Екатерина Михайлова – Правосудие в современной России. Том 2 (страница 64)

Таблица 1

Сравнительный анализ систем теории информационно-компьютерного обеспечения криминалистической деятельности и цифровой криминалистики

Полагаем, что система цифровой криминалистики вполне обоснована и заслуживает дальнейшего развития, но пока не очень ясно, как эта частная теория вписывается в систему криминалистической науки.

Развитие криминалистики происходит благодаря изучению новых закономерностей, новых механизмов формирования следов, новых методов сбора, обнаружения, фиксации и изъятия криминалистически значимой информации, а также благодаря анализу и использованию этой информации, в сфере криминалистической тактики и методики.

Вернемся к рассмотрению одной из основных составляющих нашей теории информационно-компьютерного обеспечения криминалистической деятельности частной криминалистической теории — учению о криминалистическом исследовании компьютерных средств и систем. Данное учение с точки зрения системы криминалистики относится к криминалистической технике и технологии. Предмет учения составляет система закономерностей собирания криминалистически значимой компьютерной информации, на основе познания которых разрабатываются технико-криминалистические методы, средства, приемы и методики выявления, фиксации и изъятия доказательственной и ориентирующей криминалистической информации, содержащейся в компьютерных средствах и системах в процессе судопроизводства по уголовным, гражданским и административным делам, а также для осуществления иных мер раскрытия и предупреждения преступлений.

Объектами учения о криминалистическом исследовании компьютерных средств и систем являются компьютерные средства и системы, рассматриваемые в широком смысле, и содержащаяся в них розыскная и доказательственная криминалистически значимая компьютерная информации. Сформированный на основе этого учения новый раздел криминалистической техники содержит описание объектов криминалистического исследования, особенности собирания (выявления, фиксации, изъятия) криминалистически значимой информации, возможности судебно-экспертного исследования этих объектов[389].

Криминалистически значимая компьютерная информация содержится как в стационарных компьютерах, серверах, средствах их коммуникации, внешних и внутренних носителях данных, периферийных устройствах и т. д., так и в мобильных устройствах сотовой связи (смартфонах, планшетных компьютерах и т. д.), микропроцессорных устройствах. На сегодня можно выделить категории объектов — носителей криминалистически значимой компьютерной информации: устройства для хранения информации; устройства для ввода/вывода информации; устройства обработки информации; устройства для передачи информации по каналам связи; информационные комплексы и системы[390].

Инновационное развитие криминалистической тактики и методики расследования отдельных видов преступлений обеспечивается рядом других частных учений, входящих в теории информационно-компьютерного обеспечения криминалистической деятельности[391]. На их основе изучены и систематизированы криминалистические закономерности формирования и реализации способов компьютерных преступлений, которые обычно являются полноструктурными (включают подготовку, совершение, сокрытие). Причем подготовка либо сразу включает действия по сокрытию, либо действия по сокрытию могут даже предшествовать подготовке к совершению данного преступления, а производятся заранее участниками организованного преступного сообщества, совершающего целый ряд иных компьютерных преступлений. Установлена закономерность общности способов для различных видов компьютерных преступлений, т. е. способы компьютерных преступлений практически не связаны с видами преступлений.

Родовая криминалистическая характеристика компьютерных преступлений обычно обусловливает общность способов преступлений в пределах данного криминалистического рода. А для преступлений, совершаемых «традиционными» способами, элементы криминалистической характеристики тесно связаны с видом преступления, поэтому можно констатировать для разных видов преступлений различия во всех элементах их криминалистических характеристик.

Для создания методик расследования компьютерных преступлений необходимо изменить подход к отбору и систематизации криминалистически значимых признаков преступлений. В этих условиях криминалистические характеристики видов преступлений приобретают уже совершенно новое звучание, будучи основаны на использовании современных информационно-компьютерных технологий. Для создания методик расследования компьютерных преступлений обосновано использование вместо криминалистических характеристик видов преступлений типовых информационно-компьютерных моделей преступлений, которые отличаются предметами посягательства и, в какой-то степени, потерпевшей стороной. Что касается сведений о личности типичного преступника, то, в первую очередь, важна информация о том, каков его уровень владения компьютерными технологиями. Основу характеристики потерпевшего (потерпевшей стороны) также должна составлять его компетенция в области IT-технологий[392].

