Расследование случаев неправомерного доступа к компьютерной информации

Информация и информационные правоотношения стали довольно частым предметом преступного посягательства. Их общий объект — общественные отношения по обеспечению информационной безопасности, а непосредственные объекты преступного посягательства — базы и банки данных, файлы конкретных компьютерных систем и сетей, а также технологии и программные средства, включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.

Под информацией понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Документированная информация — это зафиксированные на материальном носителе сведения с реквизитами, позволяющими их идентифицировать. Компьютерная информация является документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя. К машинным носителям этой информации относятся блоки памяти ЭВМ, ее периферийные и сетевые устройства, средства связи, сети электросвязи.

Статья 272 УК РФ устанавливает ответственность за неправомерный доступ к компьютерной информации, если он привел к таким негативным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.

Уничтожение информации — это такое ее изменение, когда она перестает отвечать своему прямому назначению.

Под блокированием понимается временная или постоянная невозможность доступа к информации со стороны законного пользователя, а под модификацией — ее видоизменение, влекущее появление новых, нежелательных свойств.

Копирование — это воспроизведение аналога оригинала; нарушение работы ЭВМ, их системы или сети — замедление, зацикливание, прекращение действия программы, нарушение порядка выполнения команд, отказ в выдаче информации, отключение элементов системы, другие нештатные ситуации.

Системой считается взаимосвязанная совокупность ЭВМ с единым организационно-техническим обеспечением, а сетью — объединение действующих компьютерных систем на определенной территории.

При расследовании неправомерного доступа к компьютерной информации вначале устанавливается сам факт такого доступа, место несанкционированного проникновения в компьютерную систему или сеть и время совершения преступления; затем — способ неправомерного доступа и степень надежности средств защиты компьютерной информации, лица, совершившие такой доступ, их виновность, а также мотивы и вредные последствия содеянного.

Факт неправомерного доступа к информации первыми, как правило, обнаруживают пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСКН. Их можно выявить и в ходе ревизий, судебных экспертиз, следственных действий по уголовным делам.

Признаками несанкционированного доступа или подготовки к нему могут служить:

• появление в компьютере искаженных данных;
• длительное необновление кодов, паролей и других защитных средств компьютерной системы;
• частые сбои в работе ЭВМ;
• участившиеся жалобы пользователей этой системы или сети.

Признаки неправомерного доступа выражаются также в следующих отступлениях от установленного порядка обработки документов:

• нарушения правил оформления документов и изготовления машинограмм;
• наличие лишних документов, подготовленных для обработки на ЭВМ;
• несоответствие информации, содержащейся в первичных документах, данным машинограмм;
• преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, искажение данных их регистрации.

Указанные признаки, однако, могут быть следствием не только злоупотреблений, но и других причин, например, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного доступа в компьютерную систему или сеть установить трудно, ибо таких мест может быть несколько.

На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств; но и для этого приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь. Гораздо проще это место устанавливается в случае несанкционированного доступа к единичному компьютеру. Много труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. К этой работе, а также к установлению места хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети, необходимо привлекать соответствующих специалистов.

Время несанкционированного доступа выясняется с помощью программ общесистемного назначения, которые в работающем компьютере обычно фиксируют текущее время. Это позволяет вывести на экран дисплея сведения о точном времени выполнения той или иной операции. Если такая программа работает, то при несанкционированном входе в систему или сеть время конкретной операции на компьютере фиксируются автоматически. Тогда интересующий момент можно определить в ходе следственного осмотра компьютера или его распечаток. Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы, выясняется, когда конкретно каждый из них работал на ЭВМ.

Способы преступной деятельности в среде компьютерной информации могут быть разделены на две большие группы. Первая группа не предусматривает использование компьютерных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них. Это могут быть:

• хищение машинных носителей информации;
• использование визуальных, оптических и акустических средств наблюдения за ЭВМ;
• считывание и расшифровка электромагнитных излучений компьютера и обеспечивающих систем;
• фотографирование информации в процессе ее обработки;
• изготовление бумажных дубликатов входных и выходных документов, копирование распечаток;
• использование вышеупомянутых средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику информации, подслушивание их разговоров и др.

Для таких действий, как правило, характерна достаточно локальная следовая картина: место совершения преступных действий и дислокация объекта преступного посягательства расположены вблизи друг от друга или совпадают, потому срабатывают традиционные приемы по их исследованию.

Вторая группа преступных действий осуществляется с использованием компьютерных и коммуникационных устройств в качестве инструмента для проникновения в информационные системы или воздействия на них.

Так, несанкционированный доступ реализуется с помощью под-бора пароля, использования чужого имени, отыскания и использования пробелов в программе, а также других мер преодоления защиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживающих компьютерную систему, и ее разработчиков. У них необходимо выяснить, как преступник мог проникнуть в защищенную систему, получить сведения о средствах защиты системы или сети ЭВМ.

Способ несанкционированного доступа в компьютерную систему можно установить посредством компьютерно-технической экспертизы. Для этого эксперту предоставляют всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации.

В ряде случаев целесообразен следственный эксперимент, например, для проверки возможности: преодоления средств защиты компьютерной системы одним из предполагаемых способов; появления на экране дисплея закрытой информации или ее распечатки вследствие ошибочных действий оператора, технического сбоя.

Выясняя надежность средств зашиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети меры защиты от несанкционированного доступа, в том числе к определенным файлам. Это выясняется в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, о порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты документированной информации, имеющей ограниченный доступ.

Законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а также лицензирование всех видов деятельности в области проектирования и производства названных средств.

Поэтому в ходе расследования необходимо выяснить, есть ли лицензия на производство средств защиты информации от несанкционированного доступа, задействованных в данной компьютерной системе, и соответствуют ли их параметры выданному сертификату.

Следственная практика свидетельствует, что чем сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен.

Доказыванию причастности конкретного субъекта к несанкционированному доступу способствуют различные следы, обнаруживаемые при следственном осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет. Для их исследования назначаются криминалистические экспертизы — дактилоскопическая, почерковедческая и др.

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. При обыске нужно изымать литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике.

Установить виновность и мотивы лиц, осуществивших несанкционированный доступ, можно лишь по результатам всего расследования. Решающими здесь являются показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, а также результаты обысков.

В ходе расследования выясняется:

• с какой целью совершен несанкционированный доступ к компьютерной информации;
• знал ли правонарушитель о системе ее защиты;
• желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компьютерной системе или сети могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютерными программами, а также информацией путем копирования либо изъятия машинных носителей. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в систему компьютерного вируса, заведомо ложных данных и др.

Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние неправомерных изменений и дополнений. Их обычно обнаруживают сами работники банков, а сумму хищения определяет бухгалтерская экспертиза.

Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и факты их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получение информации из различных компьютерных систем, ее копирование и размножение с целью продажи для получения материальной выгоды либо использования в других преступных целях. Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация является конфиденциальной или имеет категорию государственной тайны, то вред, причиненный ее разглашением, устанавливают представители Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, вброса в информационную систему заведомо ложных сведений устанавливаются прежде всего самими пользователями компьютерной системы или сети. При определении размера причиненного вреда учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных, путем допросов технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяет комплексная экспертиза, проводимая с участием специалистов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения.