Деякі питання розкриття та розслідування злочинів у сфері комп'ютерної інформації

Душейко Г.О., Сергатий М.О.
20.05.2005 | 14:06


Стрімка комп'ютеризація суспільства та поява нових, раніше невідомих злочинів в сфері комп'ютерної інформації, виявили, що правоохоронні органи неготові до адекватного протистояння й активної боротьби з цим новим соціальним явищем.
"Комп'ютерна" злочинність стала однією з міжнародних проблем, що зумовлені створенням міжнародних інформаційних систем, таких, наприклад, як мережа "Інтернет", що об'єднує обчислювальні центри й системи більш як 70 країн і забезпечує обмін даними між різноманітними джерелами і користувачами, яких вже понад 23 мільйони. В розвинутих країнах цей вид злочинності завдає величезних збитків власникам і користувачам автоматизованих систем, змушує їх витрачати значні кошти на розробку і впровадження програмних, технічних та інших засобів захисту від несанкціонованого доступу до інформації, її перекручення чи знищення.
У Сполучених Штатах Америки комп`ютерні шахрайства щорічно спричиняють збитки на суму біля 10 мільярдів доларів США. У Великобританіі, де комп`ютерна злочинність за останні роки зросла у чотири рази, за оцінками Конфедерації британських промисловців, щорічні збитки сягли 5 мільярдів фунтів стерлінгів. Ризик стати потерпілим від таких злочинів став настільки реальним, що страхова агенція Ллойда у Лондоні вже проводить страхування від комп`ютерних злочинів. Такий тип страхування також введений у Німеччині [1]. За оцінками вітчизняних і зарубіжних фахівців, розв'язання проблем розслідування злочинів даного виду являє собою складне завдання для правоохоронних органів, як в нашій країні так і за кордоном. Так, наприклад, у Великобританії з 270 встановлених злочинів з використанням засобів комп'ютерної техніки за останні 5 років було розкрито тільки 6; у ФРН було виявлено 2777 випадків аналогічних злочинів, з них розкрито тільки 170, тоді як інші 2607 кримінальних справ було припинено за різними обставинами; у Франції зареєстрованих налічувалось 70 злочинів, а розкрито тільки 10 кримінальних справ; у США за цей же період правоохоронними органами було розкрито 200 злочинів, за якими до кримінальної відповідальності було притягнуто лише 6 чол. Наведені дані красномовно свідчать про рівень складності здійснення процесів розслідування злочинів категорії, що розглядається.
Американські фахівці з проблем комп`ютерної злочинності підкреслюють, що реальні масштаби цієї проблеми нікому невідомі, а розміри збитків вимірюються мільйонами доларів США і продовжують зростати. Офіційна статистика США свідчить про те, що тільки 5% "комп`ютерних" злочинів стають відомими правоохоронним органам, і приблизно 20% з них піддаються судовому переслідуванню.
Останнім часом і в Україні спостерігається стрімке зростання злочинів, пов'язаних з втручанням у роботу автоматизованих систем. Як правило, втручання це здійснюється з метою вчинення інших, більш тяжких злочинів: розкрадання майна, його вимагання під погрозою знищення чи спотворення інформації, що обробляється чи зберігається в автоматизованих системах, ознайомлення з такою інформацією, її викрадення, знищення тощо. Наприклад, в пеpiод з 1.11.94 по 11.09.96 p.p. кеpуюча Опiшнянським вiддiленням банку "Укpаїна" Пpавденко В.А. спiльно з Остапенко А.С., Яковцем Л.Н., Кальною Н.Д., Катpиш В.I. неодноpазово навмисно втpучались у pоботу автоматизованої системи банку, що спричинило викpивлення iнфоpмацiї та завдало великих збитків вiддiленню банку та окpемим його клiєнтам. В пресі та літературі наводиться багато подібних прикладів.
Злочинність у сфері комп`ютерної інформації підтверджується і даними ІБ МВС України. За статистикою, в 1997 році згідно за статтею 198-1. КК України [3, 10]: "Порушення роботи автоматизованих систем" в Україні порушено 15 кримінальних справ (Вінницька - 4, Луганська - 2, Донецька - 4, Житомирська - 1, Полтавська - 2, Херсонська - 1 та Республіка Крим - 1). Висока латентність таких злочинів пояснюється, насамперед, тим, що державні і комерційні структури, які зазнали нападу, особливо в банківській діяльності, не дуже довіряють можливості розкриття таких злочинів правоохоронними органами. На жаль, для цього є підстави, оскільки, як показує статистичний аналіз наведених вище кримінальних справ за 1997 р., на 01.01.98 р. не розкрита більшість з них. На наш погляд, однією з основних причин високої латентності та низького рівня розкриття злочинів у сфері комп`ютерної інформації є проблеми, які виникають перед правоохоронними органами на стадії порушення такої кримінальної справи внаслідок складності кваліфікації злочинних діянь та особливостей проведення окремих слідчих дій.
