Какие экспертизы наиболее часто назначаются при расследовании компьютерных преступлений

Обновлено: 07.07.2024

По сравнению с где-то так называемыми пока что «традиционными преступлениями», преступления, связанные с компьютерной средой, то есть «компьютерные преступления» отличаются во многих аспектах и являются особенными. Соответственно – и их расследование, которое должно пользоваться своими технологиями и методиками.

Компьютерные преступления – это одна из тех сфер, в которых раньше совершалось очень много следственных ошибок, и в которой они совершаются до сих пор. Речь идет о тех случаях, в которых над решением вопросов работают недостаточно квалифицированные лица. В результате – защита получает возможность свободно оперировать разными доводами, и у нее гораздо больше ходов для того, чтобы оправдать подзащитного, даже если следствие и стороны процесса уверены в его виновности или причастности к преступлению.

Как правило, оперативники и работники следствия, дознаватели и другие лица не имеют квалификации для расследования таких дел, что при этом очевидно. Однако на протяжении многих лет и во многих случаях в России компьютерные дела пытались расследовать только их силами. И не только уголовные дела, но и гражданские, и частные спорные ситуации пытались решить с помощью обычных знаний, пытаясь разобраться в ситуации методами традиционной криминалистики и традиционного анализа и расследования. Хорошо, если в этом принимали участие какие-то компьютерные специалисты, занимающиеся хотя бы сервисом и наладкой компьютеров, и приглашенные для рассмотрения дел.

Для разрешения таких случаев и правильной экспертной работы до недавнего времени в распоряжении судов и следствия, в распоряжении граждан и организаций не было достаточных теоретических и практических знаний. Так что уровень этой работы был низок, и верная раскрываемость – где-то там же. Имеются в виду гражданские и уголовные дела, спорные, страховые ситуации и расследования, связанные с компьютерной информацией, компьютерной техникой и программным обеспечением, их использованием, модификацией, созданием, кражами, подделкой, распространением и продажей.

Логичные и современные требования к расследованиям компьютерных преступлений

Здесь требуется квалификация, совмещающая в себе специальные знания в разной области, знание и правильное использование специальных программных и аппаратных средств, и специальные экспертные методики для работы в указанных областях, отработанные и систематизированные.

Для правильного проведения таких расследований необходимо соблюдать и другие требования. Совмещать работу квалифицированных специалистов и использование специальных знаний и инструментов лучше всего с условиями специальной лаборатории, где проводятся все исследовательские работы.

Нужно очень внимательно обращаться с вещественными доказательствами и всеми элементами, подвергающимися исследованию, чтобы не допустить ошибок и незапланированного изменения состояния объектов в ходе исследования и при подготовке к нему. Также и процесс изъятия и перевозки вещественных доказательств должен быть регламентирован специальными правилами. Эти правила, как и в случае многих других экспертных исследований, гарантируют неприкосновенность вещественных доказательств, и верный и результативный ход работы экспертов.

Появление, роль и помощь российской независимой экспертизы

Представьте себе, что совершено компьютерное преступление, и что перед ним оказывается обычное или необычное, но «традиционное» следственное учреждение, пусть даже высокого уровня. Работники высокой, но традиционной квалификации – что они будут делать с ситуацией, в которой речь идет о компьютерной технике, компьютерной информации, или ПО, то есть программном обеспечении, и специальных манипуляциях с ним или с компьютерной техникой?

В первую очередь, как часто случается и случалось, при решении «компьютерных» дел важно немедленно провести грамотное изъятие доказательств. Для этого используются обычные оперативные работники, если под рукой нет прямо готовых к действию специалистов. Ими же, оперативными работниками, проводится осмотр места, где изымается информация и техника, ими же пакуются, перевозятся и оставляются на хранение вещдоки. Выбор объектов для изъятия, упаковка, перевозка, обращение с вещдоками этого типа – на этих стадиях тоже есть риск совершения ошибок.

А затем наступает время самого расследования. И важной проблемой расследований компьютерных преступлений во все времена, до появления специальных служб, было нахождение нужных специалистов для проведения экспертизы. Сроки проведения исследований в результате поиска нужных специалистов затягивались, и при этом очень хорошо если удавалось верно решить проблему.

На протяжении нескольких лет, прошедших с этого времени, уровень работы и подготовки некоторых независимых экспертных компаний вырос настолько, что они могут решать очень многие, можно сказать любые проблемы, связанные с ПО, компьютерной техникой и информацией. Мы говорим «некоторых», так как независимые эксперты работают на открытом рынке и делают в соответствии с собственной инициативой – и уровень, и профиль, масштаб и отношение к работе у разных организаций бывают разными.

