Содержание к диссертации
Введение
Глава 1. Криминалистическая характеристика преступлений, связанных с незаконным доступом к компьютерной информации банков
1.1. Содержание криминалистической характеристики преступлений, связанных с незаконным доступом к компьютерной информации банков 13
1.2. Свойства личности субъектов преступлений, связанных с незаконным доступом к компьютерной информации банков 26
1.3. Способы совершения преступлений, связанных с незаконным доступом к компьютерной информации банков 37
Глава 2. Проверка заявлений и сообщений о преступлениях, связанных с незаконным доступом к компьютерной информации банков
2.1. Типичные исходные ситуации и основные направления их разрешения... 53
2.2. Тактико-организационные особенности осмотра, места происшествия 75
2.3. Задержание с поличным субъектов преступлений, связанных с незаконным доступом к компьютерной информации банков 96
Глава 3. Особенности первоначального этапа расследования преступлений связанных с незаконным доступом к компьютерной информации банков
3.1. Планирование первоначального этапа расследования 122
3.2. Особенности назначения и производства судебных экспертиз 142
3.3. Проверка обоснованности подозрения в совершении преступления,
связанного с незаконным доступом к компьютерной информации банков 159
Заключение 184
Список использованной литературы 192
- Свойства личности субъектов преступлений, связанных с незаконным доступом к компьютерной информации банков
- Тактико-организационные особенности осмотра, места происшествия
- Задержание с поличным субъектов преступлений, связанных с незаконным доступом к компьютерной информации банков
- Особенности назначения и производства судебных экспертиз
Введение к работе
Актуальность темы исследования в значительной степени определяется распространенностью и качеством расследования компьютерных преступлений, связанных с незаконным доступом к компьютерной информации банков. К сожалению, обобщенные статистические данные о количестве подобных преступлений, совершаемых в России, отсутствуют. В 2011 году в нашей стране совершено 2698 компьютерных преступлений. В то же время в некоторых исследованиях отмечается, что в 2010 году объем средств, похищенных с помощью компьютерных технологий из банков России, стран СНГ и Балтии, составлял 1,3 млрд долларов, а в 2013 году составит до 7,5 млрд долларов.
По сведениям департамента казначейства США по борьбе с финансовыми преступлениями (FinCEN), во всем мире наблюдаются высокие темпы роста киберпреступности в банковской сфере. Так, только в 2010 году количество этого вида посягательств увеличилось на 115 %.
Негативная динамика этого вида преступности объясняется стремительным распространением средств вычислительной техники и современных компьютерных технологий не только в различных отраслях, но и в быту. Банковские учреждения наиболее восприимчивы к различного рода инновациям, позволяющим привлекать клиентов и сокращать расходы, наращивая тем самым собственные прибыли. Поэтому компьютерные технологии и средства используются в настоящее время практически во всех банковских учреждениях мира.
Поскольку в банках концентрируются значительные материальные ценности, они во все времена привлекали внимание представителей преступности. Внедрение современных информационных технологий не только не останавливает, но и стимулирует интерес субъектов посягательств. Возможности оперирования компьютерной информацией без вступления в непосредственный физический контакт с управомоченными сотрудниками банка, по мнению субъектов посягательств, представляет большие возможности для безнаказанной реализации преступных замыслов.
Компьютерные преступления вообще и совершаемые в сфере банковской деятельности в частности характеризуются высокой степенью латентности. По различным оценкам экспертов, до 90 % такого рода преступлений остаются невыявленными.
В процессе расследования таких преступлений нередко возникают трудности, которые не всегда успешно преодолеваются следователями.
Основные проблемы возникают именно на первоначальном этапе расследования, в процессе которого формируется основная доказательственная база, зачастую определяющая эффективность всего производства по уголовному делу. Такое положение в известной степени обусловлено отсутствием научных исследований и методик расследования преступлений рассматриваемого вида. Все это и обусловило выбор темы настоящего диссертационного исследования.
Степень научной разработанности темы. Исследования преступлений в сфере компьютерной информации были начаты в России в 90-х гг. XX века на основе анализа зарубежных источников (Ю. M. Батурин, В. Б. Вехов, Б. Х. Толеубекова). В дальнейшем исследования продолжили В. В. Крылов, В. А. Мещеряков и другие ученые уже с учетом изменений отечественного уголовного закона. Среди зарубежных исследований необходимо выделить пособие по борьбе с компьютерными преступлениями Д. Айкова, К. Сейгера и У. Фонсторха, «Руководство по реагированию на внешнее вторжение» К. Мандиа и К. Просиса, «Технику компьютерных преступлений» Л. Джеймса.
Тактика проведения отдельных следственных действий по уголовным делам о незаконном доступе к компьютерной информации освещалась в работах А. Д. Волеводза, В. Д. Курушина, В. А. Минаева, Е. И. Панфиловой, Е. Р. Россинской, К. С. Скоромникова, Н. Т. Шурухнова, а также в диссертационных исследованиях Ю. В. Гаврилина, О. Г. Григорьева, А. В. Касаткина, Т. Э. Кукарниковой, А. В. Остроушко, B. Ю. Рогозина, JI. H. Соловьева, А. И. Усова, В. П. Хомколова, Г. М. Шаповаловой и др.
Исследования всех вышеперечисленных авторов посвящены общим проблемам расследования компьютерных преступлений. Вопросы же выявления и расследования компьютерных преступлений именно в сфере деятельности банков до настоящего времени изучению на монографическом уровне не подвергались.
При проведении настоящего диссертационного исследования были выявлены особенности элементов криминалистической характеристики данного вида преступлений, с учетом которых были предложены соответствующие практические рекомендации по выявлению и расследованию такого рода посягательств.
Целью исследования являются выявление проблем первоначального этапа расследования преступлений, связанных с незаконным доступом к компьютерной информации банков, и разработка практических рекомендаций по их преодолению и повышению его эффективности.
Для достижения поставленной цели поставлены следующие задачи:
1) на основе обобщения данных судебно-следственной практики уточнить содержание криминалистической характеристики преступлений, связанных с незаконным доступом к компьютерной информации банков;
2) выделить типичные ситуации, формирующиеся на этапе доследственной проверки сообщений о преступлениях данного вида и подготовить предложения об основных путях их разрешения;
3) с учетом результатов исследования и систематизации судебно-следственной практики подготовить рекомендации по выдвижению следственных версий и разрешению ситуаций первоначального этапа расследования данного вида преступления;
4) выявить основные сложности, возникающие при проведении отдельных следственных действий, определить пути и средства их преодоления;
5) подготовить научно обоснованные предложения и методические рекомендации по оптимизации первоначального этапа расследования преступлений, связанных с незаконным доступом к компьютерной информации банков.
Объектом исследования являются преступная деятельность, связанная с незаконным доступом к компьютерной информации банков, а также деятельность правоохранительных органов по раскрытию, расследованию данного вида преступлений.
Предметом исследования являются объективные закономерности возникновения информации о незаконном доступе к компьютерной информации банков, субъектах данного доступа, а также деятельности по выявлению и расследованию данной категории преступлений.
Границы объекта и предмета исследования ограничены рамками досудебного производства в стадии возбуждения уголовного дела и на первоначальном этапе предварительного расследования, поскольку именно в этот период формируется основная доказательственная база, обеспечивается возможность выполнения целей и задач производства по уголовному делу.
Первоначальный этап расследования понимается как производство от возбуждения уголовного дела до сбора доказательств, достаточных для предъявления обвинения или принятия решения о прекращении уголовного дела без предъявления обвинения.
Методологическую основу исследования составляют диалектический подход к анализу социально-правовых процессов и явлений. При его проведении использованы принципы системного, сравнительного и комплексного анализа проблем, а также системно-структурный, логический, статистический, контент-анализ, наблюдение, измерение, описание, сравнение и другие методы исследования.
Теоретической базой работы послужили труды Т. В. Аверьяновой, О. Я. Баева, Л. В. Бертовского, Ю. М. Батурина, А. А. Белякова, Р. С. Белкина, В. Б. Вехова, С. И. Винокурова, И. А. Возгрина, А. Г. Волеводза, Т. С. Волчецкой, В. К. Гавло, Ю. В. Гаврилина, И. Ф. Герасимова, В. Н. Григорьева, Г. А. Густова, Л. Я. Драпкина, Г. Г. Зуйкова, Е. П. Ищенко, В. Н. Карагодина, В. Я. Колдина, В. В. Крылова, В. А. Мещерякова, В. А. Образцова, В. Ю. Рогозина, Е. Р. Россинской, Н. А. Селиванова, Л. Н. Соловьева, В. Г. Танасевича, Д. А. Турчина, А. И. Усова, Г. М. Шаповаловой, Н. Г. Шурухнова, Н. П. Яблокова и других ученых.
Использовались труды таких зарубежных ученых по вопросам расследования компьютерных преступлений, как Д. Айков, Ю.-П. Граф, Л. Джеймс, Д. Крег, К. Мандиа, К. Просис, К. Сейгер, У. Фонсторх и др.
Эмпирическая база исследования. При проведении диссертационного исследования были изучены 105 уголовных дел о преступлениях, связанных с незаконным доступом к компьютерной информации банков, рассмотренных судами г. Москвы (21 уголовное дело), Свердловской (53 уголовных дела) и Нижегородской (31 уголовных дела) областей, а также 47 материалов об отказе в возбуждении уголовного дела.
Кроме того изучалась опубликованная практика федеральных судов Российской Федерации и ряда иностранных государств.
Было проведено анкетирование 86 следователей и сотрудников органов, осуществляющих оперативно-розыскную деятельность, имеющих опыт расследования преступлений, связанных с незаконным доступом к компьютерной информации, а также 26 сотрудников отделов информационной безопасности различных банков.
Научная новизна диссертационного исследования определяется его целями, задачами, объектом и предметом.
В работе на основе изучения судебно-следственной практики уточнена криминалистическая характеристика незаконного доступа к компьютерной информации банков. В частности выявлена и описана специфика обстановки, типичных свойств личности субъекта преступления и особенности способов совершения.
В диссертации анализируются типичные ситуации, формирующиеся при поступлении сообщений о совершении данного вида преступлений, предлагаются пути и средства их разрешения.
Особое внимание при этом уделяется изученным в теории проблемам выдвижения и проверки версий о личности субъекта и обстоятельствах преступлений рассматриваемых категорий, проведения качественного осмотра места происшествия. В ранее опубликованных работах содержались в основном рекомендации по исследованию средств компьютерной техники, каналов и конфигураций их соединений. В диссертации даны рекомендации по осмотру таких мест происшествия, как служебные и жилые помещения, в которых расположены компьютеры, использовавшиеся для незаконного доступа; территории, на которых производилось задержание с поличным; помещения банков, где дислоцированы средства хранения и использования компьютерной информации, подвергшиеся посягательству.
В диссертации подробно исследуются тактические аспекты задержания с поличным, ранее не затрагивавшиеся в работах, посвященных расследованию компьютерных преступлений.
На основе ситуационного подхода в диссертации сформулированы предложения по оптимизации планирования первоначального этапа расследования преступлений рассматриваемого вида, поиска субъектов причастных к его совершению и проверки обоснованности возникшего подозрения.
С учетом специфики механизма следообразования данного вида преступлений соискателем установлено значение судебных экспертиз для достижения названных задач. При этом соискатель не ограничивается, как другие авторы, рассмотрением возможностей только компьютерно-технической экспертизы. В диссертации содержится предложение о производстве иных видов экспертиз, в том числе бухгалтерских, с целью установления содержания, времени и процедуры выполнения субъектами преступления банковских операций.
Анализируя деятельность по проверке обоснованности подозрения, диссертант не сводит ее только к допросу подозреваемых, а предлагает рекомендации по получению и установлению достоверности показаний названных лиц, предположительно причастных к совершению преступлений.
Результатом исследования обозначенных проблем являются следующие основные положения, которые выносятся на защиту:
1. Суждения о том, что содержание криминалистической характеристики незаконного доступа к компьютерной информации банков специфично и отличается от аналогичных характеристик других видов компьютерных преступлений.
2. Авторская трактовка структуры обстановки незаконного доступа к компьютерной информации банков, в которой доминирующее значение имеют не пространственно-временные элементы, а сложившийся порядок, режим, средства и технологии накопления, хранения и использования компьютерной информации банков.
3. Выводы о специфических корреляционных связях между свойствами личности субъектов преступления и применяемыми ими способами незаконного доступа к компьютерной информации банков. Среди лиц, совершающих преступления рассматриваемого вида, выделяются следующие субъекты: внутренние (сотрудники банка) и внешние, реализующие соответственно непосредственные или удаленные (опосредованные) способы незаконного доступа к компьютерной информации.
Внешние субъекты вынуждено осуществляют достаточно сложные подготовительные мероприятия по подготовке к совершению незаконного доступа к компьютерной информации банков, что нередко требует от них достаточно глубоких специальных познаний.
Внутренние субъекты находятся в более благоприятных условиях, имеют возможности использования служебных ЭВМ, данных о правилах и процедурах доступа к компьютерной информации банков, что существенно упрощает содержание избираемых ими способов совершения преступлений рассматриваемого вида.