Основным принципом формирования информационно-компьютерных моделей является ранжирование их по сложности способов реализации противоправных действий, включая используемые IT-технологии и корреляции с этими способами уровня компетенции преступников, состава преступной группы или сообщества. Корреляционные связи существуют также между способом компьютерного преступления и компьютерной грамотностью потерпевшего, которая также может иметь разные уровни по компетентности: неопытный пользователь, квалифицированный пользователь; специалист в области IT-технологий и пр.

Приведем несколько примеров. Один из главных способов несанкционированного доступа к компьютерным системам — это использование троянских программ, которые распространяются через массовые рассылки электронных писем с вредоносными вложениями или ссылками. Такие письма могут выглядеть как полезные документы или официальные сообщения, чтобы обманом заставить пользователя открыть вложение или перейти по ссылке. В результате в систему загружается и устанавливается троянская программа, которая использует уязвимости в безопасности для получения доступа к данным и ресурсам компьютера. Данный способ распространения вредоносного программного обеспечения настолько востребован, что пользователям постоянно советуют не открывать неизвестных вложений и не переходить, но неизвестным ссылкам, прикрепленным к электронным письмам. Но, несмотря на предупреждения, многие пользователи все равно открывают электронные сообщения от неизвестных лиц или следуют по предложенным непонятным ссылкам. Использование этого способа дает представление об уровне компетенции как преступника, так и потерпевшего.

Более сложные способы основаны на модульной структуре, где дополнительный модуль отвечает за определенные действия, но работает только вместе с основным модулем на зараженном компьютере, когда информация собирается основным модулем и передается на управляющий сервер, который активизирует дополнительные модули для осуществления преступных целей. Таким образом, атакуются не только компьютеры частных пользователей, но и крупные корпоративные сети, например для кражи денег или конфиденциальных данных. Очевидно, что для подготовки, совершения и сокрытия подобных преступлений необходимо участие группы или сообщества, обладающих высоким уровнем компетенции в области IT-технологий. Потерпевшая сторона здесь будет представлена значительно более квалифицированными пользователями или системными администраторами[393].

При разработке методик расследовании компьютерных преступлений весьма важное значение имеет анализ следственных ситуаций. Поскольку подготовка к совершению компьютерного преступления сразу включает действия по сокрытию, случаи когда исходные следственные ситуации носят благоприятный характер — это скорее исключения из общего правила, однако хотя и редко, но встречаются. Характер и обстоятельства дела известны, например, потерпевшим собственными силами установлено, каким способом осуществлен несанкционированный доступ в компьютерную сеть. Преступник известен и задержан (явился с повинной). Эта ситуация предполагает содействие (отсутствие противодействия) расследованию со стороны преступника. В этом случае получение криминалистически значимой информации в виде цифровых следов может быть осуществлено непосредственно от него на отдельных носителях или из компьютерной системы.

При неблагоприятной исходной следственной ситуации, когда известны потерпевшие, например, налицо только преступный результат — дезорганизация компьютерной сети, а способ преступления и преступник неизвестны, цифровые следы могут выявляться при проведении осмотра места происшествия или обыска с участием специалиста. Однако в настоящее время многие следователи пока не готовы к решению сложных задач, связанных с собиранием цифровых следов или выявлением действия вредоносных программ. Один из вариантов решения проблемы в уголовном судопроизводстве предложен законодателем, когда в соответствии с ч. 2 ст. 164.1 УПК РФ в обязательном порядке «для копирования информации на другие электронные носители (т. е. фактически изъятие цифровых следов) (курсив мой, — Е.Р.) в процессе следственного действия привлекается специалист». Но, к сожалению, дефиниция «электронный носитель информации» законодателем в УПК РФ не определена, отсутствует она и в Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». К тому же сомнительно, что обозначенный как электронный носитель информации удаленный сервер, особенно если он находится за пределами России, может быть изъят.