Згідно чинного законодавства, необхідно виділити кілька основних обставин, які потребують обов'язкового встановлення у кримінальних справах такої категорії, а саме: об`єкт та предмет злочину, об`єктивну та суб`єктивну сторону злочину, а також самого суб`єкту злочину.
У відповідності із Законом України "Про захист інформації в автоматизованих системах" [5], об`єктом злочину є правові відносини щодо захисту інформації в автоматизованих системах.
Згідно з Кримінальним Кодексом України, предметом злочину виступають:
  • автоматизовані системи (АС) - системи, що здійснюють автоматизовану обробку даних і до складу яких входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення;
  • носії інформації - фізичні об'єкти, поля і сигнали, хімічні середовища, нагромаджувачі даних в інформаційних системах;
  • інформація, яка використовується в АС, - сукупність усіх даних і програм, які використовуються в АС незалежно від засобу їх фізичного та логічного представлення;
  • програмні й технічні засоби, призначені для незаконного проникнення в автоматизовані системи.
Об'єктивна сторона злочинів характеризується втручанням в роботу АС або розповсюдженням програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації.
Суб`єктивна сторона злочину характеризується умислом щодо вчинюваних винним дій, а психічне відношення винного до наслідків у вигляді перекручення чи знищення інформації або її носіїв може характеризуватись як прямим чи непрямим умислом, так і необережністю в обох видах. При розповсюдженні програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи, намір є лише прямим, оскільки суб'єктивну сторону цього злочину визначає психічне відношення винного до вчинюваних ним дій. Мотиви і мета вчинення злочинів можуть бути різними і свідчити про те, що робота автоматизованої системи порушена, наприклад, з метою вчинення інших злочинів.
Особливість злочинів, пов`язаних з розповсюдженням програмних і технічних засобів, призначених для проникнення в АС, полягає в тому, що об'єктивна сторона таких злочинів виражається в самих діях, незалежно від того, чи спричинили вони наслідки у вигляді перекручення або знищення інформації чи носіїв інформації.
Особливість злочинів, пов`язаних з втручанням у роботу автоматизованих систем, полягає в тому, що крім різноманітних дій у вигляді різного впливу на роботу АС, обов'язковими ознаками їх об'єктивної сторони є також наслідки у вигляді перекручення чи знищення інформації, тобто порушення її цілісності (руйнування, спотворення, модифікація і знищення) та причинний зв'язок між вчиненими діями і наслідками.
Згідно з Кримінальним кодексом України [3], під втручанням у роботу АС треба розуміти будь-які зловмисні дії, що впливають на обробку інформації в АС, тобто на всю сукупність операцій (зберігання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних. При втручанні в роботу автоматизованої системи здійснюється порушення її роботи, яке спричиняє спотворення процесу обробки інформації, внаслідок чого перекручується або знищується сама інформація чи її носії.
Під знищенням інформації мається на увазі її втрата, коли інформація в АС перестає існувати для фізичних і юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі. Як знищення, втрату інформації треба розглядати і її блокування, тобто припинення доступу до інформації користувачам АС. Втручання в роботу АС може бути і в формі впливу на канали передачі інформації як між технічними засобами її обробки і зберігання всередині АС, так і між окремими АС, внаслідок чого інформація, що передається для обробки, знищується чи перекручується.
Під перекрученням інформації слід розуміти зміну її змісту, порушення її цілісності, в тому числі й часткове знищення.
Суб'єктами таких злочинів може бути будь-яка фізична осудна особа, що досягла 16-річного віку, включаючи і персонал АС, якого власник АС чи уповноважена ним особа визначили для здійснення функцій управління та обслуговування АС. Суб'єктами злочину в формі розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи її носіїв, можуть бути розробники таких програмних і технічних засобів, зокрема, розробники програм з комп'ютерними вірусами, так звані "хакери", в середовищі яких вважається, що чим складніша система захисту в автоматизованій системі, тим престижніше її зламати, і які витрачають на таку діяльність величезні зусилля і ставлять перед собою єдину мету - спричинити шкоду значній кількості користувачів АС.
У зв`язку з відсутністю достатньої слідчої практики в розкритті та розслідуванні злочинів у сфері комп`ютерної інформації, в оперативних співробітників та слідчих виникає багато труднощів при кваліфікації таких злочинів на стадії порушення кримінальної справи.
