» себя к другим программам (т.е. «заражать» их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на ЭВМ или сети ЭВМ. Существует множество возможных целей использования «компьютерных вирусов», начиная от выведения на экран ЭВМ или нескольких, находящихся в сети ЭВМ, безобидных сообщений до полного уничтожения всех данных в вычислительной системе или компьютерной сети.

«Червь» - это специально написанная программа-вирус, которая внедряется злоумышленником в программу обработки данных для выполнения определенных действий на ЭВМ. Однако в отличии от «компьютерного вируса» он не способен «приписывать» себя к другим программам (т.е. «заражать» их). Вместе с тем последствия использования «червя» могут быть такими же серьезными, как и последствия применения «компьютерного вируса»: например «червь», который впоследствии уничтожает себя, может дать команду программе, управляющей банковскими переводами, осуществлять перевод части денежных сумм на подложный счет, принадлежащий злоумышленнику.

«Логическая бомба», известная также как «троянский конь» или «бомба замедленного действия», является еще одним способом совершения компьютерного преступления. Создание «логических бомб» требует наличие у злоумышленника определенных специальных знаний, поскольку при ее применении программируется уничтожение или изменение данных в конкретное время в будущем. Однако в отличие от «компьютерного вируса» и «червей» данный вид программ-вирусов очень трудно обнаружить до их срабатывания, поэтому из всех способов компьютерных преступлений они обладают наибольшим потенциалом разрушения. Их действие может быть запрограммировано таким образом, чтобы причинить максимальный ущерб и произойти значительно позднее -после того, как злоумышленник покинет место преступления. «Логическая бомба» может также использоваться в целях вымогательства, причем в таких случаях выкуп требуется в обмен на сообщение о местонахождении программы-вируса (ст. 181 УК РК).

Нарушение авторских прав (компьютерное пиратство) несанкционированное копирование компьютерных программ может нанести существенный экономический ущерб законным владельцам. Преступления, относящиеся к данной группе можно квалифицировать с использованием статей 184,227 УК РК.

Наиболее широко известны следующие способы совершения компьютерных преступлений, относящихся к этой группе:

Незаконное копирование, распространение или опубликование компьютерных игр, другого программного обеспечения, защищенного законом.

Незаконное копирование, без права на то, защищенной законом топографии полупроводниковых изделий, коммерческая эксплуатация или импорт с этой целью, без права на то, топографии или самого полупроводникового изделия, произведенного с использованием данной топографии.

Окончание компьютерного преступления - это момент в действиях злоумышленника, после которого им достигнута цель, квалифицированная законодательством, как компьютерное преступление. Все другие противоправные действия образуют состав незаконченного преступления.

 4. КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

Действенную помощь в раскрытии компьютерных преступлений может оказать компьютерно - техническая экспертиза. В проведении экспертизы необходимо участие специалистов, которые могут быть приглашены из организаций, осуществляющих обслуживание и эксплуатацию телекоммуникационной и компьютерной техники, из учебных и научно-исследовательских заведений или других специализированных учреждений (за исключение лиц, причастных к расследуемым событиям). В соответствии с поставленными задачами экспертиза может дать ответы на вопросы:

• каковы технические ресурсы и программное обеспечение компьютерной техники и можно ли с их помощью осуществить исследуемые действия;

• каковы информационные ресурсы исследуемой вычислительной техники;

• какие конкретные программные ресурсы были использованы для совершения компьютерного преступления;

• какие информационные ресурсы конкретной ЭВМ были использованы и какова степень их изменения или уничтожения;

• какова степень участия пользователя или оператора конкретной ЭВМ в совершении компьютерного преступления;

• какова степень участия посторонних лиц и специалистов по обслуживанию ЭВМ, сети ЭВМ и сетевого оборудования в исследуемых действиях;

• какая служебная документация, имена и пароли были использованы для неправомерных действий и способы их получения лицами, не имевших на то нрава;

• какими программно-техническими средствами и способами было выполнено незаконное изготовление документов или бланочной продукции;

• какие программные продукты или информационные ресурсы подвергались незаконному копированию.

Помимо аппаратной части компьютерной техники, экспертизе могут быть подвержены: программное обеспечение и носители информации, а именно:

• операционные системы;

• сетевое программное обеспечение;

• прикладное программное обеспечение;

• носители информации (магнитные диски и ленты, оптические диски);

• периферийные устройства (принтеры, плоттеры, сканеры, модемы и прочее);

• документы и бланочная продукция, изготовленные с использованием компьютерных технологий.

Основными этапами в проведении экспертизы объектов компьютерной техники являются следующие этапы.

1. Изучение обстоятельств дела, определение объема исследований и формирование задач.

2. Предварительный осмотр объектов с целью изучения состояния вещественных доказательств и их достаточности для проведения экспертизы, фиксация первоначального состояния объектов исследования и выдвижение экспертной версии.

3. Проведение экспертного эксперимента с целью моделирования действий, совершенных злоумышленником. Здесь могут быть смоделированы методы незаконного доступа к средствам компьютерной техники, действие вредоносных программ, способы искажения информации или ее подмены, процесс изготовления фальшивых бланков и документов и др.

4. Сравнительное исследование. При этом производится сравнивание идентификационных признаков объектов для определения наличия или отсутствия тождества. Идентификационные признаки могут сравниваться с признаками, присущими объектам компьютерной техники, признаками накопленными следственной или судебной практикой, или определенными в технической характеристике объектов компьютерной техники.

5. Анализ результатов исследования и формирование заключительных выводов. Выводы должны основываться на устойчивости и значимости признаков, их совокупной достаточности и совпадении вариаций признаков.

5. РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ.

Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений.

Установлено, что компьютерные преступления совершаются представителями самых широких слоев общества, причем возраст правонарушителей составляет от 10 до 60 лет, а их уровень подготовки - от новичка до профессионала. Поэтому лица, совершающие компьютерные преступления, - это, как правило, не профессиональные преступники, обладающие уникальными способностями и талантами, а обычные люди. Потенциальным преступником в области компьютерной техники является любое лицо любого возраста, имеющее хотя бы минимальные знания, увлекающееся решением проблем, относящихся к данной области, стремящееся получить выгоду, добиться известности или признания.

Лица, совершающие компьютерные преступления, могут быть объединены в три большие группы:

• лица, не связанные трудовыми отношениями с организацией-жертвой, но, возможно имеющие некоторые связи с нею;

• сотрудники организации, занимающие ответственные посты;

• сотрудники организации, являющиеся пользователями ЭВМ или сети ЭВМ, злоупотребляющие своим положением.

В силу своих профессиональных и должностных обязанностей сотрудники организации могут соответственно сыграть определенную роль в совершении компьютерных преступлений:

• операционные преступления - совершаются операторами ЭВМ, периферийных устройств ввода информации в ЭВМ и обслуживающими линии телекоммуникации;

• преступления, основанные на использовании программного обеспечения, обычно совершаются лицами, в чьем ведении находятся библиотеки программ; системными программистами; прикладными программистами; хорошо подготовленными пользователями;

•для аппаратной части компьютерных систем опасность совершения преступлений представляют: системные инженеры, инженеры по терминальным устройствам, инженеры-связисты, инженеры-электронщики;

• определенную угрозу совершения компьютерных преступлений представляют и сотрудники, занимающиеся организационной работой: управлением компьютерной сетью, руководством операторами; управлением базами данных; руководством работой по программному обеспечению;

•угрозу могут представлять также разного рода клерки, работники службы безопасности, работники, контролирующие функционирование ЭВМ или сети ЭВМ;

• особую опасность могут представлять специалисты в случае вхождения ими в сговор с руководителями подразделений и служб самой коммерческой структуры или связанных с ней систем, а также с организованными преступными группами, поскольку в этих случаях причиняемый ущерб от совершенных преступлений и тяжесть последствий значительно увеличиваются.

Субъектом компьютерного преступления, указанного в статьях: 143, 175, 177, 178, 179, 181, 182, 184, 200, 227, 257 УК РК, может быть любое вменяемое физическое лицо, достигшее шестнадцатилетнего возраста, а в статьях: 175, 178, 179, 181, ч. 2 ст. 257 УК РК, может быть любое вменяемое физическое лицо, достигшие ко времени совершения преступления четырнадцатилетнего возраста, в том числе и законный пользователь, который не имеет разрешения для работы с информацией определенной категории.

Части 2 статей 143, 182, 200, 227 УК РК предусматривают в качестве квалифицирующих признаков несколько новых, характеризующих объективную сторону и субъект состава. Это совершение деяния:

1. группой лиц по предварительному сговору;

2. организованной группой;

3. неоднократно;

4. лицом с использованием своего служебного положения;

5. лицом, имеющим доступ к ЭВМ или сети ЭВМ.

Если описание первых трех признаков дано в статьях 11, 27, 28 УК РК, то специальных субъектов двух последних можно трактовать как отдельных должностных лиц, программистов, операторов ЭВМ, наладчиков оборудования, специалистов-пользователей автоматизированных рабочих мест и других специалистов, имеющих доступ к ЭВМ или сети ЭВМ.

Из всех признаков субъективной стороны значение будет иметь только один - вина. При этом, исходя из ч. 3 ст. 19 УК, для всех преступлений данного вида необходимо наличие вины в форме умысла, и лишь два квалифицированных состава предусматривают две ее формы: умысел по отношению к деянию и неосторожность в отношении наступивших общественно-опасных последствий. Факультативные признаки субъективной стороны так же, как и в вопросе о стороне объективной, не будут иметь значения для квалификации преступления. Так, мотивами совершения таких деяний чаще всего бывают корысть либо хулиганские побуждения, но могут быть и соображения интереса, чувство мести; не исключено совершение их, с целью скрыть другое преступление и т.д. Естественно, что особую трудность вызовет проблема ограничения неосторожного и невиновного причинения вреда, что связано с повышенной сложностью и скрытностью процессов, происходящих в ЭВМ и сетях ЭВМ.