4. Классификация типичных исходных ситуаций, возникающих на этапе доследственной проверки сообщений о незаконном доступе к компьютерной информации банка, и предложения по их разрешению. Выделяются прежде всего сложные проблемные ситуации, характеризующиеся дефицитом информации о личности субъекта, реализовавшего непосредственный, удаленный или комбинированный способы незаконного доступа к компьютерной информации. Соответственно этому предлагаются пути выявления внутренних или внешних субъектов посягательств.
5. Предложения о проведении операций по задержанию с поличным внешних и внутренних субъектов преступлений рассматриваемого вида.
6. Разработаны практические рекомендации по планированию первоначального этапа расследования с учетом типичных ситуаций, характеризующихся различными информационными, психологическими и управленческими факторами. Предлагаются различные направления, средства и методы расследования в зависимости от того, выявлены или не установлены субъекты посягательства, применявшиеся ими удаленные, непосредственные, комбинированные способы незаконного доступа.
7. Обобщенные рекомендации по использованию возможностей различных судебных экспертиз для решения задач первоначального этапа расследования.
8. Типичные алгоритмы проверки обоснованности подозрения в причастности к незаконному доступу к компьютерной информации банка. Демонстрируется, что содержание, последовательность и тактика оперативно-розыскных мероприятий и следственных действий, проводимых в этих целях, обуславливается объемом, качеством и источником информации, послужившей основанием для подозрения, а также позицией подозреваемого.
Анализируются возможные варианты преодоления противодействия подозреваемых из числа внешних и внутренних субъектов, исполнявших разные роли при совершении преступлений исследуемого вида.
Теоретическая и практическая значимость исследования определяется актуальностью рассмотренных проблем, решением важных научно-практических и теоретических аспектов расследования преступлений исследуемой категории. Результаты исследования, теоретические положения и практические рекомендации могут быть использованы в следственной и оперативно-розыскной деятельности, при обучении студентов юридических вузов, для повышения квалификации следователей и в последующих научных изысканиях по данной проблематике.
Апробация результатов исследования. Результаты диссертационного исследования отражены в материалах Международной научно-практической конференции «Актуальные проблемы уголовного процесса и криминалистики России и стран СНГ» (Челябинск, 2009).
По теме диссертационного исследования опубликовано шесть научных статей, две из них – в изданиях, рекомендованных ВАК Минобрнауки России. Одна статья опубликована в международном криминалистическом журнале «International Journal of Criminal Investigation». Положения и выводы проведенного исследования использовались на юридическом факультете Уральской академии государственной службы при чтении курса «Криминалистика».
Объем и структура работы. Диссертация состоит из введения, трех глав, заключения, списка использованной литературы и приложения. Объем работы – 212 страниц.
Свойства личности субъектов преступлений, связанных с незаконным доступом к компьютерной информации банков
Данные подходы к обозначению обстановки незаконного доступа к компьютерной информации, безусловно, применимы к банковской среде. Однако они дают слишком общие характеристики обстановки рассматриваемого вида преступления, что существенно снижает их практическую значимость. Мы полагаем, что основным элементом обстановки данного вида является установленный порядок хранения, обработки, использования и защиты компьютерной информации банков.
Во всех банковских учреждениях используются определенные программные средства, предназначенные для машинной обработки, использования и защиты информации с помощью средств электронно-вычислительной техники. Средства защиты, как правило, заключаются в установлении специальных паролей, ключей, обеспечивающих доступ к охраняемой информации. Нередко, применяются многоступенчатая защита, способ и решения которой официально известен узкому кругу лиц.
Установленный порядок и технические средства, используемые для операций с компьютерной информацией, объединяются в единю информационную обстановку банка.
В границах информационной обстановки доступ почти всегда дополнительно разграничен по различным критериям; возможность ознакомления с информацией, возможность внесения изменений, копирования, ограничение по времени доступа, необходимость ввода дополнительных данных авторизации и т.д. Информационная обстановка первична для выяснения следователем, поскольку позволяют на раннем этапе сузить круг лиц, которые возможно причастны к совершению преступления путем сопоставления характера произошедшего сооытия с уровнем доступа для этого неооходимым. Такой подход позволяет абстрагироваться от избыточной информации и сконцентрировать внимание следователя на основной цели — выявлении субъекта, совершившего незаконный доступ.