При плануванні і здійсненні оперативнорозшукових заходів треба враховувати багато факторів, які вказують на підготовку або здійснення злочину в сфері комп'ютерної інформації.
До складу цих обставин входять:
  • обмежене коло осіб, що мають доступ до АС;
  • наявність серед них осіб, що мають зв`язки в криміногенному середовищі;
  • складнощі оперативного прикриття об`єктів, використовуючих АС.
Крім цього, необхідно знати, що існує багато особливостей, які повинні враховуватися при проведенні таких окремих слідчих дій, як огляд місця події, обшук та виїмка речових доказів, допит потерпілих і свідків, призначення програмно-технічної експертизи. Для того, щоб фактичні дані були визнані доказами, вони повинні бути отримані з джерел і з дотриманням правил, які встановлені кримінально-процесуальним кодексом. А оскільки режим функціонування засобів комп'ютерної техніки та інші особливості даної предметної області залишаються невідомими слідчому-юристу і відповідно не враховуються в процесі проведення оперативно-розшукових заходів і слідчих дій, то в кінцевому результаті це значно ускладнює виявлення злочинів в сфері комп`ютерної інформації та позначається на повному і об'єктивному розслідуванні кримінальних справ даної категорії. Тому розслідування "комп'ютерних" злочинів вважаємо необхідним в обов'язковому порядку проводити із залученням фахівця в області комп`ютерної техники. Необхідність цього підтверджується і досвідом роботи правоохоронних органів інших країн.
Розглянемо детальніше отримання "інформації для доказу" при розслідуванні злочинів у сфері комп`ютерної інформації.
Огляд місця події. Після прибуття на місце події слідчо-оперативній групі потрібно вжити заходів по охороні місця події та забезпеченню збереження інформації на комп'ютерах і периферійних запам`ятовуючих пристроях (ПЗП). Для цього необхідно:
  • заборонити доступ до комп`ютерної техніки працюючого на об'єкті персоналу;
  • персоналу об'єкта заборонити вимикати електропостачання комп`ютерної техніки;
  • у випадку, якщо на момент початку огляду місця події, електропостачання об'єкту вимкнено, то до його відновлення потрібно відключити від електромережі всю комп'ютерну техніку, яка знаходиться в приміщені, що оглядається;
  • не виробляти ніяких маніпуляцій з засобами комп'ютерної техніки, якщо їх результат заздалегідь невідомий;
  • при наявності в приміщенні, де знаходиться комп`ютерна техніка, небезпечних речовин, матеріалів або обладнання (електромагнітних, вибухових, токсичних, тощо) видалити їх в інше місце.
Після вживання вказаних вище невідкладних заходів можна приступати до безпосереднього огляду місця події і вилучення речових доказів. При цьому потрібно брати до уваги наступне:
  • спроби з боку персоналу пошкодити комп`ютерну техніку з метою знищення інформації, якщо до скоєння злочину причетні працівникі цього об`єкту;
  • наявність в комп`ютерній техніці спеціальних засобів захисту від несанкціонованого доступу, які, не отримавши у встановлений час спеціальний код, автоматично знищать всю інформацію;
  • наявність в комп`ютерній техніці інших засобів захисту від несанкціонованого доступу.
Обшук і виїмка речових доказів. При обшуках і виїмках, зв'язаних з вилученням ЕОМ, машинних носіїв і інформації виникає ряд загальних проблем, пов'язаних зі специфікою технічних засобів, що вилучаються. Так, необхідно передбачати заходи безпеки, що здійснюються злочинцями з метою знищення речових доказів. Наприклад, вони можуть використати спеціальне обладнання, в критичних випадках утворююче сильне магнітне поле, що стирає магнітні записи. Відома історія про хакера, який створив в дверному отворі магнітне поле такої сили, що воно знищувало магнітні носії інформації при винесенні їх з його кімнати. Злочинець має можливість включити до складу програмного забезпечення своєї машини програму, яка примусить комп'ютер періодично вимагати пароль, і, якщо декілька секунд правильний пароль не введений, дані в комп'ютері автоматично нищаться. Винахідливі власники комп'ютерів встановлюють іноді приховані команди, що знищують або архівують з паролями важливі дані, якщо деякі процедури запуску машини не супроводяться спеціальними діями, відомими тільки їм.
Враховуючи особливості речових доказів, пов`язаних з "комп`ютерними" злочинами, їх пошук та виїмку слід розпочинати з аналізу та вилучення інформації з ЕОМ. Оскільки пошук і аналіз інформації і програмного забезпечення в них завжди вимагає спеціальних знань, то наступні слідчі дії повинні виконуватись тільки за участю фахівця.