Есть общие требования к экспертам, а есть вопросы, в которых по-разному подбираются, готовятся, аттестируются и работают специалисты разных компаний. Поэтому важно сотрудничать с организациями, которые пользуются самыми современными возможностями, от которых выступают как можно более квалифицированные специалисты. Этими экспертами в частности используются специальные средства и комплексы, программные и аппаратные, и специальные экспертные методики на всех стадиях процессов расследования.

Ошибки старого «традиционного» подхода и верные экспертные методы КТЭ

Самые распространенные ошибки такого следствия – это обращение с изъятой у подозреваемых или где-то еще во время следственных действий компьютерной техникой. Согласно ст. 190 КПК изъятие такой техники может проводиться не только во время следственного осмотра. Но и при «выемке», при обысках, в процессе восстановления обстановки или обстоятельств, в которых произошло какое-то происшествие. Это статьи 178, 179 и 194 КПК.

Соответственно, компьютеров в связи с некоторыми делами изымается много. И работа с ними является для следствия надеждой на то, что будут раскрыты дела, будут найдены доказательства, какая-то информация. Конечно, ведь все работают с помощью этой техники, и на ней действительно могут храниться важные данные. Но в попытках их обнаружить кроются самые распространенные ошибки традиционного «некомпьютерного» следствия, относящиеся к работе с техникой, которая была изъята в целях его проведения.

Правила фиксации информации и техники на момент изъятия

Самая лучшая ситуация – если изъятие техники происходит по всем правилам, и при этом присутствуют понятые. Если изъятие техники можно произвести при свидетелях, то можно при свидетелях снять копии с жестких дисков и затем опечатать компьютеры или другую технику как вещественное доказательство. В подтверждение того, что с ними не будет производиться никаких действий. Дело в том, что на суде представленные доказательства в виде информации с жестких дисков компьютеров могут быть оспорены защитой на основании возможности ее модификации работниками следствия или экспертами. Нужна защита и подтверждение неприкосновенности оригиналов вещественных доказательств.

Это называется так же фиксацией состояния техники и информации на момент проведения следственных действий. Существуют и некоторые новые пути для решения этой проблемы, и некоторые эксперты могут доказать идентичность информации, представляемой как улики, той, что изначально находилась на изъятом компьютере. Но классический способ такой: делается копия для исследования, сам компьютер полностью опечатывается как вещественное доказательство. Затем изучается копия, и после этого на суде в присутствии суда и свидетелей нужная информация извлекается и демонстрируется.

Правило не использования компьютера, который был изъят

Раньше повсеместно нарушалось одно самое главное правило, а сейчас оно нарушается часто – правило запрета на работу с компьютерами, которые были изъяты для ведения следствия или специальных расследований. Включать эти компьютеры, работать с ними, открывать программы и файлы – нельзя. Такие объекты должны быть неприкосновенно переданы в руки сертифицированным специалистам компьютерной экспертизы.

Современные эксперты вынимают информацию из компьютеров, полностью сохраняя ее специальными средствами. Избавляют ее от влияния систем, на которых она использовалась, изолируют ее от возможных защит от проникновения и других специальных систем, и только тогда работают с ней, полностью независимо от того, какие условия использования информации наложил на нее ее прошлый пользователь.

Существуют самые разные средства защиты информации, которыми пользуются злоумышленники, хакеры, предприниматели разного уровня и вообще современные пользователи компьютеров. В специальных и криминогенных случаях эти защиты могут достигать высокого уровня, так как и на них, как и на обеспечение бизнеса, тратятся большие деньги.

Защита информация может заключаться в ее удалении при вводе пароля, в невозможности обычного включения техники, в невозможности безопасного открытия файлов, программ или проведения любых других действий. При попытке доступа информация может удаляться, меняться, или могут куда-то отправляться какие-то сигналы. Бывает, что изменение условий содержания уже так влияет на технику, что с ней что-то происходит, или с нее уже нельзя обычным способом получить информацию. Поэтому обращаться с техникой следует очень аккуратно, и для извлечения данных нужны внимательные действия экспертов, использующих специальные технологии.

В программных файлах операционной системы, например, можно так изменить команду отображения директорий, чтобы ее внешнее имя вызывало форматирование жесткого диска, удаление информации. После таких удалений информации у защиты появляется гораздо больше возможностей для опровержения подозрений и доводов обвинения.

Правило не допуска к компьютеру других лиц и средства защиты в этом случае

Еще одна распространенная ошибка – это допущение к изъятой компьютерной технике лиц, у которых эта техника была изъята. Или лиц, которые работали на ней ранее, или которые являются ее владельцами. Да и вообще любых лиц, не имеющих отношения к работе следствия.

Мы вроде бы только что говорили о том, что компьютер никто вообще не должен трогать до прихода квалифицированного эксперта. Как тогда может случиться такая вот ситуация? Во время следствия и во время ведения дознавательной деятельности, когда подозреваемый или другое лицо, которое помогает следствию, дает ему информацию, подвергается допросам, предлагает совершить какие-то действия с компьютером, чтобы помочь следствию.

Многие такие случаи уже известны – лица предлагают следствию помощь в том, чтобы разобраться с изъятой техникой, помочь получить важную информацию, включить, настроить, и так далее. В результате эти лица прямо в присутствии работников следствия и полиции могли удалить, модифицировать или зашифровать нужную информацию. О таких случаях затем узнавалось по рассказам самих злоумышленников.

Как видите, психологические и логические ловушки, на которых можно обмануть следствие, остаются, даже если мы и пользуемся всеми правилами, и их помним. Преступники предлагают «другие» причины для того, чтобы нарушить правила, они предлагают помочь и создают ситуации, в которых «ну это же можно и вам нужно».

Средством от таких акций является предварительная работа сертифицированных специалистов над изъятой компьютерной техникой. Вся информация должны быть сперва скопирована специальными средствами, и только затем к ней можно допускать посторонних лиц. Более того, этот ход дает возможности узнать, какие мотивы были у тех, кто получил доступ к изъятой технике. Так как специалисты могут увидеть, что сделали допущенные лица с информацией. Если заранее подготовиться к такой ситуации, то эксперты без труда докажут впоследствии факты совершения любых действий с информацией и техникой.

1. Участие специалиста при изъятии электронных носителей информации в ходе обыска или выемки обязательно только в случае возникновения необходимости в применении специальных знаний и угрозе потери хранящейся на носителе информации.

Ч. 9.1 ст. 182 и ч. 3.1 ст. 183 УПК РФ прямо устанавливают, что при производстве обыска и выемки изъятие электронных носителей информации производится с участием специалиста. Указанные положения уголовно-процессуального закона не допускают исключений. Между тем понятие электронного носителя информации прямо не раскрывается в тексте закона и может быть распространено на сильно отличающиеся друг от друга по сложности технические средства. Вследствие этого судами была выработана позиция, в соответствии с которой изъятие электронного носителя информации в ходе обыска или выемки может правомерно осуществляться без специалиста, если копирование информации, содержащейся на нем, не производится либо изъятие не представляет сложности и не требует специальных знаний и навыков.

На возможность изъятия электронных носителей информации без участия специалиста указывают многие региональные суды (Апелляционное определение Судебной коллегии по уголовным делам Свердловского областного суда от 08.08.2016 по делу № 22-6494/2016, Апелляционное постановление Судебной коллегии по уголовным делам Приморского краевого суда от 04.08.2015 по делу № 22-4519/2015), подчеркивая право следователя в рамках принципа независимости (ч.1 ст. 168 УПК РФ) самому определять, в каком случае обстоятельства требуют участия специалиста, а в каком — нет (Апелляционное постановление Судебной коллегии по уголовным делам Московского городского суда от 07.10.2013 по делу № 10-9861).

Так, Советским районным судом г. Орска гр. Я. был признан виновным в совершении преступления, предусмотренного ч. 3 ст. 30, п. «г» ч. 4 ст. 228.1 УК РФ — покушение на сбыт наркотических средств в крупном размере. В апелляционной жалобе осужденный просил отменить приговор, среди прочего ссылаясь на то, что изъятие у него мобильного телефона, являющегося электронным носителем информации, было произведено сотрудниками Линейного отдела МВД России на транспорте без участия специалиста в нарушение ч. 3.1. ст. 183 УПК РФ.

Суд апелляционной инстанции признал указанный довод гр. Я. необоснованным, указав, что из смысла ч. 3.1. ст. 183 УПК РФ участие специалиста при производстве выемки в ходе изъятия электронных носителей информации требуется при наличии нуждаемости в данном специалисте, то есть когда необходимо применить специальные познания и навыки. В частности, если при производстве выемки производится копирование информации на другие электронные носители информации, участие специалиста обязательно, так как это связано с риском утраты или изменения информации. При этом, из материалов дела следует, что при выемке следователь пользовался обычными функциями просмотра телефона, не прибегая к необходимости поиска и открытия закрытых для общего доступа файлов, что говорит о законности произведенных действий (Апелляционное определение Судебной коллегии по уголовным делам Оренбургского областного суда от 03.11.2016 по делу № 22-4229/2016).