Информационная обстановка, банковского учреждения в значительной степени обуславливается его структурой, Внутреннее взаимодействие банка и информации обусловлено наличием, либо отсутствием сети филиалов, а также единых информационных центров. Наличие разветвленной филиальной сети подразумевает активное обращение информации между филиалами и головной организацией. Такого рода удаленное взаимодействие компьютерной информации требует повышения качества средств защиты пропорционально увеличению степени важности информации для банка. Для лучшего понимания системы взаимодействия головной организации банка и его филиалов дадим соответствующие определения терминов, которые закреплены законодательно.
Банк - кредитная организация, которая имеет исключительное право осуществлять в совокупности следующие банковские операции: привлечение во вклады денежных средств физических и юридических лиц, размещение указанных средств от своего имени и за свой счет на условиях возвратности, платности, срочности, открытие и ведение банковских счетов физических и юридических лиц15. Из общего числа кредитных организаций, зарегистрированных в России на 1 января 2011 года — 1084 являются банковскими организациями.
Филиал кредитной организации - ее обособленное подразделение, расположенное вне места нахождения кредитной организации и осуществляющее от ее имени все или часть банковских операций, предусмотренных лицензией Банка России, выданной кредитной организации. На 1 января 2011 года зарегистрировано 2880 филиалов кредитных организаций. Распределение филиалов по регионам следующее: Центральный регион — 22,16%; Северо-Западный регион — 12,20%; Южный — 14,11%; Приволжский — 21,51%; Уральский — 11,46%; Сибирский — 12,69%; Дальневосточный — 5,88%.
Совокупный капитал действующих в Российской Федерации кредитных организаций на 1 января 2011 года составлял 1 трлн 186 млрд 179 млн рублей.
Следует отметить, что филиалы и представительства кредитной организации не являются юридическими лицами и осуществляют свою деятельность на основании положений, утверждаемых создавщей их кредитной организацией16. При такой структуре и наличии сети филиалов и представительств эффективное функционирование банка без щирокого использования информационных технологий, систем телекоммуникации и связи представляется затруднительным.
При отсутствии филиалов и представительств не всегда экономически целесообразно иметь развернутую информационную базу данных с возможностью доступа извне, поэтому возможности удаленного незаконного доступа к компьютерной информации банка нивелируются.
В условиях места совершения данного вида преступлений сотрудниками банков возможно выделение дополнительных организационно-структурных элементов. К ним могут быть отнесены: дисциплина внутри организации, безопасность, морально-психологический климат среди сотрудников, эффективные нормы и правила информационной безопасности, отношение к ним банковских работников.
Для данного вида преступлений благоприятны низкий уровень организации деятельности в технической сфере, отсутствие либо недостаточность контроля за информационной безопасностью, попустительство, безразличие к соблюдению правил безопасности со стороны руководства, отсутствие эффективной системы защиты информации. 8% изученных нами по уголовным делам преступлений были совершены в отношении информации банков, имеющих представительства и филиалы. При этом 36% таких преступлений были направлены на информацию именно представительств и филиалов. Место совершения преступлений рассматриваемой категории характеризуется определенной спецификой. Так, часть таких посягательств совершается сотрудниками банка во время выполнения ими служебных полномочий, когда они находятся на рабочем месте. Такие преступления составили 32% от общего числа изученных по материалам уголовных дел.
В то же время 68% изученных преступлений совершались субъектами, находившимися за пределами банковских учреждений. Такие преступления получили в теории криминалистики обозначение как совершаемые с удаленным или опосредованным доступом.
Тактико-организационные особенности осмотра, места происшествия
Проверка в подобных условиях также начинается с опроса заявителя и сотрудников, обнаруживших незаконный доступ к информации банка. Эти опросы должны быть проведены в максимально короткие сроки, чтобы не утратить возможности выявления признаков посягательства, отразившихся в информационной обстановке банка.
Кроме вопросов об обстоятельствах произошедшего и содержании незаконных операций, необходимо выяснить осуществлялся ли доступ к конкретной ЭВМ или к информационной сети банка.
Если доступ осуществлялся на конкретную ЭВМ, необходимо принять меры к её изоляции для предупреждения вредных последствий возможного уничтожения следов посягательства.
Далее необходимо выяснить имеются ли основания предполагать, что субъект преступления продолжит свои попытки. При наличии таких оснований проводится операция по задержанию с поличным. Если основания для такого предположения отсутствуют, необходимо провести своевременную проверку заподозренного. Проведение такой проверки рекомендуется в рамках тактической операции, в которую включается опрос предполагаемого субъекта преступления, осмотр использованного им ЭВМ и прилегающего участка помещения, проведение специалистом исследования хранящейся в ЭВМ информации о выполнявщихся операциях, опрос заподозренного с учетом полученных данных, проведение специального исследования информационной системы банков, с целью проверки предположения о том, что доступ к ней осуществлялся с ЭВМ проверяемого.
