Расследование нарушения правил эксплуатации ЭВМ, их системы или сети

Большой ущерб ЭВМ, их системе или сети может причинить нарушение правил эксплуатации, обычно приводящее к сбоям в обработке информации, а в конечном счете дестабилизирующее деятельность соответствующего предприятия или учреждения.

При расследовании дел данной категории необходимо прежде всего доказать факт нарушения эксплуатационных правил, повлекший уничтожение, блокирование или модификацию компьютерной информации и причинение существенного вреда.

Кроме того, следует установить и доказать:

• место и время (период времени) нарушения правил эксплуатации ЭВМ, их системы или сети;
• характер компьютерной информации, подвергшейся уничтожению, блокированию или модификации;
• способ и механизм нарушения правил;
• характер и размер причиненного ущерба;
• факт нарушения правил определенным лицом и виновность последнего.

Доказывая факт преступного нарушения правил эксплуатации ЭВМ, необходимо тщательно изучить эти правила, поскольку они определяют порядок получения, обработки, накопления, хранения, поиска, распространения и представления потребителю компьютерной информации, а также ее защиту.

Статья 274 УК РФ охраняет информацию, имеющую ограниченный доступ, которая подразделяется на отнесенную к государственной тайне и конфиденциальную. Именно эти две категории сведений, циркулирующих в компьютерных системах и сетях, нуждаются в особой защите от преступных посягательств.

Порядок накопления, обработки, предоставления пользователю и защиты информации с ограниченным доступом определяется органами государственной власти либо собственником такой информации. Соответствующие правила установлены в органах государственной исполнительной власти, в госархивах, информационных системах, обрабатывающих конфиденциальные сведения, и те, которые составляют государственную тайну.

Владельцы и пользователи системы или сети ЭВМ первыми обнаруживают отсутствие необходимой информации либо ее существенные изменения, негативно отразившиеся на деятельности предприятия, учреждения, организации.

Владелец документов, их массива или информационной системы обязан оповещать ее собственника обо всех фактах нарушения режима защиты информации.

При нарушении правил эксплуатации, когда это привело к вредным последствиям, необходимо допросить всех лиц, которые работали на ЭВМ и обслуживали компьютерное оборудование в интересующий следствие период. К участию в допросе целесообразно привлечь специалиста.

Выяснению подлежит следующее:

• круг обязанностей допрашиваемого при работе с ЭВМ либо ее оборудованием, какими правилами он установлен?
• какая конкретно работа на ПК и в каком порядке выполнялась, когда произошло уничтожение, блокирование, изменение компьютерной информации?
• какие неполадки в компьютерной системе обнаружились при работе на ЭВМ, не было ли при этом каких-либо сбоев, чреватых причинением существенного вреда?
• какие конкретно правила работы с ПК были нарушены?
• каким образом должны фиксироваться факты уничтожения, блокирования или модификации компьютерной информации?
• связаны ли уничтожение, блокирование, модификация информации с нарушением правил эксплуатации ЭВМ и каких именно?

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования. Обычно оно проводится отделом информационной безопасности предприятия, на котором произошел уголовно наказуемый инцидент. В этих материалах можно найти ответы на многие из вышеприведенных вопросов. По материалам служебного расследования могут быть установлены также место и время преступного нарушения правил, другие обстоятельства, подлежащие доказыванию.

Конкретное место нарушения правил эксплуатации ЭВМ определяют и при осмотре рабочих мест пользователей компьютерной системы или сети. Осмотру подлежат все подключенные к ним ПК. Осмотр должен проводиться с участием специалиста, помогающего выяснить дислокацию компьютера, работа на котором привела к вредным последствиям. Необходимо установить, где расположена станция, эксплуатация которой велась с грубыми отступлениями от требований информационной безопасности.

В первую очередь следует определить места, где дислоцированы рабочие станции, имеющие собственные дисководы, так как именно на них есть потенциальные возможности для преступных нарушений правил эксплуатации компьютерной сети.

Рекомендуется производить следственный осмотр учетных данных, в которых могут быть отражены сведения о расположении конкретной рабочей станции, использующей файловый сервер. Кроме того, следует допросить в качестве свидетелей администратора сети и специалистов, обслуживающих сервер, в котором произошло уничтожение, блокирование или модификация компьютерной информации. Подобные допросы позволяют выяснить: на какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети, где она расположена;

Могли ли быть нарушены правила эксплуатации данной локальной вычислительной сети на конкретной рабочей станции?