2. Участие специалиста при осмотре изъятых электронных носителей информации не обязательно и производится только по инициативе следователя.

Отсутствие специалиста при производстве следователем осмотра электронных носителей информации в большинстве уголовных дел вызывает у стороны защиты сомнения в достоверности полученного таким образом протокола осмотра. Зачастую подобные протоколы осмотра просят признать недопустимым доказательством, так как способ их получения не исключает возможность монтажа или иной фальсификации содержащихся на электронном носителе сведений со стороны следственных органов.

Между тем, подобные жалобы и доводы признаются судами несостоятельными в связи с отсутствием у следователя предусмотренной ст. 177 УПК РФ прямой обязанности по привлечению специалиста при проведении следственного осмотра. В большинстве судебных актов участие специалиста при осмотре информации на электронных носителях признается излишним (Апелляционное определение Судебной коллегии по уголовным делам Московского городского суда от 25.10.2016 по делу 10-14375/2016). Более того, протокол подобного осмотра является допустимым доказательством даже в случае отсутствия проведения в дальнейшем соответствующей экспертизы записей компьютера или иного цифрового устройства (Апелляционное определение Судебной коллегии по уголовным делам Московского городского суда от 30.06.2016 по делу 10-99015/2016).

В качестве основания для привлечения следователем специалиста при осмотре информации на электронных носителях может выступать необходимость применить специальные знания и навыки в следующих случаях:

- поиск и открытие закрытых для общего доступа файлов (Апелляционное определение Судебной коллегии по уголовным делам Оренбургского областного суда от 03.11.2016 по делу № 22-4229/2016);

- обнаружение признаков удаления файлов, их изменения, реквизитов операций, произведенных с ними (Апелляционное определение Судебной коллегии по уголовным делам Свердловского областного суда от 08.08.2016 по делу № 22-6494/2016).

3. Проведение судебной экспертизы в отношении цифровой информации, содержащейся в памяти мобильных абонентских устройств, не предполагает вынесения специального судебного решения.

Таким образом, Конституционный суд пришел к выводу о том, что оспариваемая заявителем П. норма УПК РФ не может расцениваться как нарушающая его конституционные права в указанном аспекте и отказал в принятии жалобы к своему производству (Определение Конституционного суда РФ от 25.01.2018 №189-О «Об отказе в принятии к рассмотрению жалобы гражданина Прозоровского Д.А. на нарушение его конституционных прав статьями 176, 177 и 195 УПК РФ»).

4. При назначении судебной компьютерно-технической экспертизы или иной экспертизы, связанной с исследованием компьютерной информации, следователем должно быть выбрано то экспертное учреждение или конкретный эксперт, которые обладают соответствующей специализацией.

Анализ судебной практики показывает, что в связи со сложностью дел, связанных с цифровой информацией, а также низким уровнем технических знаний в области компьютерных технологий, следователями зачастую экспертиза назначается в государственные экспертные учреждения, не имеющие специалистов в нужной области, или частным экспертам, не обладающим необходимой квалификацией. Также многочисленны случаи постановки перед экспертами вопросов, выходящих за пределы их специальных познаний и требующих назначения комплексной экспертизы (особенно по уголовным делам в сфере нарушения авторских и иных интеллектуальных прав на программное обеспечение и т. п.).

Например, по уголовному делу в отношении гр. С., обвиняемого в совершении преступлений, предусмотренных п. «б» ч.2 ст. 171 и п. «б» ч.4 ст. 174.1 УК РФ, следователем была назначена компьютерно-техническая экспертиза. Производство экспертизы было поручено АО «К.». Перед экспертом был поставлен вопрос: относятся ли работы, выполненные сотрудниками ЗАО «А.», к виду услуг по обработке информации, осуществлению сбора, анализа и систематизации информационных массивов, и, таким образом, соответствуют ли они работам, предусмотренным п.1 контракта № . с компанией «А. Корпорейшн».

В ходе рассмотрения уголовного дела судом было установлено, что АО «К.», которому следователем было поручено проведение экспертизы, не является государственной экспертной организаций. Помимо этого, согласно выписке из ЕГРЮЛ, видами деятельности данной компании является производство радиолокационной, радионавигационной аппаратуры и радиоаппаратуры дистанционного управления, а также научные исследования и разработки в области естественных и технических наук, что не позволяет говорить о специализации АО «К.» в сфере компьютерных технологий и информационных баз данных.