Важное значение в подобных ситуациях имеет проверка версии о невиновности проверяемого и возможном совершении посягательства иным, неизвестным следствию субъектом. Для этого необходимо установить кто имел доступ к ЭВМ, использовавшейся для совершения посягательства, установлены ли на ЭВМ коды, пароли, имеются ли признаки работы на ней постороннего лица (неправильный ввод кодов, данных необходимых для начала работы и т.п.). В ходе осмотра возможно выявление на ЭВМ следов рук только проверяемого на рабочем столе могут находиться выполненные им записи с персональными данными владельцев банковских счетов, а также фиксирующие ход проведенных операций, изучавшаяся им специфическая литература и т.п.
Значительная часть субъектов, выявленных сотрудниками банков не отрицает, что получили незаконный доступ к информации, но пытаются объяснить свои действия шуткой или случайностью. Такая линия защиты обусловлена тем, что при проведении проверки в ЭВМ подобных субъектов обнаруживаются следы незаконного доступа к компьютерной информации банков.
Более подробно проблемы проверки причастности подозреваемых будут рассмотрены в заключительной главе диссертации.
Первичная информация о преступлениях рассматриваемого вида может быть получена и в результате проведения оперативно-розыскной деятельности. Данные ситуации встречались на стадии возбуждения 16% изученных нами уголовных дел. Обращает на себя внимание, что проверка таких данных нередко сопровождается возникновением конфликта с банком.
Причинами таких конфликтов являлась позиция представителей администрации банков, не желающих огласки выявленного посягательства, особенно в тех случаях, когда в его совершении принимали участие сотрудники банка.
Для предупреждения такого рода конфликтов необходимо максимально использовать возможности оперативно=розыскной деятельности по сбору сведений об обстоятельствах и участниках посягательства. Желательно собрать данные, которые не сможет опровергнуть администрация банковского учреждения. Кроме того, должны быть получены сведения, необходимые для получения судебного разрешения, для производства проводимых мероприятий по снятию и исследованию компьютерной информации банков.
Только после сбора достоверных и убедительных сведений целесообразно уведомление руководства администрации банка и проведение проверочных мероприятий с участием его сотрудников. В ситуациях, когда конфликта не удается избежать, следует попытаться урегулировать его.
Поскольку описываемая позиция должностных лиц обусловлена желанием защитить репутацию банка59, необходимо попытаться убедить их, что следствие незаинтересованно в огласке выявленных фактов. Кроме того, проводимая проверка поможет выявить слабые места в системе безопасности банка и принять меры по её совершенствованию.
По своему содержанию анализируемая ситуация сходна с ранее описанными. Поэтому для её разрешения могут использоваться вышеизложенные рекомендации.
Особенностью этих ситуаций является необходимость соблюдения специальных правил проведения ряда оперативно-розыскных мероприятий, а также их представления органом расследования. В силу ограниченности объема диссертации, а также отсутствия каких-либо особенностей представления указанных сведений, представляется нецелесообразным рассмотрение вопросов этой проблематики в настоящем исследовании.
Задержание с поличным субъектов преступлений, связанных с незаконным доступом к компьютерной информации банков
Планирование обоснованно оценивается как одно из важнейших средств повышения эффективности процесса расследования83 и, по сути, является системообразующим методом организационно-управленческой деятельности по уголовным делам.
В научной литературе предпринимались попытки разработки рекомендаций по планированию расследования незаконного доступа к компьютерной информации. Однако данные рекомендации давались без учета условий, возникающих именно на первоначальном этапе расследования84. Как правило, они сводились к перечню следственных и оперативно-розыскных действий, с указанием, что последовательность и тактика их проведения зависят от условий конкретных ситуаций. Содержание же данных ситуаций, как правило, не описывалось.
Ситуации первоначального этапа расследования 67% изученных нами уголовных дел, являлись сложными, проблемными, характеризующимися существенной неполнотой информации о способе и субъектах преступления.
В этих условиях основной задачей расследования является раскрытие преступления. Оно начинается с установления способа неправомерного доступа к компьютерной информации банка. В подобных ситуациях выдвигаются типичные версии о совершении как непосредственного, так и удаленного неправомерного доступа.
Для проверки этих версий необходимо проведение специального исследования информационной сети банка.