Если правила нарушены непосредственно на файловом сервере, то места нарушения и наступления вредных последствий совпадают. Место нарушения правил поможет установить компьютерно-техническая экспертиза.

При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать еще и время наступления вредных последствий. Нарушение правил и наступление таких последствий могут произойти одновременно. Например, когда отключается электропитание, а его резервные источники отсутствуют (т.е. нарушены правила обеспечения информационной безопасности), могут быть мгновенно уничтожены очень важные данные, которые не успели записать на дискету или флэш-карту.

Возможен и большой временной интервал между моментом нарушения правил и временем наступления вредных последствий. Так, на Волжском автозаводе оказалось умышленно расстроенной работа трех линий главного сборочного конвейера, управляемого компьютером. Произошло это по вине инженера-программиста, который из низменных побуждений пять месяцев назад ввел в одну из взаимодействующих программ управления накопителем механических узлов заведомо неправильную последовательность команд счета подвесок и подачи шасси на главный конвейер.

Время нарушения правил обычно конкретизируется по учетным данным, которые фиксируются в процессе эксплуатации ЭВМ. К ним относятся сведения о результатах применения средств автоматического контроля, регистрирующих пользователей компьютерной системы и моменты подключения к ней абонентов, содержание журналов учета сбойных ситуаций, передачи смен операторами ЭВМ, распечатки выходной информации.

Указанные данные могут быть получены в ходе осмотра места происшествия, выемки и осмотра документов. Осмотр, напомним, проводится с участием специалиста. Время нарушения правил можно установить также путем допросов свидетелей из числа лиц, участвующих в эксплуатации ЭВМ. Допрашиваемые могут пояснить, как в этой компьютерной системе фиксируются факты и время отклонения от установленных правил эксплуатации, когда могло быть нарушено определенное правило, что повлекло вредные последствия. Время их наступления устанавливается по материалам служебного расследования и результатам осмотра места происшествия, а также путем допроса свидетелей и производства судебных экспертиз.

При осмотре места происшествия могут быть обнаружены машинные носители информации, на которых ранее хранились охраняемые законом данные. Последние вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблокированными. На носителях может быть зафиксировано время наступления таких последствий, что выясняется также с помощью специалиста.

Указанные последствия часто обнаруживаются пользователями, а также администраторами базы данных. Поэтому при их допросах в качестве свидетелей следует уточнить, когда они впервые обнаружили отсутствие или существенное изменение информации, находившейся в определенной базе данных.

Способ нарушения правил эксплуатации ЭВМ может быть активным или пассивным.

Первый выражается в самовольном выполнении не предусмотренных операций, второй — в невыполнении предписанных действий. Механизм нарушения правил связан с технологией обработки информации на ЭВМ. Это, например, ее неправильное включение и выключение, использование посторонних дискет без предварительной проверки на компьютерный вирус, невыполнение правил об обязательном копировании информации на случай уничтожения оригинала. Способ и механизм нарушения правил выясняется путем допросов свидетелей, подозреваемых и обвиняемых, проводимых с участием специалистов, в ходе следственного эксперимента, производства компьютерно- технической экспертизы.

Характер ущерба, причиненного преступным нарушением правил эксплуатации ЭВМ, может заключаться в уничтожении, блокировании или модификации охраняемой законом информации. Для определения размера ущерба, причиненного преступным нарушением правил эксплуатации ЭВМ, их системы или сети, степень секретности и конфиденциальности информации имеет решающее значение. Ущерб носит либо чисто экономический характер, либо вредит интересам государства вследствие утечки сведений, составляющих государственную тайну. Разглашение или утрата такой информации может создать серьезную угрозу внешней безопасности страны, что влечет уголовную ответственность еще и по ст. 283 и 284 УК. Размер ущерба устанавливается посредством информационно-экономической экспертизы, разрешающей вопрос: «Какова стоимость информации, уничтоженной (или измененной) вследствие нарушения правил эксплуатации ЭВМ?»

При установлении виновного, следует иметь в виду, что к ЭВМ, их системе или сети, как правило, имеют доступ определенные люди в силу выполняемой ими работы, связанной с применением средств компьютерной техники. Среди них и следует искать нарушителей правил.

Виновность лица, совершившего преступное нарушение правил эксплуатации ЭВМ, устанавливается по результатам допросов свидетелей и подозреваемого, осмотра и изучения эксплуатационных документов на данную компьютерную систему, осмотра компьютера, оборудования к нему, машинных носителей информации и распечаток.