Кроме того, эксперт С.В., непосредственно производивший экспертизу, имеет высшее техническое образование, является специалистом в области авиаприборостроения, образования и опыта в области юриспруденции и лицензирования не имеет. Таким образом, вопросы, постановленные следователем перед экспертом, явно выходили за рамки полномочий эксперта С.В. Кроме того, назначая компьютерно-техническую экспертизу, следователь формулировал вопросы, относящиеся к области лицензирования и юриспруденции, не относящиеся к предмету исследования назначенной им экспертизы, выходящие за пределы специальных познаний эксперта С.В.

В связи с изложенными обстоятельствами, экспертное заключение было признано судом недопустимым доказательством и исключено из перечня доказательств (Апелляционное определение Судебной коллегии по уголовным делам Санкт-Петербургского городского суда от 20.04.2017 по делу № 22-2649/2017).

5. Исследование экспертом компьютерной информации должно проводиться в отношении различных цифровых устройств посредством специального программного обеспечения с созданием образа исследуемого носителя информации.

Методика проведения компьютерно-технических экспертиз предусматривает проведения мероприятий по обеспечению сохранности цифровой информации. Среди данных мероприятий выделяются следующие: при подключении носителя цифровой информации к тестовому компьютеру эксперта используются аппаратные средства блокирования уничтожения или сохранения информации, после чего производится полное копирование цифровой информации на специально выделенные экспертом зоны на тестовом компьютере (так называемое создание образа исследуемого носителя цифровой информации). Именно над «образом» эксперт и осуществляет исследование. Данные действия должны проводиться только с использованием специализированного программного обеспечения, использование которого должно быть обосновано в экспертном заключении (Апелляционное постановление Судебной коллегии по уголовным делам Московского городского суда от 25.11.2013 по делу 10-12204).

Предметом компьютерно-технической экспертизы могут быть не только компьютерные устройства, но и любые иные носители цифровой информации, в том числе:

• SIM-карты (Постановление Президиума Новосибирского областного суда от 24.06.2016 по делу 44У-124/2016, Приговор Алтайского краевого суда от 11.12.2013 по делу №2-96/2013);
• мобильные телефоны, пейджеры, смартфоны, диктофоны (Апелляционное определение Судебной коллегии по уголовным делам Московского городского суда от 29.11.2016 по делу №10-17624/2016);
• флэш-карты, оптические диски (Апелляционное определение Судебной коллегии по уголовным делам Московского городского суда от 02.07.2015 по делу №22-2363/2015);
• контрольно-кассовые машины (Постановление Московского городского суда от 08.06.2011 по №4у/7-3435);
• конкретные программы, иные объекты авторских прав и т.п. (Апелляционное определение Судебной коллегии по уголовным делам Санкт-Петербургского городского суда от 20.04.2017 по делу № 22-2649/2017).

6. Ознакомление обвиняемого в порядке ст. 217 УПК РФ с информацией, содержащейся на хранящихся в материалах уголовного дела накопителях цифровой информации, если они были предметом компьютерно-технической экспертизы, невозможно.

Обвиняемым П.А. при выполнении требований ст. 217 УПК РФ по уголовному делу, находящемуся в производстве Следственного департамента МВД России, следователю А. подано ходатайство о предоставлении для ознакомления с возможностью копирования своими техническими средствами приложений к экспертным заключениям, подготовленным в электронном виде по уголовному делу, а также содержимого указанных в ходатайстве вещественных доказательств в виде электронных носителей информации, а также иных вещественных доказательств и фотографий, материалов аудио- и (или видеозаписи, киносъемки и иных приложений к протоколам следственных действий).

По рассмотрению данного ходатайства следователем вынесено постановление об отказе в удовлетворении данного ходатайств в части подключения к ЭВМ, последующего просмотра и копирования информации, содержащейся на носителях (накопителях), полученных от потерпевших и изъятых у обвиняемых (фигурантов); копирования информации, содержащейся на оптических носителях информации, полученных после проведения компьютерно-технических судебных экспертиз.

Обвиняемый П.А. обратился в суд с жалобой в порядке ст. 125 УПК РФ, в которой просил признать незаконным и необоснованным отказ следователя в удовлетворении заявленного ходатайства, полагая, что доводы следователя, послужившие основанием для отказа в удовлетворении данного ходатайства, не основаны на законе.

Судами первой и апелляционной инстанции обвиняемому отказано в удовлетворении жалобы на основании следующего:

- любое подключение накопителей информации после проведения компьютерно-технических судебных экспертиз без использования специализированного криминалистического программно-аппаратного комплекса может повлечь нарушение целостности содержимого накопителей информации;

- положениями ст. 217 УПК РФ и ст. 47 УПК РФ, не предусмотрено снятие и получение обвиняемым при ознакомлении с материалами уголовного дела копии информации, содержащейся на признанных по делу вещественными доказательствами электронных накопителях.

(Апелляционное определение Судебной коллегии по уголовным делам Московского городского суда от 22.06.2015 по делу 10-7831/2015).

Выше уже отмечалось большое значение, которое имеет по делам дан­ной категории участие специалиста в собирании доказательственной ин­формации. Но наиболее важен ее дальнейший анализ, исследование дока­зательств в ходе экспертных исследований. Основной род судебных экспер­тиз в рассматриваемой сфере — компьютерно-технические. В соответствии с их задачами и спецификой объектов исследования в настоящее время в рамках этого рода экспертиз выделяют четыре вида. -

Сущность судебной аппаратно-компьютерной экспертизызаключается в проведении исследования технических (аппаратных) средств компьютер­ной системы. Аппаратные объекты включают следующие классы: персо­нальные компьютеры (настольные, портативные); периферийные устрой­ства, сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.); интегрированные системы (органай-

§ 3. Возможности судебных экспертиз при расследовании преступлений 917

зеры, пейджеры, мобильные телефоны и т. п.); встроенные системы (им-мобилайзеры, транспондеры, круиз-контроллеры и т. п.); любые комплек­тующие всех указанных компонентов (аппаратные блоки, платы расшире­ния, микросхемы и т. п.).

При производстве судебной аппаратно-компьютерной экспертизы ре­шаются задачи по классификации и определению свойств аппаратного средства, его возможностей для решения определенных функциональных задач, выяснению фактического и первоначального состояния, диагности­ке технологии изготовления, причин и условий изменения свойств (экс­плуатационных режимов), определению структуры механизма и обстоя­тельств события за счет использования выявленных аппаратных средств, как по отдельности, так и в комплексе в составе компьютерной системы.

Для проведения экспертного исследования программного обеспечения предназначена судебная программно-компьютерная экспертиза.Ее предме­том являются закономерности разработки и применения программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Видо­выми объектами являются программные объекты, включающие: системное программное обеспечение; прикладное программное обеспечение (тексто­вые и графические редакторы, системы управления базами данных, элек­тронные таблицы); авторское программное обеспечение потребительского назначения.

Задачами экспертизы данного вида являются классификация и опреде­ление основных характеристик операционной системы, используемые тех­нологии системного программирования; выявление, исследование функ­циональных свойств и состояния программного обеспечения; исследова­ние алгоритма программного продукта, типов поддерживаемых аппаратных платформ; определение причин, целей и условий изменения свойств и со­стояния программного обеспечения и др. Идентификационные задачи про­граммно-компьютерной экспертизы связаны с индивидуальным отождест­влением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы, установлением групповой при­надлежности программного обеспечения, выявлением индивидуальных признаков программы, позволяющих впоследствии идентифицировать ее автора, а также взаимосвязь с информационным обеспечением исследуе­мой компьютерной системы.

Судебная информационно-компьютерная экспертизасвоей целью имеет поиск, обнаружение, анализ и оценку информации, подготовленной поль­зователем или порожденной программами для организации информацион­ных процессов в компьютерной системе. Информационные объекты (дан­ные) включают: текстовые и графические документы (в бумажной и элек­тронной форме), изготовленные с использованием компьютерных средств; данные в форматах мультимедиа; информацию в форматах баз данных и других приложений, имеющих прикладной характер. Экспертными задача­ми здесь являются: установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модифика­ции) в компьютерной системе; определение причин и условий изменения свойств исследуемой информации; определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или ее копиям; установление участников события, их роли, места, условий, при которых была создана (модифицирована, удалена) информация; уста-

918 Глава 57. Расследование преступлений в сфере компьютерной информации

новление соответствия либо несоответствия действий с информацией спе­циальному регламенту (правилам) (например, правомерно ли конкретное использование информации, защищенной паролем) и др.

Как показывает практика, три основных вида судебной компьютерно-технической экспертизы обычно используются комплексно и, чаще всего, последовательно. Кроме того, в ходе таких пограничных исследований иногда возникает потребность привлекать специальные познания и из дру­гих научных областей. Так, например, обстоит дело с решением вопросов снятия различных парольных защит, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, рас­шифровки неидентифицируемой информации, всестороннего анализа раз­личных криптографических алгоритмов, программ и аппаратных средств. Эта область экспертной деятельности тесно связана с криптографией и за­щитой информации.

Судебная компьютерно-сетевая экспертизаосновывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому видовой предмет судебной компьютерно-сетевой экспертизы составляют факты и обстоятельства, связанные с использованием сетевых и телекоммуникаци­онных технологий, исследуемые по заданию следственных и судебных ор­ганов в целях установления истины по уголовному или гражданскому делу. Задачи судебной компьютерно-сетевой экспертизы включают практически все основные задачи рассмотренных выше видов экспертизы. Это объясня­ется тем, что ее объекты интегрированы из объектов рассмотренных выше видов экспертиз (аппаратные, программные и информационные), но лишь с той разницей, что они все функционируют в определенной сетевой тех­нологии.

По рассматриваемой категории дел могут назначаться экспертизы других классов и родов: трасологические — для анализа следов взлома, дактило­скопические — для анализа следов рук, как на внешних, так и на внутрен­них поверхностях компьютеров и их комплектующих. Судебно-экономиче-ские экспертизы (в частности, финансово-экономические и бухгалтерские) назначаются, когда, например, преступления в сфере движения компьютер­ной информации связаны с преступлениями в кредитно-финансовой сфере. Весьма распространены технико-криминалистические экспертизы доку­ментов, когда компьютер используется как средство для изготовления под­дельных документов, фальшивых денежных билетов и пр. При использова­нии средств прослушивания переговоров назначаются фоноскопические экспертизы.

Глава 58. Профилактическая деятельность следователя § 1. Понятие и содержание следственной профилактики

Расследование и раскрытие преступлений, привлечение виновных к уголовной ответственности не исчерпывают обязанностей органов предва­рительного следствия. Закон возлагает на них и специальные обязанности по предупреждению (превенции) криминала. Статья 158 УПК РФ требует от органа дознания и предварительного следствия, а такще при производст­ве судебного разбирательства по уголовному делу выявлять причины и ус­ловия, способствовавшие преступлению. Установив их, органы дознания, следователь, прокурор, суд обязаны принять специальные меры к их устра­нению с тем, чтобы тем самым предупредить совершение аналогичных или иных преступлений.

Однако сказанным не исчерпывается содержание профилактической деятельности следователя. Выявление причин и условий совершения пре­ступных посягательств, играя само по себе предупредительную роль, в то же время служит основой для других превентивных мер следователя. К их числу можно отнести следующие:

1) обнаружение и раскрытие совершенных преступлений. Таким путем не только пресекается преступная деятельность конкретных лиц, что имеет важное предупредительное значение, но и обеспечивается неотвратимость наказания, превентивная роль которого несомненна;

2) устранение выявленных причин и условий, способствовавших пре­ступлениям конкретного вида, рода или совершенных определенным спо­собом, при определенных обстоятельствах и т. п.;

3) меры воспитывающего и предостерегающего характера;

4) общепрофилактические меры, в том числе использование возможно­стей средств массовой информации, трудовых коллективов, родовых и на­циональных традиций и т. п.

Профилактическая деятельность следователя и других правоохранитель­ных органов не может преследовать цель полного искоренения преступно­сти в стране, которая была декларирована в условиях господства коммуни­стической идеологии. Как показывает опыт истории, преступность прису­ща любому общественному строю, ее развитие — результат действия определенных социальных закономерностей. Задача профилактической деятельности — не полное искоренение преступности, а эффективное сни­жение ее количественных и качественных показателей, уменьшение ее воз­действия на общество и государство, повышение уровня личной безопас­ности граждан, защиты их законных прав и интересов. В достижении этих целей профилактической деятельности следователю, как представителю го­сударственной власти, принадлежит заметная роль.

Истина по делу достигается лишь в том случае, когда полно и всесторонне установлены все обстоятельства, входящие в предмет доказывания. К числу этих обстоятельств закон (ч. 2 ст. 73 УПК РФ) относит причины и условия, способствующие преступлению, которые также подлежат именно доказыва­нию, т. е. должны быть выявлены путем применения всех процедур, преду-

Глава 58. Профилактическая деятельность следователя

смотренных законом для этого процесса. Хотя закон по понятным причинам не может содержать перечня типичных причин и условий, некоторые из них (в отдельных случаях) он включает в предмет доказывания. Так, определяя обстоятельства, подлежащие установлению по делам несовершеннолетних (ст. 421 УПК РФ), он требует выяснить условия их жизни и воспитания; по делам об общественно опасных деяниях невменяемых или лиц с временным расстройством психической деятельности следователь и суд обязаны устано­вить факт душевной болезни, поскольку именно она и служит причиной со­деянного. Вообще же следует заметить, что требование закона устанавливать по каждому делу именно причины преступления носит в большей степени декларативный характер: причина преступления — настолько сложная кате­гория, обусловленная многозначными социальными и иными зависимостя­ми, что установить ее в рамках предварительного следствия зачастую просто невозможно, если не довольствоваться шаблонными и ничего не выражаю­щими констатациями типа «влияние среды», «влияние преступного окруже­ния подследственного» и т. п. Поэтому не случайно в литературе и в практи­ческой следственной деятельности речь обычно идет об установлении об­стоятельств, способствовавших преступлению, а не их причин.

Основной род судебных экспертиз по делам этой категории - судебные компьютерно-технические, в рамках которых выделяют четыре вида:

а) судебная аппаратно-компьютерная экспертиза, заключающаяся в проведении исследования:

технических (аппаратных) средств компьютерной системы: персональных компьютеров;

периферийных устройств, сетевых аппаратных средств (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.);

интегрированных систем (органайзеры, пейджеры, мобильные телефоны и т. п.);

встроенных систем (иммобилайзеры, транспондсры, круиз- контроллеры и др.);

любых комплектующих всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. д.).

При этом решаются задачи:

классификации и определения свойств аппаратного средства; выяснения фактического и первоначального состояния;

диагностики технологии изготовления, причин и условий изменения свойств (эксплуатационных режимов);

определения структуры механизма и обстоятельства события за счет использования выявленных аппаратных средств как по отдельности, так и в комплексе в составе компьютерной системы;

б) судебная программно-компьютерная экспертиза, назначаемая для исследования программного обеспечения. Объекты включают: системное программное обеспечение; прикладное программное обеспечение (текстовые и графические редакторы, системы управления базами данных, электронные таблицы); авторское программное обеспечение потребительского назначения.

Задачами экспертизы являются:

классификация и определение основных характеристик операционной системы, используемых технологий системного программирования;

выявление, исследование функциональных свойств и состояния программного обеспечения;

исследование алгоритма программного продукта, типов поддерживаемых аппаратных платформ;

определение причин, целей и условий изменения свойств и состояния программного обеспечения;

индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;

установление групповой принадлежности программного обеспечения;

выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать ее автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;

в) судебная информационно-компьютерная экспертиза, имеющая цель поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порожденной программами для организации информационных процессов в компьютерной системе.

Информационные объекты (данные) включают:

текстовые и графические документы (в бумажной и электронной формах), изготовленные с использованием компьютерных средств;

данные в форматах мультимедиа;

базы данных и другие приложения, имеющие прикладной характер.

Экспертными задачами здесь являются: установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;

определение причин и условий изменения свойств исследуемой информации;

определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или ее копиям;

установление участников события, их роли, места, условий, при которых была создана (модифицирована, удалена) информация;

установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам), например, правомерно ли конкретное использование информации, защищенной паролем, и др.;

г) судебная компьютерно-сетевая экспертиза, основывающаяся прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Задачи этой экспертизы включают практически все основные задачи рассмотренных выше видов экспертизы. Это объясняется тем, что ее объекты интегрированы из объектов рассмотренных выше видов экспертиз (аппаратные, программные и данные), но лишь с той разницей, что они все функционируют в определенной сетевой технологии.

По делам данной категории могут назначаться судебные экспертизы других классов и родов:

судебно-трасологические — для анализа следов взлома, следов рук как на внешних, так и на внутренних поверхностях компьютеров и их комплектующих;

судебно-экономические, в частности финансово-экономические и бухгалтерские, если преступления совершаются в кредитно-финансовой сфере;

судебно-технические экспертизы документов, когда компьютер используется как средство для изготовления поддельных документов, фальшивых денежных билетов и проч.;

фоноскопические экспертизы — при использовании средств прослушивания переговоров и др.

Читайте также:

  
• Kbdhook dll что это
  
• Забыл прикрепить файл к изменению плана закупки
  
• Влияние компьютера на наше здоровье классный час 6 класс
  
• Emcp память что это
  
• Daemon tools lite virtual usb bus что это