Аналіз та вилучення інформації у комп'ютері здійснюється, як в оперативному запам'ятовуючому пристрої (ОЗП), так і на периферійних запам'ятовуючих пристроях (ПЗП) - накопичувачах на жорстких магнітних дисках, оптичних дисках, дискетах, магнітних стрічках та ін. Слід пам`ятати, що при вимкненні персонального комп'ютера або закінченні роботи з конкретною програмою ОЗП очищається і усі дані, які знаходяться в ОЗП, знищуються.
Найбільш ефективним і простим способом фіксації даних з ОЗП є виведення інформації на друкуючий пристрій (принтер).
Як відомо, інформація в ПЗП зберігається у вигляді файлів, впорядкованих за каталогами (директоріями). Потрібно звертати увагу на пошук так званих "прихованих" файлів і архівів, де може зберігатися важлива інформація. При виявленні файлів із зашифрованою інформацією або таких, які вимагають для перегляду введення паролів, потрібно направляти такі файли на розшифровку і декодування відповідним фахівцям.
Так само, як і у випадку з ОЗП, інформацію, знайдену в ПЗП, доцільно в ході огляду виводити на друкуючі пристрої і зберігати на паперових носіях у вигляді додатків до протоколу огляду. Вилучення даних в "поштових скриньках" електронної пошти може здійснюватися за правилами виїмки. Огляд комп'ютерів і вилучення інформації проводиться в присутності понятих, які розписуються на роздруках отриманої в ході огляду інформації, що конвертується та запаковується згідно правил зберігання речових доказів.
Речові докази у вигляді ЕОМ, машинних носіїв вимагають особливої акуратності при вилученні, транспортуванні та зберіганні. Їм протипоказані різкі кидки, удари, підвищені температури (вище кімнатних), вогкість, тютюновий дим. Всі ці зовнішні чинники можуть спричинити втрату даних, інформації та властивостей апаратури. Не треба забувати при оглядах і обшуках про можливості збору традиційних доказів, наприклад, прихованих відбитків пальців на клавіатурі, вимикачах та ін. Огляду підлягають всі пристрої конкретної ЕОМ. Дана дія при аналізі її результатів з участю фахівців допоможе відтворити картину дій зловмисників і отримати важливі докази.
Фактично оптимальний варіант вилучення ЕОМ і машинних носіїв інформації - це фіксація їх на місці виявлення і пакування таким чином, щоб апаратуру можна було б успішно, правильно і точно, так само, як на місці виявлення, з'єднати в лабораторних умовах або в місці проведення слідства з участю фахівців. Потрібно мати на увазі, що конкретна програмно-технічна конфігурація дозволяє виконувати з апаратурою певні дії, і порушення конфігурації або відсутність даних про точну її фіксацію (так само, як на місці виявлення) може вплинути не тільки на можливість виконання на ній відповідних дій в ході слідства, але й на оцінку в суді можливості здійснення злочину. Так, тип програмного забезпечення, завантаженого в комп'ютер, при огляді або обшуку може показувати задачі, для яких комп'ютер використовувався. Якщо, наприклад, є програмне забезпечення для мережевого зв'язку і комп'ютер, сполучений з модемом, то це явно свідчить про можливість даного програмно-технічного комплексу виконувати задачі доступу до інформації в інших ЕОМ.
Програмно-технічна експертиза. Програмно-технічна експертиза (ПТЕ) призначається в разі порушення кримінальної справи, у випадках, передбачених статтями 75 і 76 КПК України, для проведення наступних досліджень:
  • встановлення відповідності певної комп'ютерної системи або мережі стандарту і перевірки її роботи за допомогою спеціальних тестів;
    дослідження речових доказів, що передбачають:
    • фіксацію джерела, виду, способу введення та виведення даних і їх обробку;
    • виявлення змін і доповнень в програмних засобах;
    • відновлення пошкоджених або знищених файлів;
    • відновлення пошкоджених магнітних та інших носіїв машинної інформації;
    • визначення давності виконання окремих фрагментів програмних засобів;
  • ідентифікації автора програмного засобу, його призначення (вірусного або іншого), -встановлення факту його інтерпретації і меж дозволеної компіляції.
Поряд з цими основними задачами при проведенні ПТЕ можуть бути вирішені і деякі допоміжні задачі:
  • оцінка вартості комп'ютерної техніки, периферійних пристроїв, програмних продуктів, а також перевірка контрактів на їх постачання;
  • встановлення рівня професійної підготовки окремих осіб в області програмування і роботи з комп'ютерною технікою;
  • переклад документів технічного змісту (в окремих випадках).
У зв'язку з тим, що при огляді ЕОМ і носіїв інформації проводиться вилучення різних документів, в ході розслідування виникає необхідність в призначенні криміналістичної експертизи для дослідження документів. Дактилоскопічна експертиза дозволить виявити на документах, частинах ЕОМ і машинних носіях сліди пальців рук причетних до справи осіб.
Згідно ст.1 Закону України "Про оперативно-розшукову діяльність" [8], особливе значення в розкритті та розслідуванні так званих "комп'ютерних" злочинів має оперативно-розшукова інформація. Для отримання такої інформації, а також здійснення пошукових заходів з метою фіксації фактичних даних про протиправну діяльність окремих осіб чи груп, направлену на втручання в АС, оперативними працівниками повинні опитуватись усі особи, що мали доступ до АС (користувачі, програмісти, обслуговуючий персонал, працівники служби безпеки тощо). Під час проведення опитування необхідно приділяти особливу увагу висвітленню таких питань:
  • хто та за яких обставин зафіксував несанкціонований доступ до інформації в АС;
  • які дії були проведені персоналом при отриманні повідомлення про незаконне втручання до АС;
  • як повели себе конкретні особи;
  • наявність інформації про осіб, що мали намір здійснити несанкціонований доступ до інформації;
  • наявність інформації про зв`язки обслуговуючого персонала з особами, що становлять оперативний інтерес, а також з криміногенним середовищем.
Така інформація використовується для, забезпечення успішного проведення окремих слідчих дій та вживання оперативних заходів, висунення версій, що підлягають перевірці слідчим або оперативно-розшуковим шляхом.
Підводячи підсумок наведеному вище, можна констатувати, що є чимало можливостей та шляхів активізації діяльності слідчих з метою підвищення ефективності розслідування кримінальних справ, пов`язаних зі злочинами в сфері комп`ютерної інформації.
Враховуючи реальний стан справ з цього питання в Україні та спираючись на досвід правоохоронних органів зарубіжних країн, можна наступним чином сформулювати пропозиції по підвищенню роботи органів внутрішніх справ у сфері "комп`ютерних" злочинів:
  1. Успішне проведення розслідувань злочинів в сфері комп`ютерної інформації, починаючи зі стадії порушення кримінальної справи, є можливим тільки при обов`язковій участі фахівця в області комп`ютерної техніки;
  2. Фахівці в області комп`ютерної техніки повинні бути штатними співробітниками криміналістичних підрозділів системи МВС України. Вони повинні знати сучасне апаратне та програмне забезпечення автоматизованих систем, можлі канали витоку інформації і несанкціонованого доступу в АС та способи їх розслідування;
  3. Підготовка фахівців для розслідування злочинів в сфері комп`ютерної інформації повинна здійснюватись у вищих юридичних закладах України шляхом введення відповідної спеціалізації за напрямком (професійним спрямуванням) 0601 Право.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
  1. Аналітичний огляд НЦБ Інтерполу в Україні "Про досвід праовоохоронних органів США по боротьбі з    комп`ютерною злочинністю". Інформ. лист МВС від 4 квітя 1997 р.
  2. Голубєв В.О. Комп`ютерні злочини в банківській діяльності.- З.: Павел, 1997.- С. 133.
  3. Уголовный кодекс Украины: научно-практический комментарий. - Киев: Фіта, 1995.-862 с.
  4. Кримінальний кодекс України: Офіційний текст із змінами і доповненнями за станом на 1 лютого 1996    року.-Київ: Видання українського державного центру правової інформації Міністерства юстиції України,    1996.- 224 с.
  5. Закон України ''Про захист інформації в автоматизованих системах''.//ВВР №31 1994.-286 с.
  6. Положення про технічний захист інформації в Україні, затвер-джене постановою Кабінету Міністрів    України від 9 вересня 1994 р. № 632 // ЗП України, 1994. №12.;
  7. Кримінально-процесуальний кодекс України: науково-практичний коментар. - Київ: Юрінком, 1995.-639    с.
  8. Закон України "Про оперативно-розшукову діяльність": науково-практичний коментар. - Київ: РВВ МВС    України, 1993.- 120 с.
  9. Салтевский М.В. Криминалистика. Х., Рубикон, 1997.- С. 430.
  10. Батурин Ю.М. Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. М.:    Юрид. лит., 1991. С. 158.

ISBN 966-95343-1-3

©Авторський колектив, 1998
© "Інформаційні технології та захист інформації", 1998
©Запорізький юридичний інститут, 1998