На практике такое исследование проводится по поручению следователя оперативными сотрудниками подразделений «К», управлений органов внутренних дел по субъектам федерации. Как правило, такое исследование проводится в рамках такого оперативно=розыскного мероприятия как снятие информации с технических каналов связи и наблюдения.
Подобные мероприятия проводятся на стадии возбуждения уголовного дела, но как свидетельствует результаты обобщения следственной практики, необходимость в из производстве сохраняется и на первоначальном этапе расследования. Если поручение органам оперативно-розыскной деятельности уже направлялось, необходимо направить новое. Оно может быть скорректировано с учетом информации, полученной в ходе доследственной проверки.
Эффективность деятельности по раскрытию преступлений рассматриваемого вида существенно повышается, если она осуществляется в форме тактической операции.
В структуру этой тактической операции могут быть включены также такие оперативно-розыскные действия, как оперативное внедрение, наблюдение, наведение справок, обследование отдельных служебных помещений и т.п.
Проводятся также следственные действия: осмотры документов, в которых регистрируется пользование сотрудниками банка компьютерной техникой, выполнение ими отдельных видов операций, осмотр средств компьютерной техники, использовавшейся для неправомерного доступа, допросы свидетелей, задержание и допрос подозреваемого.
Поскольку, как уже отмечалось ранее, поводом к возбуждению уголовного дела в большинстве случаев является заявление администрации банка, расследование начинается с допроса заявителя.
В ходе этого следственного действия выясняется кем, когда и при каких обстоятельствах было выявлено событие, какие именно действия выполнялись субъектом посягательства, какие последствия неправомерного доступа наступили, как организована защита информации в банке, имеются ли дополнительные ограничения в доступе к данным, которые стали предметом посягательства, каков порядок доступа, извлечения и оперирования этими сведениями, кто должен контролировать соблюдение названных правил, кто осуществлял контроль в момент совершения посягательства, почему оно не было выявлено своевременно, проводилась ли ведомственная проверка данного факта, когда и какие материалы этой проверки направлялись в органы расследования, какие обстоятельства были установлены в ходе проверки, кто из сотрудников банка и по каким причинам увольнялся с работы в период близкий к совершению выявленного преступления, не возникало ли конфликтов с этими и другими сотрудниками.
В качестве свидетелей также допрашивают сотрудников, непосредственно обнаруживших признаки преступления, а также исполняющих функции по защите информации или эксплуатации той части информационной системы банка, которая подверглась неправомерной атаке.
Показания этих свидетелей являются едва ли не единственным источником ориентирующей информации в условиях информационной неопределенности и позволяют обозначить и детализировать картину происшедшего события, наметить пути и места поиска основных следов
Следует отметить, что качественное проведение допроса невозможно без знания следователем некоторых положений информационных технологий. Перед допросом необходима подготовка, в ходе которой требуется уяснить все непонятные вопросы, касающиеся общих принципов доступа к компьютерной информации, возможностей средств ДБО, разграничений прав доступа и т.д. Без такого рода знаний полученная при допросе информация понята неправильно, что приведет следователя к неверным выводам. Очевидные для допрашиваемого явления и обстоятельства, связанные с действиями компьютера или сети, могут быть упущены, хотя вполне вероятно, что именно они важны для расследования. При необходимости следователь может использовать специальную литературу, но значительно эффективнее = консультации специалистов соответствующего профиля. Однако, на наш взгляд, это не должно исключать наличие у следователя знаний, способных помочь ему самостоятельно оценить обстоятельства события преступления. Желательно ознакомление с методическими материалами, объясняющими наименование отдельных элементов ЭВМ и сети, их назначение, способы возможного использования компьютерных сетей для достижения противоправного результата, а также с терминологией пользователей компьютерной техники. По возможности, нужно истребовать у банка топологию их сетей, используемых технологий защиты, схемы подключения компьютеров внутри пострадавшей ячейки банка. В случае участия специалиста, совместно с ним заранее следует подготовить вопросы о способе совершения преступления, технической стороне нарушения конфиденциальности информации.
Одновременно с допросами таких свидетелей целесообразно проведение оперативно-розыскных мероприятий, направленных на проверку достоверности показаний уже допрошенных лиц и получение сведений о психологическом состоянии сотрудников, приглашенных на допрос.
Особенности назначения и производства судебных экспертиз
Приемы предъявления доказательственной информации указанным категориям подозреваемых могут варьироваться в ходе разных или одного и того же допроса, с учетом неизменности или трансформации позиции допрашиваемого.
Например, после предъявления единичных фактических данных следователь может перейти к анализу совокупности доказательств, подтверждающих причастность подозреваемого к расследуемому преступлению. Возможна и обратная ситуация, когда следователь после предъявления совокупности доказательств, разъясняет значение отдельных из них. В любом случае рекомендуется действовать не шаблонно, изменяя лексические средства изложения аргументов, сменяя направление усилий с одних элементов оказываемого противодействия на другие.
Допрос подозреваемых, задержанных с поличным, отличается определенными особенностями. 14% изученных уголовных дел было возбуждено Б связи с задержанием с поличным предполагаемых субъектов преступления.
Несмотря на явную очевидность причастности к совершенному преступлению подозреваемые задержанные с поличным нередко дают ложные показания, отрицая совершение действий по неправомерному доступу к компьютерной информации банков.
Так, некоторые из сотрудников банков, задержанных на своем рабочем месте заявляют, что доступ к электронным базам осуществлялся ими в пределах предоставленных должностных полномочий и уровнем доступа к компьютерной информации. В этих ситуациях надлежит внимательно ознакомиться с содержанием трудового договора (контракта) подозреваемого, должностными инструкциями и локальными актами, регламентирующими выполнение операций, за совершением которых застигнут задержанный. Сведения о нарушении этих норм и правил могут быть получены и в ходе допроса работников службы безопасности и контрольных подразделений банка. Собранные в ходе этих мероприятий данные, опровергающие ложную версию подозреваемого, предъявляются ему в процессе допроса.
Иногда, такие подозреваемые необоснованно утверждают, что в момент задержания выполняли операции по указанию клиента банка. Такие показания опровергаются показаниями клиентов о том, что они не передавали подобных распоряжений, заключениями специалистов (экспертов) о том, что в электронной сети не зарегистрировано распоряжений указанных лиц, отданных в интересующее следствие время, протоколами осмотра расходных документов, поступивших Б период времени задержания, протоколами допросов сотрудников банка, осуществляющих кассовые операции и контроль за их выполнением.
Сотрудники банка, задержанные на чужом рабочем месте, иногда, заявляют, что не совершали никаких действий, а просто заинтересовались незавершенными компьютерными операциями коллег по каким-то причинам отсутствовавших в служебном помещении.
Поскольку такие версии выдвигаются ещё в момент задержания, проверку их целесообразно начинать ещё в ходе осмотра места происшествия. Как уже говорилось, в ходе этого следственного действия рекомендуется принимать меры к обнаружению на средствах вычислительной техники следов рук, микрочастиц от одежды подозреваемого. В системном блоке ЭВМ могут быть обнаружены гибкие диски, флэш-карты с программными средствами, использовавшимися для неправомерного доступа к компьютерной информации. На рабочем столе, а также у задержанного могут быть обнаружены бумажные носители данных о программе и технологии осуществлявшегося неправомерного доступа.
До начала допроса должны быть допрошены все участники задержания, сотрудник банка, на служебном ЭВМ которого выполнялись операции по незаконному доступу, а также осмотрены материалы видеофиксации действий подозреваемого.
Доказательства, собранные при проведении перечисленных и других следственных действий, предъявляются подозреваемому в ходе допроса.
Подозреваемые из числа сотрудников банка, в некоторых ситуациях признают свою вину частично. Не отрицая неправомерного доступа к компьютерной информации банка, они утверждают, что сделали из любопытства или желания пошутить, проверить бдительность сотрудников подразделений безопасности и контрольных служб. Большинство из них пытаются таким образом убедить следователя в отсутствии умысла на хищение денежных средств, незаконное извлечение банковской информации.
Таким подозреваемым предъявляются заключения специалистов (экспертов) о содержании операций, выполнявшихся с использованием компьютера, на котором работал подозреваемый; материалы ведомственной проверки, акт ревизии, заключение бухгалтерской экспертизы о движении средств по счетам, с которых переводились деньги.
Для проверки и опровержения таких показаний рекомендуется также изучать действия подозреваемого по подготовке к совершению преступления. Нередко они заранее изучают состояние счета клиентов, объем информации, которую намеревались незаконно изъять, периодичность проверки вкладчиками своих счетов, проверок защиты информации, проводимых сотрудниками клиентами банка и т.д. Такие сведения могут быть получены при исследованиях и экспертизе компьютера, использовавшегося в качестве орудия посягательства, всех подключений к базам данных, ставших элементом предмета преступления.
При производстве обысков, выемок, осмотра мест жительства и работы подозреваемого могут быть обнаружены записи, свидетельствующие об умысле противодействующего расследованию субъекта.