Принципиальная схема организации взлома защитных механизмов информационных систем однотипна. Профессиональные компьютерные взломщики обычно работают только после тщательной предварительной подготовки. Возможен съем квартиры на подставное лицо, подкуп сотрудников организации, знакомых с деталями электронных платежей и паролями, и работников телефонной станции, чтобы обезопаситься на случай поступления запроса от служб безопасности. Нанимают охрану из бывших сотрудников правоохранительных органов. Чаще всего взлом компьютерной сети осуществляется рано утром или в праздничные дни, когда дежурный службы безопасности (администратор безопасности) теряет свою бдительность, а вызов помощи затруднен.

Ниже представлена общая схема расследования неправомерного доступа к компьютерной информации. Также, необходимо отметить, что все следственные действия, связанные с документированием доказательств компьютерных преступлений, должны проводится во взаимодействии с техническими экспертами.

В ходе расследования основные следственные задачи целесообразно решать в такой последовательности:

1. Установление факта неправомерного доступа к информации в ЭВМ или сети ЭВМ.

2. Установление места несанкционированного проникновения в ЭВМ или сеть ЭВМ.

3. Установление времени совершения преступления.

4. Установление надежности средств защиты компьютерной информации.

5. Установление способа несанкционированного доступа.

6. Установление вредных последствий преступления.

7. Выявление обстоятельств, способствовавших преступлению.

8. Установление наблюдения за лицами, имеющими доступ к компьютеру, с помощью которого осуществляется неправомерный доступ к информации.

9. Использование оперативно-технических возможностей по документированию доказательств причастности конкретного лица к совершению преступного посягательства, выявление сообщников, мест сокрытия (хранения) похищенного.

На признаки несанкционированного доступа или подготовки к нему могут указывать следующие обстоятельства:

• появление в ЭВМ или сети ЭВМ фальшивых данных;

• не обновление в течение длительного времени в автоматизированной информационной системе кодов, паролей и других защитных средств;

• частые сбои в процессе работы ЭВМ или сети ЭВМ;

• участившиеся жалобы пользователей на неадекватное поведение используемых программных продуктов, аппаратной части ЭВМ, сети ЭВМ;

• осуществление сверхурочных работ без видимых на то причин;

• немотивированные отказы некоторых сотрудников, обслуживающих ЭВМ или сеть ЭВМ, от отпусков;

• неожиданное приобретение сотрудником домашнего дорогостоящего компьютера;

• незарегистрированные накопители информации, принесенные на работу сотрудниками, работающими с ЭВМ или сетью ЭВМ под сомнительным предлогом перезаписи программ;

• участившиеся случаи перезаписи отдельных данных без серьезных на то причин;

• чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток (листингов), выходящих из принтеров.

Определить место и время непосредственного применения технических средств удаленного несанкционированного доступа (не входящих в сеть ЭВМ ) на практике бывает достаточно трудно. Для установления этих данных необходимо привлекать специалистов.

Способ несанкционированного доступа может быть установлен путем производства информационно-технической судебной экспертизы, перед экспертом следует поставить вопрос: «Каким способом мог быть совершен несанкционированный доступ в данную компьютерную систему?». Целесообразно представить эксперту всю проектную документацию на исследуемую систему (если таковая имеется), а также имеющиеся данные о ее сертификации.

Несанкционированный доступ к защищенной ЭВМ или сети ЭВМ является технологически весьма сложным действием. Совершить такую акцию могут только специалисты, имеющие достаточно высокую квалификацию. Поэтому поиск подозреваемых следует начинать с технического персонала пострадавших ЭВМ или сетей ЭВМ (разработчиков соответствующих систем, их руководителей, операторов, программистов, инженеров связи, специалистов по защите информации и других).

Следственная практика показывает, что чем сложнее в техническом отношении способ проникновения в ЭВМ или сеть ЭВМ, тем легче выделить подозреваемого, поскольку круг специалистов, обладающих соответствующими способностями, обычно весьма ограничен.

При расследовании преступления, предусматривающего создание, использование и распространение вредоносных программ для ЭВМ представляется наиболее целесообразной следующая последовательность решения основных задач:

1. Установление факта и способа создания вредоносной программы для ЭВМ.

2. Установление факта использования и распространения вредоносной программы.

3. Установление лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ.

4. Установление вреда, причиненного данным преступлением.

5. Установление обстоятельств, способствовавших совершению расследуемого преступления.

Помимо этого, следователю необходимо знать, что существует много особенностей, которые должны учитываться при производстве отдельных следственных действий:

1. Если следователь располагает информацией, что на объекте обыска находятся средства компьютерной техники, расшифровка данных, с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию.