Основи методики



Скачати 470,51 Kb.
Дата конвертації08.01.2017
Розмір470,51 Kb.
ТипНавчальний посібник
Благодарим Вас за посещение http://Ndki.narod.ru

САЛТЕВСЬКИЙ Михайло Васильович



ОСНОВИ МЕТОДИКИ

РОЗСЛІДУВАННЯ ЗЛОЧИНІВ,

СКОЄНИХ З ВИКОРИСТАННЯМ ЕОМ

Навчальний посібник


Харків 2000


УДК 343.98

Основи методики розслідування злочинів, скоєних з вико­ристанням ЕОМ / М.В. Салтевський. – Навч. Посібник. – Харків: Нац. юрид акад. України. 2000. – 35 с.
Розглянуто поняття комп'ютерного злочину, подано його класифікацію Висвітлено криміналістичну характеристику, особливості порушення кримінальних справ та системи невідкладних слідчих дій на початковому етапі розслідування. Розкрито особливості тактики слідчих дій у ситуаціях, що складаються на подальших етапах розслідування.

Для студентів, які вивчають методику криміналістичних досліджень, а також для аспірантів та практичних працівників правоохоронних органів.



Рецензенти: д-р. юрид. наук, проф. Г.А. Матусовсъкий: прокурор-криміналіст, ст. радник юстиції В.О. Кундіус.
Рекомендовано до видання редакційно-видавничою радою академії (протокол №4 від 03.04.2000р.)
Видання здійснено при технічній допомозі консорціуму Верховенство права.

Контракт Агентства Міжнародного розвитку США Адреса. Україна, 01033, Киш, вул. Саксаганського, 6


© Національна юридична академія України, 2000


I. ПОНЯТТЯ КОМП'ЮТЕРНИХ ЗЛОЧИНІВ ІА ЇХ

КРИМІНАЛІСТИЧНА КЛАСИФІКАЦІЯ
Одним із важливішим досягнень науково-технічного прогресу є якісні зміни в інформаційному обслуговуванні сус­пільства у зв'язку зі зростаючими його потребами.

У міру ускладнення завдань соціального та економічної о розвитку змінилися сутність та роль інформації, збільшилися її потоки. Інформація стала могутнім засобом наукової організації праці сучасної людини, необхідним елементом ор­ганізації та управління економічними та соціальними проце­сами Управлінський цикл починається зі збирання, опрацю­вання Інформації, оцінки її значущості для прийняття рішення пре новий управлінський крок. Можливо, тому в сучасному, науковому знанні інформацію та її рух взагалі стали інтерпретувати як компонент суспільної надбудови, що істотно підвищує ефективність наукового, виробничого та соціально-культурного розвитку.

Для вирішення завдань щодо інформаційного забезпе­чення створено локальні та глобальні засоби зв'язку, що прак­тично поєднали в єдину систему як державні, так і індивіду­альні комп'ютери, які стали незамінними супутниками людини, тими її помічниками, що можуть рахувати, думати, аналізувати, прогнозувати та виконувати її рутинні функції під час прийняття управлінських рішень.

Технізація та інформатизація суспільства, його влад­них, управлінських та виробничих структур як державного, так І приватного секторів економіки зумовили створення гло­бальних інформаційних мереж типу ШТЕРНЕТ та ФЩОНЕТ. які стали засобами вчинення нових злочинів: розкрадання ін­формації, комп'ютерних технологій, програмних засобів, кон­фіденційної інформації не тільки приватного, шле й державного значення, що стало загрожувати Інтересам державної безпеки З'явилися нові поняття – "комп'ютерна злочинність", "комп’ютерні злочини"

Комп'ютерний злочин – це протиправне використання засопів електронно-обчислювальної техніки: великих, середніх та малих машин, у тому числі персональних комп'юте-
3

рів, програмних засобів, технологій та комунікативних систем зв'язку з корисливою метою.

Отже, засобом (знаряддям) вчинення комп'ютерного злочину є комп'ютер, засоби зв'язку та програмні засоби за­безпечення. Звідси термін "комп'ютерний злочин" в етимоло­гічному та криміналістичному аспектах є неточний.

У кримінальному праві та криміналістиці вид злочину називають не за засобом (знаряддям) вчинення злочину, а за видом злочинної діяльності (вбивство, крадіжка, шахрайство) Тому для назви комп'ютерних злочинів необхідний інший термін. Сучасний комп'ютер – це обчислювальний засіб, ін­телектуальний інструментарій у руках людини. Отже,, злочини, пов'язані з використанням великих, середніх, малих та персональних ЕОМ, доцільніше називати машинно-інтелектуальними або техніко-штелектуальними злочинами. Проте це лише пропозиція – інформація для обміркування І надалі будемо продовжувати користуватися поняттям "комп'ютерний злочин" та "комп'ютерна злочинність".

До недавнього часу у чинному українському законо­давстві не було поняття "комп'ютерний злочин". Лише в 1994 р. у КК України було внесено норму – "Порушення ро­боти автоматизованих систем" (ст. 198і), сформульовану так: "Умисне втручання в роботу автоматизованих систем, що при­звело до перекручення чи знищення інформації або носіїв ін­формації, чи розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи то носіїв інформації"1

Предметом безпосереднього посягання у законі названо автоматизовані системи, а способом вчинення – умисне втручання в роботу таких систем. Аналіз наведеної норми свідчить про необхідність її пояснення, перш за все поняття "автоматизована система".

Система – це сукупність, поєднання якісно визначе­них елементів, між якими існує закономірний зв'язок або вза-

__________________________



1 Див.: Відом. Верхов. Ради України. – 1994. – № 45 – Ст. 409
4

емодія'. Тому будь-який об'єкт є системою. Системи поділяються на матеріальні та ідеальні. Автоматизована система – це самочинний пристрій (машина, апарат, прилад), який виконує за заданого програмою без посередньої участі людини процеси одержання, перетворювання, передачі та використання енергії, яка несе Інформацію2. Звідси очевидно, що автоматизованою системою є не тільки ЕОМ та їх системи, але й простий меха­нічний калькулятор, арифмометр, конвеєрна лінія верстатів, на яких проводиться якийсь цикл роботи, та ін

Сучасний комп'ютер входить у поняття "автоматизо­вана система", проте скоєний за його допомогою злочин не можна ставити в один ряд зі злочином, де як засіб вчинення було використано найпростіший арифмометр або сучасний ав­томатичний верстат (наприклад, при порушенні правил техніки безпеки). Очевидно, тому в проекті нового Кримінального кодексу України передбачено три норми (ст. 332 – 334), які мі­стяться у спеціальному розділі "Злочини в сфері використання електронно-обчислювальних систем''1.

Згідно зі ст. 198' КК України законодавець до предмета безпосереднього посягання відносить автоматизовану систему як ціле матеріальне утворення та спеціальні правила її роботи. У статті розкрито загальне поняття предмета безпосереднього посягання і названо інформацію та її носи. До способів вчинення злочину віднесені: втручання, розповсюдження, проникнення.

У проекті КК України предмет безпосереднього пося­гання визначено більш чітко, а саме:

- автоматизовані електронно-обчислювальні системи (ст. 332), персональні комп'ютери, носи інформації;

- комп'ютерна інформація (ст. 333);

- правила експлуатації автоматизованих ЕОМ (ст. 334).

У криміналістичному розумінні предмет безпосеред­нього посягання – це матеріальний предмет, з яким злочи­нець взаємодіє безпосередньо або опосередковано.

________________________



1 Словарь иностранных слов. – М, 1986 – С. 12 Проект розроблено комісією тд керівництвом президента Академії правових Українська радянська енциклопедія – К, 1984 – ТЛО – С 88 ' Словарь иностранн ' Проект розроблено І намс акад В.Я. Тащя

5

Комп'ютерний ЗІКИИН – Це ВЩЮСЮ ВШИЙ вид злочинної діяльності, засобами здійснення якої е не тільки звичайні матеріальні предмети, що називаються в трасології засобами вчинення злочину (предмети, знаряддя, зброя, фізичні явища), але й автоматизовані електронно-обчислювальні пристрої, "засоби комунікації, їх елементи та сукупності комп'ютерних засобів, які створюють системи вищого порядку.



Проблема класифікації комп'ютерних злочинів як у кримінальному праві, так і в криміналістиці поки ще перебуває в стадії вивчення, а існуючі в літературі класифікації по­требують доопрацювання. Так, у чинному кримінальному за­конодавстві України названо лише один вид комп'ютерного злочину (ст. 198і КК України), а в КК Росії– три.

У криміналістиці є окремі класифікації комп'ютерних злочинів. Так, комп'ютерні злочини пропонується поділяти нп чотири види за відношенням суб'єкта до предмета безпосере­днього посягання, а саме:

- злочинці, котрі порушують роботу автоматизованої системи, не знають, якій фірмі вона належить га яка її струк­тура, тобто сторонні;

- злочинці, які знають фірму: як сторонні, так і колишні її робітники;

- службовці фірми, але не програмісти;

- службовці фірми – програмісти. Існує поділ злочинців на три групи за цілями, які вони досягають:

1) пірати, що порушують право, створюючи незаконні копії програм та даних;

2) хакери, які неправомірно проникають (зламують) в комп'ютерні системи; вони, як правило, зрідка пошкоджують файли, їх мета – задовольнити свій "професіональний" ін­терес;

3) кракери, які вчиняють найбільш небезпечні комп'ютерні злочини: злом, крадіжку, шпіонаж та ін.1
_______________________

1 Скоромников К.С. Расследование преступлений в сфере компьютерной информации // Руководство для следователей. – М, І997. – С. 655–664.
6

Наведені класифікації по суті е поділом злочинців за відомими у методиці підставами: "злочинець – "свій" та "чужий".

Сучасний злочинець, як "свій" (співробітник ОЦ, банку, фірми), так і "чужий" (хакер, кракер), готуючись до злочину створює засоби впливу (злому, проникнення) на комп'ютерну систему самостійно або за допомогою спеціаліста – посередника. Нерідко їх безкоштовно беруть на серверах ИНТЕРНЕТа та ФИДОНЕТа. із довідників телефонних номерів та програм генерації фальшивих кредитних карт, Із навчальних засобів, щодо створення вірусів та злому паролів ИНТЕРНЕТа, які розміщуються на так званих хакерських компакт-дисках.

Серед класифікацій комп'ютерних злочинів у криміналістичний літературі1 найбільш вдалими є класифікації за спо-соболі вчинення злочин'. Наведемо іх.



1. Незаконний доступ до комп'ютерної системи або до комп'ютерної мережі можливий, коли мережа складається з двох їй-І більше комп'ютерів Незаконному доступу обов'язково передує планування і подолання системи захисту комп'ютерної системи – проникнення в приміщення, підбір пароля, шифр і таке інше з використанням спеціальних технічних, програмних, логічних засобів, діючих паролів, маскування під законного користувача. У загальному вигляді незаконний доступ зводиться до двох способів

а) "злом" зсередини, коли злочинець має фізичний до ступ до комп'ютера (термінала), з якого йому є доступною не­ обхідна інформація, і він може, як правило, протягом короткого час' працювати без стороннього контролю ("атакувати" не більше однієї хвилини);

б) "злом" ззовні, коли злочинець не має безпосеред­нього доступу до комп'ютерної системи (термінала), але має можливість віддаленого доступу – через мережі проникнути в захищет систему для впровадження спеціальних злочинних програм, які відкривають йому доступ до конфіденційної ін-
____________________

1 Див. Біленчук П.Д., Котляревський О.І. Характеристика комп'ю­терних злочинів // Криміналістика. – К, 1998 – С. 365
7

формації, що обробляється або зберігається. Час доступу – не більше однієї хвилини. Наприклад, робітник банку, бажаючи вивідати пароль, яким користується адміністратор на високо му рівні доступу, діє так. Запускає на своїй машині програму, яка перехоплює та запам'ятовує паролі, що вводяться з її клавіатури. Потім під приводом якоїсь проблеми щодо роботи викликає адміністратора, який, нічого не підозрюючи, війде в систему під своїм іменем та розкриє таким чином свій пароль. Таких варіантів проникнення безліч.

Злочини в міжнародних комп'ютерних мережах набу­вають національного характеру, оскільки кракер у такий спосіб з будь-якого термінала може проникнути в чужу закриту комп'ютерну систему.

2. Незаконне перехоплення – це заволодіння про­грамним забезпеченням, даними, конфіденційною інформацією тощо. Перехоплення здійснюється за допомогою технічних засобів та пристроїв зв'язку, які знаходяться в комп'ютерній системі або в мережі чи рухаються в ній.

Раніше зазначалося, щоб "перехопити" електричні си­гнали, які надсилає злочинець, йому необхідно підключити технічний пристрій, що фіксує проходження электросигнала по мережі або його рух у комп'ютерній системі при функціо­нуванні. У цьому разі технічний пристрій буде перехоплювати інформацію, яка передається і яку злочинець розкрадає.



3. Крадіжка машинного часу – один Із поширених комп'ютерних злочинів, сутність якого полягає в незаконному використанні комп'ютерної системи з наміром не сплачувати за одержану послугу. Мета злочинної діяльності – безкоштовне користування послугами автоматизованого телефонного зв'язку (АТЗ), ресурсами потужного комп'ютера чи комп'ютерної системи для розв’язання задач, які потребують складних розрахунків (наприклад, для визначення закодованих паролів, що розкрадаються з інших вузлів). Хакер проходить через численні системи і таким чином "заплутує сліди", щоб приховати своє справжнє ім'я та місце знаходження.

4. Порушення автоматизованих систем не менш поширений злочин, сутність якого– незаконна заміна комп'ю­терних даних або програм, наприклад, впровадження "логічної
8

бомби", "троянського коня", "черв’яка" тощо. Це злочинні програми типу вірусів, які спричиняють порушення нормаль­ного функціонування комп'ютерної мережі. Наприклад, інженер-програміст АвтоВАЗу просив підвищення заробітної плати за посадою, але йому відмовили. Тоді він заклав у програму, яка керує роботою головного складального конвеєра, "логічну бомбу" з метою зупинити конвейєр у певний час. Сам же програміст пішов у відпустку. Коли головний конвейєр зу­пинився, а працюючі інженери-програмісти не змогли його за­пустити, керівництво заводу викликало з відпустки "вимагача", пообіцяло підвищити заробітну плату, якщо він запустить конвейєр. Типовий випадок навмисного комп'ютерного злочину, але тоді в СРСР (1987 р.) такого злочину ще не існувало1.



5. Комп'ютерне шахрайство полягає у використанні шахраєм специфічних особливостей сучасних комп'ютерних технологій для досягнення поставленої мети, наприклад: кра­діжки грошової готівки з банкоматів (метро, телефонні станції), грошей з банківських рахунків: виготовлення копій на мікрочипах (підроблення пластикових карток, електронних но­мерів мобільних телефонів, кодів, паролів до комп'ютерів); комп'ютерне підроблення штампів, печаток та їх відбитків у документах, цінних паперах; підроблення паперових грошей: використання ігрових автоматів

П.Д. Біленчук та О.І. Котляревський2 до числа комп'ю­терних злочинів відносять несанкціоноване копіювання, комп'ютерний саботаж, використання дошки електронних об'яв (ВВ8) та крадіжку комерційної таємниці. Проте всі ці злочини так чи Інакше є порушенням роботи автоматизованих систем, про що згадувалося вище.


__________________________



1 Див Венгеров А.Б. Право и информация в условиях автоматизации управлення. – М., 1978. – С. 178.

2 Див. Криміналістика /За ред. П Д. Біленчука. – К, 1998. – С. 389–393.
9

П. КРИМІНАЛІСТИЧНА ХАРАКТЕРИСТИКА
Комп'ютерний злочин та його характеристика у кри­міналістиці досліджуються вперше У літературі1 торкаються лише питання про використання засобів комп'ютерної техніки, головним чином ЕОМ та персональних комп'ютерів, де криміналістична характеристика як головна категорія методо­логії науки криміналістики чітко не визначена і за її елементами не розглядається. Згадка про криміналістичну характеристику комп'ютерних злочинів з'явилася тільки останнім часом.

Спробу дослідити криміналістичну характерної комп'ютерних злочинів було зроблено в підручник - для вузія. Проте й у ньому елементи криміналістичної характеристики автори чітко не сформулювали та не назвали, обмежившись лише способом, який подано в технічній інтерпретації.

Криміналістична характеристика автором розглядається як фундаментальне поняття загальної теорії науки криміна­лістики, головний елемент методики розслідування злочинів

Криміналістична характеристика – це інформаційна модель, яка являє собою якісно-кількісний опис типових ознак конкретного виду (групи) злочинів,3 у тому числі й комп'ютерних.

У структурному плані криміналістична характеристика злочину, у тому числі й комп'ютерного, включає чотири еле­менти: 1) предмет безпосереднього посягання (ПБП); 2) спосіб вчинення злочину; 3) слідова картина в широкому її розумінні як сукупність матеріальних та Ідеальних слідів-відбитків: 4) особа злочинця. Розглянемо їх.

___________________



1 Див.: Біленчук ПД, Котляревський O.L Основи комп'ютерної криміналістики // Криміналістика / За ред П.Д. Біленчука. – К, 1998. – С. 364–372.

2 Россинская Е.Р. Основные направлення использования современ­ных компьютерных технологий в раскрытии й расследовании преступлений // Криминалистическое обеспечение деятельности крими­нальной миліший й органов предварительного расследования / Под. ред. Т.Н. Аверьяновой, Р.С. Белкина. – М, 1997 – С. 386

3 Див. Криминалистика: Специализир курс / Под ред. М.В Салтевского. – К., 1987 – С. 307.

10

Предмет безпосереднього посягання (ПБП) – це ма­теріальний предмет органічної чи неорганічної природи, з яким злочинець входить у взаємодію, змінює та перетворює його. Разом з тіш змінюється й впливаючий (слідоутворюю-ччй) об'єкт, оскільки взаємодія включає не тільки дію, але й протидію Внаслідок цього утворюються сліди Звідси ПБП – це об’єкт, на який спрямовано вплив злочинця Для комп'ютерного злочину (КЗ) предметами безпосереднього посягання є фізичні пла, так чи інакше пов'язані з АЕОМ, їх системами та засобами комунікації – комп'ютерними мережами.

Названі ПБП – комп'ютери, засоби введення та виве­дення інформації, матеріальні носи, засоби комунікації (комп'ютерні мережі) виконують у даному разі подвійну інформативну функцію з одного боку, вони є джерелами власний інформацу матеріальних речей, а з другого – є засобом відображення інформації механізму взаємодії його зі злочин-;де\' Тзю предмети в криміналістиці та Інформатиці називаються носіями Інформації Це магнітні стрічки, м'які та жорсткі дисіся, мікросхеми. різні електронні запам'ятовуючі приладиющй.

Особливість комп'ютерних злочинів полягає в тому. що законодавець як предмет безпосереднього посягання назвав своєрідний нематеріальний об'єкт – комп'ютерну Інформацію, яка існує в матеріальному і за інтерпретацією філософів являє собою сторону загальної якості матерії – відбиття Тому комп'ютерна інформація в криміналістичному аспекті подібна до існування Ідеального сліду пам'яті в субстраті мозку людини Відмінність полягає лише в тому, що слід пам'яті є продуктом суб'єктивного відображення біологічного об'єкта, а комп'ютерна інформація – одна Із сторін відображення об'єктів неживої природи, фізичних тіл та їх систем

Отже, предметами безпосереднього посягання в комп'ютерному злочині є матеріальні об'єкти, які можна кла­сифікувати так. 1) предмети – джерела власної Інформації (ТОМ пристрої введення та виведення Інформації, засоби ко-

__________________________

ДИБ Философский словарь. – М. 1986.
11

мунікації комп'ютерних систем), 2) предмети – носії (зберіганні) відображеної інформації; 3) комп'ютерна Інформація.



Спосіб вчинення комп'ютерного злочину досить скла­дний і являє собою багатоходові шахрайські операції в комп'ютерній системі. Так, щоб вчинити злочин та несанкціо­новане проникнути в чужу комп'ютерну систему через мережу ШТЕРНЕТ, злочинець повинен: а) розробити засоби, які дають йому змогу несанкціоноване дописувати в масиви "операційного дня" необхідну інформацію; б) як законний ко­ристувач із неустановленого термінала, що має телекомунікативний зв'язок з єдиною мережею ЕОМ, протягом короткого часу (не більше однієї хвилини) вести "атаку"; в) підготувати спеціальну програму, за допомогою якої на користь будь-яких реальних або вигаданих осіб відкрити технологічні рахунки, що мають первісний нульовий залишок; г) для ускладнення бухгалтерського контролю інсценувати ситуацію збою про­грами, внаслідок чого не видаються контрольні та оборотні ві­домості за балансовими рахунками; д) мати підготовлених співучасників, які одержали б із рахунків гроші в заздалегідь передбаченому порядку.

Викладене вище свідчить про значну складність струк­тури механізму здійснення злочинів, а отже й про труднощі виявлення їх ознак_ На сьогодні відомо багато злочинних спо­собів учинення комп'ютерних злочинів. Серед них такі, що за­стосовуються при скоєні комп'ютерного шахрайства за до­помогою пластикових платіжних засобів (111 ІЗ), наприклад: підроблення пластикових карток (ПК); крадіжка, використання загублених ПК; махінації під час пересилання ПК; шахрайство з поштовими телефонними замовленнями; відкриття картки на чужий рахунок; багаторазові зняття з рахунку за допомогою ПК; використання помилки при округленні; збут викрадених ППЗ (за класифікацією О.М. Юрченка).



Слідова картина комп'ютерного злочину складна і опосередкована характером слідів, які виникають внаслідок взаємодії предмета безпосереднього посягання з енергетичним впливом злочинця. Існують два види впливу: механічний та фізичний.

Механічний вплив супроводжується появою трасоло-
12

гічних слідів (видимих або невидимих) самого широкого про­філю, оскільки злочинець безпосередньо пошкоджує, змінює або взагалі знищує комп'ютер чи програмний засіб, лінію ко­мунікативного зв'язку. Сліди, які утворюються, можуть бути слідами рук. ніг злочинця або знаряддя вчинення злочину. Ро­бота з такими слідами відома з трасології.



Фізичний вплив на комп'ютерну систему або комуні­кативну мережу являє собою зміни, що виникають під час дії електричного сигналу, який подається злочинцем. Оскільки еклектичний сигнал злочинця – це певний код, програма дії, то, потрапляючи в комп'ютерну систему, він взаємодіє з елек­тромагнітними сигналами, за допомогою яких записана та збе­рігається необхідна інформація. Внаслідок взаємодії таких си­гналів виникає фізичний вплив на електронному рівні та відбз'вається зміна інформації, що зберігається в комп'ютерній системі, або її знищення. Такі сліди є невидимі, вони динамічні та являють собою енергетичну зміну в конкретній точці магнітного носія. Будь-які зовнішні механічні сліди не з'являються (вінчестер, плата, мікросхема зовні не змінюються). Енергетичні сліди, які виникли, порушують нормальну роботу системи і, таким чином, виявляються.

Енергетичний слід в структурі фізичного тіла являє собою енергетичний "острівець" неоднорідності, який відріз­няється від розташованих поряд частин будь-якого предмета. Якщо схематично уявити структуру фізичного тіла як однорідне енергетичне поле, то внаслідок дії причини стан поля може змінитися повністю (наприклад, розмагнітиться магнітний предмет або зміниться тільки якась частина у місці впливу), тобто виникне "острівець" неоднорідності – енергетичний слід Так утворюються електромагнітні сліди запису звукових та відеосигналів на магнітних носіях.

Залежно від енергії взаємодії та природи фізичних тіл, що взаємодіють, виникають різні сліди-зміни: механічні, структурні, електричні, теплові, електромагнітні тощо. Для комп'ютерних злочинів характерні два види енергетичних слідів: магнітні та електричні. Ці сліди є невидимі та принци­пово відрізняються один від одного Магнітний слід – стати­чний, відносно сталий у часі, локалізований на енергетичному
13

полі. Електричний слід можна приблизно уявити як змивній стан електричного потенціалу з конкретній точці фізичного тіла, тобто я\ наявність електричного струму, який рхаєтьоі в носії

Тому електричний енергетичний слід – динамічний, він постійно рухається. І після проходження електросигкалу у провідник' не залишається будь-яких помітних змін. Звідси засоби та технології виявлення, фіксації га дослідження таки.ч слідів мають свої специфіки.

Особа злочинця. Той. хто вчиняє комп'ютерний злочин, – це не просто людина, яка вміє користуватися комп'ютером. Це нерядова особа, яка володіє технологіями розроблення програмних засобів. Злочинець може сам написати програму, він вільно аналізує чужі програми, здатний знаходити в них прогалини-недоопрацювання (хиби) та використовувати їх для вчинення несанкціонованих дій: перехоплювати інформацію, змінювати її зміст або взагалі знищувати. Злочинець знає методи та засоби захисту комп'ютерів, комунікативних мереж та Інформації, що зберігається в банках. Він може "зламувати" комп'ютери, банки інформації, Інформаційні мережі та використовувати Інформацію > своїх злочинних цілях. Одним словом, це спеціаліст з комп'ютерної технології, який уміє використовувати її з корисливою метою. У літературі таких спеціалістів стали назвати хакерами (злочинці, серед яких існує спеціалізація).

Хакери. які займаються крадіжкою Інформації з ком­п'ютерів, комп'ютерних мереж, називаються крекерами, а особи, які незаконно використовують зі злочинною метою мережі телефонних компаній – фрикерами. Хакерів, які спеціалізуються на крадіжці грошових коштів з використанням комп'ютерних операцій, називають кіберзлодіямй, а осіб, що спеціалізуються на збиранні та торгівлі піратськими програмними засобами – торгашами або піратами.

За результатами досліджень сучасний комп'ютерний злочинець має вік 15-45 рокіз, причому 33% становлять особи віком до 20 років, 87% – чоловіки. Більшість хакерів – учні коледжів, університетів, при цьому 77% злочинців мали
14

середній Інтелектуальний рівень розвитку І лише 21% – ви­щий за середній. У більшості злочинців (52%) була спеціальна підготовка в сфері інформації, а 97% – це службовці державші их закладів, які використовують комп'ютерні засоби.

Комп'ютерний злочинець, як правило, – творча, ду­маюча особа з нестандартним мисленням, професіонал у своїй справі, який виявляє інтерес до роботи АСУ. Здебільшого це раніше не судимі злочинці-одиночки, хоча вже з'явилися ор­ганізовані угруповання, учасниками яких можуть бути керівник підприємства з комерційних структур, державні службовці, які беруть участь у фінансових аферах Група може складатися з осіб, які знаходяться на різних континентах.
Ш. ОСОБЛИВОСТІ ПОРУШЕННЯ

КРИМІНАЛЬНИХ СПРАВ ТА Н ЕЩДКЛ А ДНІ

СЛІДЧІ Дії НА ПОЧАТКОВОМУ ЕТАПІ

РОЗСЛІДУВАННЯ
Повідомлення про злочин. пов’язаний із несанкціоно­ваним проникненням у комп’ютерну систему або комп'ютерну комунікативну мереж'-, найчастіше надходять у правоохоронні органи безпосередньо від потерпілих – користувачів, коли нормальна робота системи стає об'єктом незаконного доступу якогось злочинця

Комп'ютер починає повідомляти фальшиві дані, часто відбуваються збої, знищується частина корисної Інформації або вся, через що стають частішими скарги клієнтів комп'ютерної мережі. Усе це ознаки вчинення якихось зло­чинних дій – неправомірного проникнення, застосування шкідливих програм злочинцем або порушення правил експлуатації комп'ютерної системи.

Сторонній спостерігач, який знаходиться в колективі користувачів комп’ютерної мережі, може помічати такі особ­ливості в поведінці окремих співробітників: а) часте викорис­тання падзфочної роботи; б) немотивовані відмови обслугову­вати комп'ютери1 мережу та вимога надання відпустки, в) не­сподіване придбання майна, яке дорого коштує, г) зберігання
15

на робочому місці різних комп'ютерних, фінансових бланків та інших таких документів; д) поява випадків прихованого пе­реписування окремих даних без серйозних на те причин; е) ви­явлення надзвичайного інтересу співробітником до змісту чужих роздруків (лагтингів), які виходять із принтерів. Певна річ, що таку інформацію (власне ознаки) про незаконні дії можна одержати, застосовуючи оперативно-розшукові заходи органів дізнання. Керівник комп'ютерної системи або індивідуальний користувач, який підключився до комп'ютерної мережі, повинен сповістити в правоохоронні органи про ознаки порушення роботи системи.

Звідси кримінальні справи про комп'ютерні злочини можуть бути порушені як за повідомленнями та заявами гро­мадян – користувачів комп'ютерної системи або керівників установ, фірм, в яких є комп'ютерні системи, так і за матеріа­лами органів дізнання МВС та СЕ, де є спеціалізовані підроз­діли боротьби з організованою злочинністю, зокрема економі­чною та комп'ютерною.

У разі надходження у правоохоронні органи заяв або повідомлень від користувачів розслідуванню передує попередня перевірка, яку слідчий здійснює яри сприянні органів дізнання, контрольно-ревізійних органів.

Збирання матеріалів про ознаки злочину та їх перевірку проводить орган дізнання. Перед порушенням кримінальної справи орган дізнання подає матеріали слідчому Останній ви­рішує питання про порушення справи і разом з оперативним робітником розробляє план реалізації оперативних матеріалів. Як у першому, так і другому випадках до числа невідкладних першочергових слідчих дій належать: огляд, обшук, виїмка, затримання, допит.

Коли встановлено підозрюваного, то затримання слід проводити негайно, ізолювати його від доступу до комп'ю­терних засобів, здійснити огляд та обшук робочого місця, а також обшук за місцем проживання. Під час огляду слід звернути увагу на наявність комп'ютера, ліній та засобів зв’язку, які злочинець використав для проникнення в комп'ютери" мережу. При особистому обшуку треба вилучити пейджер, созовий телефон, пристрій для встановлення транспортного засобу під


16

охорону, а також інші пристрої дистанційного електронного корування, які здатні подавати радіосигнали та за допомогою яких злочинець може знищити в своєму або чужому комп'ютері сліди, котрі він залишив при несанкціонованому проникненні. Дискети, диски, чорнові записи програм, журнали реєстрації роботи на комп'ютері та деякі інші документи підлягають вилученню. Не рекомендується дозволяти затри­маному самостійно користуватися засобами зв'язку. Він може знищити необхідні докази

Виявлення, огляд та вилучення комп'ютерних засобів можуть проводитися не тільки під час слідчого огляду (ст. 190 КПК), але й ході інших слідчих дій, наприклад, обшуку (ст. 178 КПК), виїмки (ст. 179 КПК), при відтворенні обстановки та обставин події (ст. 194 КПК), перевірці показань на місці, слідчому експерименті, організованих заходах під час попередньо/ перевірки повідомлень та заяв про ознаки злочину

Провадження слідчої дії потребує ретельної підготовки, зумовленої особливостями комп'ютерних засобів.

Слід пам'ятати, що приміщення та комп'ютерні засоби, як правило, знаходяться під надійною електронною охороною і один хибний крок може призвести до непоправних наслідків. Наприклад, інформація на вінчестері може бути знищена автоматично при: а) розкритті кожуху комп’ютера, б) відчиненні кімнати, де знаходиться комп'ютер; в) за інших обставин, відомих лише керівникові підприємства (фірми). У практиці застосовуються такі способи знищення інформації, що зберігається в комп'ютері: дистанційний (по локальній ме­режі); контактний (натиснення на кнопку тривоги); мовний (передача усного повідомлення телефоном на пейджер, який знаходиться в комп’ютері); електронно-хвильовий (застосу­вання пристрою "брелок").

Тому запропоновані рекомендації призначені для слід­чих, дізнавачів, щоб кваліфіковано проводити слідчий огляд, обшук та виїмку комп'ютерних засобів. Для того, щоб одер­жати оптимальні результати, до участі в слідчій дії відповідно до ст. 128і КПК треба обов'язково залучити спеціаліста з комп'ютерної техніки.


17

Щодо тактики слідча дія має три етапи: підготовчий, робочий та завершальний. Розглянемо їх.



Підготовчий етап потребує виконання низки дій 1. У керівника підрозділу, особи, яка відповідає за експлуатацію комп'ютерної техніки, або Іншого співробітника організації, фірми необхідно взяти пояснення, а якшо кримінальну справу порушено, то допитати їх та з'ясувати такі обставини:

а) чи заблоковано приміщення, в якому знаходиться комп'ютер, електронною системою допуску або охоронною сигналізацією та які технічні засоби забезпечення використо­вуються для цього. Оскільки систему блокування обирає кори­стувач, необхідно витребувати на неї документацію та відпо­відний електронний або фізичний пароль (код), а в деяких ви­падках – і додатковий пристрій (електронний ключ) для до ступу до об'єктів, що охороняються. При цьому слід пам'ятати, що електронне блокування приміщення з'єднано з системою блокування самознищення важливої інформації в комп'ютері, яка працює від вмонтованого в комп’ютер джерела живлення. У разі порушення встановленого порядку входу в приміщення спрацьовує захист і комп'ютер знищує інформацію на вінчестері, навіть якщо він відключений від мережі живлення. Фірми, які застосовують подібні системи знищення важливої інформації на комп'ютері, обов'язково мають надійно заховану щоденну копію цієї Інформації або використовують "дзеркальний" вінчестер, який знаходиться на значному віддаленні від основного та під особливою охороною. Вміст "дзеркального" є точною копією основного вінчестера, будь-які зміни в якому простежуються що секундно;

б) які є засоби зовнішньої охоронної сигналізації та внутрішньої безпеки інформації, що знаходиться в комп'ютері;

в) чи встановлено спеціальні засоби в комп'ютері для знищення інформації у разі спроби несанкціонованого доступу до неї (з'ясувати місце знаходження організації, яка встановила цю систему);

г) чи є необхідним пароль (додатковий пристрій – електронний ключ) для доступу до інформації (окремих задач,
18

областей даних тощо), яка знаходиться в комп'ютері, чи до окремих й частин; які правила його застосування; чи спричиняє порушення цих правил пошкодження інформації;

д) чи з'єднані (включені) комп'ютери в локальну ме­режу підприємства (фірми), об'єднання; яка схема локальної мережі, основні правила її безпечного використання;

е) чи проводилося обов'язкове резервне копіювання даних з введенням повного протоколу роботи комп'ютера за день; чи є протоколи роботи комп'ютера протягом дня. у яких відповідальних осіб вони знаходяться.

Якщо комп'ютер підключено до мережі ШТЕРНЕТ (ШТРАНЕТ), то попередньо необхідно вилучити договори у керівника підприємства (фірми), де буде проводитися огляд, негайно зв'язатися з мереженим адмшістратором-провайдером вузла, до якого підключено дане підприємство (фірма), та ор­ганізувати за його допомогою вилучення і зберігання елект­ронної інформації, яка належить підприємству (фірмі) або на­ дійшла на його адресу.

Вилучити та вивчити документацію, пов'язану з за без печенням безпеки комп'ютерної інформації на підприємстві (фірмі), що становить інтерес для слідства; вилучити протоколи та резервні копії на вінчестері. За наявності протоколів можна відновити вилучену (стерту) інформацію на вінчестері (магнітному носії).

Перед тим як безпосередньо приступити до огляду, сидячий ознайомлює спеціаліста з поясненнями чи протоколами допитів, вилученою документацією та копіями. Складається та обговорюється план проведення огляду (як безпечно для збереження комп'ютерної інформації війти в приміщення, як відключити комп'ютери від мережі, як зупинити їх роботу тощо).

Робочий етап огляду починається з усунення блоку­вання вхідних дверей Слідчий пропонує спеціалісту, який входить до складу слідчо-оперативної групи, виконати дії, спрямовані на недопущення пошкодження інформації Ззовні, наприклад, по модемному, пейджерному чи радіозв’язку. Для цього необхідно:

а) відсторонити співробітників підприємства (фірми)


19

від комп'ютерних засобів та розмістити їх у приміщенні Б яком' виключено використання будь-яких засобів зв'язку.

б) у процесі огляду не приймати допомоги від співробітників підприємства (фірми);

в) вилучити у персоналі пейджери, електронні записні книжки, "ноутбуки", індивідуальні пристрої вимкнення сигна­лізації автомобіля тощо;

г) зафіксувати інформацію на екранах працюючих комп'ютерів фотографуванням чи складанням креслення;

д) вимкнути живлення міні-АТС та опечатати її;

е) скласти схему підключення зовнішніх кабелів до комп'ютерних пристроїв та позначити кабелі для правильного відтворення з'єднання у подальшому;

є) ізолювати комп'ютери від будь-якого зв'язку Іззовні: модемного, комп'ютерної мережі, радіозв'язку;

ж) відключити всі комп'ютерні засоби від джерел жив­лення (у тому числі й від безперебійних джерел):

з) екранувати системний блок комп'ютера в спеціальний футляр.

Водночас Ь діями спеціаліста слідчий візуально фіксує загальну картину місця події, фотографує загальний вигляд обстановки (оглядова зйомка), організує охорону приміщення та спостереження за переміщенням осіб – співробітників під­приємства (фірми). Фіксує вузловою зйомкою місце розташування та зовнішній вигляд комп'ютерних засобів.

Спеціаліст тим часом оперативно виконує дії згідно з планом, розробленим зі слідчим. Зовнішнім оглядом установ­люються такі специфічні обставини стосовно комп'ютерних засобів, які заносяться до протоколу:

а) склад комп'ютерного засобу: наявність системного блоку, монітора, клавіатури, принтера, модема, безперебійного джерела живлення, колонок та інших периферійних пристроїв;

б) розташування пристроїв на передній панелі систем­ного блоку; наявність та види пристроїв зберігання інформації (дисководи), а також пристроїв зчитування кредитних та паро­ льних карт І т. ін. (особливо відмічається наявність не відомих йому пристроїв, наприклад, для знищення інформації);

в) розташування роз'єднань на задній панелі системно-
20

го блоку, наявність та види вмонтованих пристроїв, мереженої плати, модема (відмічається, чи був він підключений до теле­фонної або Іншої лінії зв'язку); наявність портів послідовного та паралельного каналів (зазначається, чи були вони підключені до зовнішніх ліній зв'язку).



Завершальний етап огляду включає складання прото­колу, схем, плану. Кабелі, що вимикаються, підлягають маркі­руванню з метою відтворення з'єднання при провадженні на­ступної комп'ютерко-технічної експертизи. Екранований сис­темний блок комп'ютера, принтер, виявлені дискети, магнітні стрічки та інші носії комп'ютерної інформації (наприклад роздруківки) вилучають та опечатують, про що зазначається у ГфОТПКОШ.

У протоколі слідчої дії підлягають обов'язковому опису

1) системний блок:

- розміри блок;

- найменування фірми - виготівника, модель, марка;

- ідентифікаційний номер.

2) принтер:

- розміри;

- найменування фірми - виготівника, модель, марка;

- ідентифікаційний номер,

3) модем:

- розміри;

- найменування фірми - виготівника, модель, марка;

- ідентифікаційний номер;

4) гнучкі магнітні диски (дискети):

- розміри;

- тип:

- найменування фірми - виготівника;



- фірмові та рукописні написи на наклейках (у разі їх наявності).

Допит підозрюваного провадиться після затримання. Проте рекомендується готуватися до нього заздалегідь Тому допит проводиться, як правило, після огляду, обшуку та виїмки, а Інколи й після допиту свідків.
21

Зміст допиту підозрюваного визначається його спеці­альністю та формою допуску до комп'ютерної системи. Це може бути "свій" (співробітник колективу комп'ютерної сис­теми, обчислювального центру, програміст, інженер-наладчик та ін.), а також "чужий" (хакер, який проникає в комп'ютерну мережу та знаходиться за тисячі кілометрів від місця виявлення ознак комп'ютерного злочину). У всякому разі треба вияснити його місце знаходження, як часто він його змінював, місце роботи, професію, освіту, взаємовідносини зі співробітниками, уклад життя, сферу інтересів, звички, нахили, коло знайомих, навички програмування, ремонту та експлуатації обчи­слювальної техніки, яку апаратуру він має, де і на які кошти її придбав тощо.

Допитуючи свідків, треба встановити дані про ознаки та час порушень роботи в комп'ютерній системі або мережі, як часто порушення відбувалися, у чому виявлялися. Особливу увагу слід приділити збиранню інформації про операторів, програмістів: які порушення встановлених правил оформлення та проходження документів вони допускали, як часто в їх роботі виникали випадки розбіжностей між даними бухгалтерського, машинного та інших видів обліками; які невідповідності спостерігалися в машинограмах та інших документах, підго­товлених такими особами.

Отже, якщо ознаки комп'ютерного злочину встановлено та їх достатньо для порушення кримінальної справи і початку розслідування, то, на думку автора, виникають три слідчі ситуації, а саме:

- вчинено неправомірний (несанкціонований) доступ у комп'ютерну систему чи мережу;

- вчинено комп'ютерний злочин, пов'язаний із ство­ренням та розповсюдженням шкідливих програм;

- вчинено злочин, пов'язаний з порушенням правил експлуатації комп'ютерної системи чи мережі.

22

IV. ОРГАНІЗАЦІЙНІ ТА ТАКТИЧНІ ОСОБЛИВОСТІ



СЛІДЧИХ ДІЙ НА ПОДАЛЬШИХ ЕТАПАХ

РОЗСЛІДУВАННЯ
Наведені вище три ситуації визначають загальний на­прям розслідування, оскільки кожна з них відображує лише рі­зновид одного й того ж комп'ютерного злочину. Звідси плану­вання починається з будування загальних версій, спрямованих на максимально повне виявлення обставин, що підлягають до­казуванню. К.С. Скоромников запропонував головні версії. Наведемо деякі з них з невеликими змінами1.

1. Установлення факту несанкціонованого проникнення в інформаційну комп'ютерну систему або мережу.

2. Установлення місця несанкціонованого проникнення в комп'ютерну систему чи мережу

3. Установлення часу вчинення злочину.

4. Установлення виду та надійності захисту комп'ю­терної інформації.

5. Установлення способу несанкціонованого проник­нення в комп'ютерну систему чи мережу.

6. Установлення осіб, які вчинили комп'ютерний зло­ чин.

7. Установлення шкідливих наслідків, матеріальної шкоди.

8. Установлення причин та умов, які сприяли вчиненню злочину.

Розглянемо організаційно-тактичні дії слідчого в типових ситуаціях, додержуючись цієї схеми розслідування.



1. Вчинено неправомірний доступ в комп'ютерну систему чи мережу. Система може являти собою окремий комп'ютер з його терміналом (принтер, модем, телефон) або сукупність комп'ютерів, поєднаних засобами зв'язку. З'єднання невеликої кількості комп'ютерів у межах установи, фірми, району, міста створюють локальні мережі. З'єднання на рівні країни чи декількох країн формують глобальні комп'ютерні

______________________



1 Див. Скоромников К.С. Расследование преступлений в сфере ком­пьютерной информации // Руководство для следователей. – М, 1997. – Гл.42
23

мережі типу ШТЕРНЕТ, які являють собою об'єднання майже всіх країн світу

Проникнути в комп'ютерну систему можна двома шляхами

а) за допомогою комп'ютера, який належить конкретній організації, фірмі (у цьому разі злочинця слід шукати серед "своїх"),

б) Із термінала будь-якого Іншого комп'ютера, який входить в локальну або глобальну комп'ютерну мережу

Установлення місця проникнення починається я з'ясування структури комп’ютерної мережі Якщо це локальна система, яка містить у собі два чи три комп'ютери (установа, фірма), то достатньо екранувати (захистити) комп'ютери від зовнішнього електромагнітного впливу та здійснити їх огляд за участю спеціаліста Зафіксувати загальний технічний стан комп'ютерів, наявність Інформації, яка зберігається, провести огляд, обшук, виїмку документів Інструкцій, що регулюють правила експлуатації та допуску до роботи на комп'ютері, протоколів, журналів тощо

Провести допити осіб, які мають доступ до працюючої комп'ютерної системи Під час допшу встановлюють, як часто спостерігалися збої в комп'ютері, хто в цей час працював на Інших комп'ютерах локальної системи, якими користувалися дискетами (із записами чи чистими), як давно та за чиєю участю поновлювалися коди, паролі та Інші захисні засоби, хто приносив на роботу дискети, диски під приводом комп'ютерної гри або перезапису Хто з робітників часто здійснює різні перезаписи, цікавиться роздруківками операторів Інших комп'ютерів локальної системи І т ш

Треба мати на увазі, що місце несанкціонованого про­никнення може бути безпосереднім або віддаленим (опосеред­кованим) Іншими комп'ютерними системами. Безпосереднє місце, в свою чергу, може бути очевидним у разі механічного впливу на матеріальну систему (наприклад, пошкодили якусь схему чи викрали диск І т ш ), або коли злочинець пошкоджує програмні засоби чи Інформацію, що зберігається в комп'ютерному банку, як з безпосереднього, так І з будь-якого віддаленого комп'ютера
24

Складніше встановити місце проникнення, оскільки в такій системі, як ШТЕРНЕТ, мільйони комп'ютерів І з кожного, володіючи певними знаннями, можна проникнути в будь-яку індивідуальну систем Для вирішення такого завдання треба проводити попереднє спеціальне дослідження, запроїт вати спеціалістів або призначати експертиз



Установлення часу вчинення злочин – менш складне завдання, оскільки в комп'ютерах установлено поточний час. яким \сі операції (незаконне проникнення та введення будь-якої інформації) фіксуються з точністю до хвилин І секунд в оксрашвнш пам'яті ЦІ сліди проникнення та характер злочинної операції можна встановити шляхом слідчого огляд комп'ютера чи роздруківок або перегляду дискет, а також шляхом допит свідків н числа співробітників даної комп’ютерної системи

Спосіб вчинення комп'ютерного злочин є очевидним прІ-> безпосередньому проникненні та прихованим при фізическом проникненні з віддаленого місця вчинення злочин Інколи встановити його можна шляхом допиту свідків Ь числа співробітників комп'ютерної локальної мережі провадженням судової комп'ютерно-технічної експертизи Перед експертом звичайно ставлять питання 'У який спосіб міг блти вчинений несанкціонований доступ до даної комп'ютерної системи9"'

Для встановлення способу вчинення злочин може быти проведено слідчий експеримент з метою можливості подолати (зламати) захист комп’ютерної системи одним Ь запро­понованих способів Слідчий експеримент нерідко дає змог встановити характер дій оператора, умисна чи не умисна від­булася зміна, збій системи



Установлення особи, яка вчинила злочин, є одним з головних завдань наступного етап розслідування Дії слідчого щодо встановлення фактів доступу, способ та час прони­кнення в комп’ютер систем так чи Інакше спрямовані на рОдІЩк злочинця Огляд, виїмка, допит, слідчий експеримент т~а судова комп'ютерно-технологічна експертиза дають змогу визначиш коло підозрюваних осіб Допитуючи підозрюваного, слід пам’ятати, що несанкціонований доступ до закритої комп'ютерної системи чи мережі може здійснити лише спе-
25

ціаліст. Тому пошук треба починати з технічного персоналу пошкодженої комп'ютерної системи чи мережі, розробників відповідних систем, операторів, програмістів, інженерів зв'язку, спеціалістів по захисту інформації та інформаційних комп'ютерних систем.

У осіб, які підозрюються в несанкціонованому доступі до комп'ютерної інформації, уразі наявності достатніх підстав проводиться обшук за місцем роботи та проживання. Під час обшуку звертають увагу на комп'ютери різних конфігурацій, принтери, засоби телекомунікативного зв'язку з комп'ютер­ними системами, пейджери, записні книжки (у тому числі й електронні), дискети, компакт-диски, магнітні стрічки, що містять відомості про коди, паролі, ідентифікаційні номери користувачів комп'ютерною системою, а також дані про її користувачів. Проникнення в комп'ютерне приміщення треба здійснювати, додержуючись правил, які дають змогу виключити пошкодження або знищення слідів злочину безпосередньо особою, яка обшукз'сться, чи і ззовні її співучасниками. Розро­блені спеціальні правила огляду комп'ютерних злочинів цілком можна використовувати для проведення обшуку1

Отже, для вирішення першої слідчої ситуації прово­дять такі'слідчі дії: огляд, затримка, обшук, виїмка, допит, слідчий експеримент та інформаційно-технічна експертиза.



2. Вчинено комп'ютерний злочин, пов'язаний із створенням та розповсюдженням шкідливих комп'ютерних програм. Шкщпива програма – це умисно створена коротка програма, введення якої в комп'ютерну систему пошкоджує деякі або всі її функції загальносистемних програм, знищує якусь конфіденційну інформацію, яка зберігається в комп'ютері Більшість таких програм називається "віруси", які в певному смислі нагадують поведінку живих організмів. Вони можуть протягом тривалого часу не проявляти себе, "мовчати" до певного моменту чи події, а потім "ожити" та вивести систему з-під контролю.

________________________



1 Див.: Денисюк С.Ф., Шепитько В.Ю. Обыск в системе следственных действий. – Харьков, 1999; Коновалова В.Е., Шешпъко В.Ю. Обыск: тактика й психология. – Харьков, 1997.
26

Розслідування починається з установлення сутності шкідливих наслідків несанкціонованого доступу (крадіжка грошових коштів чи матеріальних цінностей, знищення, зміна, блокування інформації або наявність комп'ютерного вірусу).

Перш за все проводяться слідчий огляд та допит свідків Ь кола працюючих з комп'ютерною системою чи мережею. Під час установлення підозрюваних осіб серед "своїх" чи "чужих" розробляється план збирання належної інформації оперативно-розшуковими заходами та слідчими діями, прова­дженням судової експертизи комп'ютерних засобів, судово-бухгалтерською експертизою банківських машинних операцій.

Крадіжка грошових коштів вчиняється найчастіше в фінансово-банківських системах. Сліди таких крадіжок зви­чайно виявляють самі робітники банків. Інколи встановлюють їх у ході оперативно-розшукових заходів.

Під час допиту свідків, які підозрюються, із числа своїх користувачів системою та сторонніх осіб необхідно вия­снити: вид перешкод, за яких обставин вони були виявлені, яку інформацію пошкоджено, а яка залишилася не зіпсованою. При цьому треба пам'ятати, що не всякі зміни є умисними. Часто причиною стає випадковий збій. Статистика свідчить, що в більшості російських фірм у середньому один раз на місяць у мереженому пристрої та засобах програмного забезпечення відбуваються збої. Слід пам'ятати, що нерідко трапляються випадки, коли крадіжки грошових коштів банк списує саме на технічні збої системи. Якщо це відбувається надто часто, то можна припустити, що на даному підприємстві вчиняється крадіжка грошових коштів за допомогою комп'ютерних опе­рацій.

Особливістю розслідування комп'ютерних злочинів є тісний взаємозв'язок слідства з органом дізнання внутрішніх справ, служби безпеки, податкових Інспекцій на всіх етапах розслідування. Нерідко слідчий після допиту свідків, які підо­зрюються, розробляє з оперативними робітниками план зби­рання Інформації оперативно-розшуковими заходами, для чого в орган дізнання направляє окреме доручення, до якого бажано додавати план перевірочних дій щодо збирання інформації Звичайно такі сумісні дії слідчого та органу дізнання переду-


27

ють затриманню, обшуку за місцем проживання та проведенню допиту підозрюваного або обвинуваченого залежно від обставин, що склалися

Існує багато способів розповсюдження шкідливих про­грам, наприклад, у разі запуску програм з дискети, переписаної з Іншого комп'ютера чи куплено), одержаної в обмгч або / електронної дошки об'яв (ВВ8) У цих випадках провадженням комп'ютерної або Інформацшно-комп’ютерної експертизи можна вирішити питання по суті, тобто виявити, які зміни было проведено та якими засобами

Установлення злочинця, який виготовив та розповсю­джує шкідливі програми, можливе як слідчим, так І оперативним шляхом Важливо визначити вид програми, у разі наявності вірусу – його різновид Розповсюдження вірусів може відбуватися умисно особою, яка має доступ до системи, пбо випадковим працівником, у функції якого не входить робота з комп'ютерним обладнанням

Особи, які створюють шкідливі програми, – це квалі­фіковані програмісти, розробники програм, шженерк-експлуатацшники електронно-обчислювальних систем тому, визнаючи коло осіб, треба скласти список запідозрених осіб не тільки тих, хто працює у даному закладі, фірмі, але й на найближчих станціях комп'ютерного зв'язку Оперативним шляхом виявити тих, хто в місті чи області, в комп'ютерним коледжах, школах або технікумах має доступ до IНТЕРНЕТа,' перш за все– до локальної системи

Шкідливу програму злочинець звичайно розробляє на робочому місці, приховуючи дії від оточуючих співробітників Створення програми відбувається поза сферою його діяльності і безпосередньої функціональної діяльності комп'ютерної системи На факт створення шкідливої програми посередньо можуть вказати а) підвищена зацікавленість до алгоритмів фун­кціонування системи, Інформаційного захисту, вхідної та ви­хідної інформації особи, в коло обов’язків якої це не входить, б) раптова захопленість програмуванням, наприклад оператора Для встановлення факту розповсюдження шкідливих програм необхідно провести виїмку та огляд таких документів 1) журналів обліку (робочого часу, доступу до обчислювальної


28

техніки, збош та ремонт, реєстрації користувачів комп’ютерною системою чи мережею, проведення регламентованих робіт), 2) ліцензійних угод та договорів на користування про­грамними продуктами та їх розроблення, 3) книг паролів, 4) наказів та Інших документів, які регламентують роботу станови Більшість документів зберігається в електронній формі, діл їх вилучення треба запрошувати спеціаліста



3. Порушено правила експлуатації комп’ютерних систем або мереж. Вирішення третьої ситуації починається з установлення факту порушення експлуатації комп'ютерної си­стеми чи мережі Особливість даної ситуації полягає в тому, їло порушення правил можна здійснити з робочого місця кон­кретної комп'ютерної мережі установи, фірми або з Іншого комп'ютера, що знаходиться на будь-якій сіанца комп’ютерної мережі У першому випадку коло підозрюваних осібо омсжено персоналом, який обслуговує комп'ютерну систему та має доступ до неї, а в другому – установлення особи та ш-шлх обставин потребує спеціального дослідження структури мережі та руху Інформації V ній Звернемося до першого ви­падку.

Якщо це локальна комп'ютерна система, то при виявленні ознак порушення правил експлуатації системи виникають дгІ ситуації а) керівник установи повідомляє в органи служби Інформаційної безпеки об’єкта, які проводять службове (відомче) розслідування, б) у разі надходження повідомлення (заяви) до прокуратури проводиться дослідна перевірка Отже, кримінальна справа може бути порушена як за матеріалами відомчого розслідування, так І за результатами перевірки повідомлень чи заяв на загальних підставах

У першому І другому випадках розслідування почина­ється з огляду робочих місць співробітників, виїмки документів, які регулюють правила роботи користувачів комп'ютерною системою, та допиту як свідків усіх співробітників, що мають доступ до комп'ютерної системи Огляд І виїмку документів треба здійснювати за участю спеціаліста Допит свідків ДЛЩ починати після вивчення документації, яка регулює роботу комп’ютерної системи У кожного свідка необхідно вияснити орієнтовно такі обставини а) які у нього обов'язки при
29

роботі з комп'ютерною системою і взагалі в даній організації, фірмі; б) яку конкретно роботу на комп'ютері чи іншому об­ладнанні він виконує; в) яку роботу виконував свідок, коли відбувалися збій, зміни, блокування інформації; г) де і як по­винні фіксуватися факти знищення, зміни, блокування інформації; д) чи пов'язані зміни, які відбувалися в комп'ютерній мережі, з порушенням правил експлуатації'.

Аналізуючи матеріали службового (відомчого) розслі­дування, документи, які одержані в ході виїмки, результати огляду автоматизованих робочих місць (АРМ) та показання свідкш, можна побудувати версії о про місце, час та особу, яка порушила правила експлуатації комп'ютерної системи. Склад­ніше встановити ці обставини при порушенні правил експлуатації комп'ютерних мереж.

Локальні комп'ютерні системи та комп'ютери окремих користувачів можуть бути з'єднані засобами електронного зв'язку та створювати глобальні мережі типу ШТЕРНЕТ. Для початку розслідування треба знати, як обладнані мережа, комп'ютерна система, де відбулися збої (зміни) та Інші пору­шення, які спричинили матеріальну шкоду; як вони з'єднані і найближчими робочими станціями. Порушення правил експлуатації може викликати блокаду, збої в конкретній комп'ютерній системі.

Перш за все необхідно визначити місця, де за схемою розгортання мережі розташовані робочі станції, які можуть бути дисковими і без дисковими. Можливе порушення правил експлуатації, копіювання файлового сервера на свою дискету, використання дискети з різними програмами, у тому числі й з комп'ютерними вірусами. Ці дії виключені на без дискових ро­бочих станціях. Тут як свідкш можна допитати адміністратора мережі та спеціалістів, що обслуговують файловий сервер, в якому відбулися зміїш, збої, знищення інформації'. Під час до­питу необхідно вияснити, на якій робочій станції могли бути порушені правила експлуатації комп'ютерної мережі; де вона розташована, чи могло бути порушено правило експлуатації Е конкретній локальній обчислювальній мережі на робочій станції, яка знаходиться у визначеному місці. Якщо правила експлуатації порушено безпосередньо на файловому сервері, то
30

місце порушення правил може збігатися з місцем настання шкідливих наслідків.

Для встановлення місця порушення правил експлуатації мережі призначається інформаційно-технічна експертиза.

Спосіб порушення правил сксплз'атації може бути ак­тивним І пасивним. Активний спосіб полягає в самостійному виконанні непередбачених операцій при комп'ютерному об­робленні інформації, а пасивний передбачає невиконання певних вимог, приписаних правилами (інструкціями), які забезпечують нормальне функціонування комп'ютерної системи чи мережі.

Час порушення правил експлуатації комп'ютерної си­стеми чи мережі визначають оглядом, допитом свідків, виїм­кою та дослідженням документації, яка регулює нормальну роботу мереж. Фіксують випадки вимкнення електромережі, коли можливе миттєве знищення введеної в комп'ютер інфор­мації. Момент вимкнення збігається з моментом порушення правил експлуатації. Проте можливим є розрив у часі між по­рушенням правил та моментом настання шкідливих наслідків, наприклад, через внесення в програму змін шкідливі наслідки можуть настати пізніше за порушення правил експлуатації. Злочинець може запрограмувати на певний час зупинення ке­рованої виробничої системи (так був зупинений складальний конвейєр на АвтоВАЗі, про що уже згадувалося раніше) або "підірвати" банк даних "логічною бомбою" і т. ін.

Установлення названих вище обставин спрямовано на виявлення злочинця та місця його знаходження. Визначаючи коло запідозрених, а потім – підозрюваних осіб, слід врахо­вувати, що не кожна особа, яка має доступ до комп'ютерної системи чи мережі, може бути порушником правил експлуатації. Для цього необхідно, щоб особа мала допуск для виконання роботи з комп'ютерною інформацією. Такий допуск мають лише визначені особи, серед яких І треба шукати порушника Щодо кожного з них необхідно встановити а) посаду, яку він займає; б) освіту та спеціальність, в) стаж роботи за спеціаль­ністю та на посаді, яку він займає, г) конкретні обов'язки та нормативні акти, якими вони встановлені; д) рівень професійної кваліфікації; е) причетність до розроблення та впроваджен-


31

ня в експлуатацію комп’ютерних систем, е) наївність і а доступ до баз та банків даних, ж) наявність домашньою комп'ютера та пристрою до нього, підключеная до мережі Як уже згадувалося, усе це всіановлюпься шляхом оглядів, до­питів, виїмок, проведенням експертні, дослідженням експлуатаційних документів, машинних чосмв Інформації, роздрмивок.

Про вчинення комп’ютерних злочинів у фінакозо банківській системі, зокрема при крадіжці грошовим коштів свідчать такі обставини ведення платіжних документів без використання сертифікаційних засобів захисту, відсутність контролю за процесами комп кл орної о оброблення платіжних документів.

відсутність роботи щодо забезпечення Інформаційної безпеки,

– порушення технологічного циклу проект звання, розроблення, випробування та здачі автоматизованих банків­ських систем;

– використання незареєстрованих програм Знання цих умов, які сприятимуть запобіганню злочину, є необхідним



КОНТРОЛЬНІ ЗАПИТАННЯ

1. Що таке комп'ютерний злочин?

2. Як класифікують комп'ютерні злочини за способом вчинення?

3. Назвати способи незаконного доступу де комп’ютерної системи?

4. Чим розрізняються "незаконний доступ" та "незаконне перехоплення" Інформації?

5. Що являє собою крадіжка час1? Дати характеристику цього способу?

6. Що є предметом безпосереднього посягання комп'ютерного злочину?

7 Якими засобами та способами можна виявити сліди комп'ютерного злочину?


32

ЗМІСТ
І. Поняття комп'ютерних злочинів та криміналістична

класифікація ………………………………………………………… 3


П. Криміналістична характеристика ……………………………… 10
Ш. Особливості порушення кримінальних справ та невідкладні

слідчі дії на початковому етапі розслідування …………………… 15


IV. Організаційні та тактичні особливості слідчих дій

на подальших етапах розслідування ……………………………… 23



Навчальне видання



САЛІЕВСЬКИИ Михайло Васильович



ОСНОВИ МЕТОДИКИ

РОЗСЛІДУВАННЯ ЗЛОЧИНІВ,

СКОЄНИХ З ВИКОРИСТАННЯМ ЕОМ




Навчальний посібник

Відповідальний за випуск Г.А. Матусовськш

Редактор В.В. Арнаутова Коректор В. Христенко

Комп'ютерна верстка: Л.С. Чумак


План 2000, дод. поз 2

Підп до друку 15.052000 Формат 84хЮ8'/32 Папір друк №2

Друк офсетний Умови, друк арк. 1,5 Облік.-вид арк. 1,86 Вид № 1
Тираж 500 прим Зам. № 747 Ціна договірна

Редакційно-видавничий відділ

Національної юридичної академії України

61024, Харків, вул. Пушюнська, 77



Друкарня

Національної юридичної академії України 61024, Харків вул. Пушкінська, 77

Поділіться з Вашими друзьями:


База даних захищена авторським правом ©refos.in.ua 2019
звернутися до адміністрації

увійти | реєстрація
    Головна сторінка


завантажити матеріал