Комп'ютерна інформації як речовий доказ у кримінальній справі

Котляревський О.І. Киценко Д.М.
20.05.2005 | 14:06
Усі необхідні обставини в кримінальному процесі встановлюються за допомогою кримінально-процесуальних доказів, поняття яких дається в ч.1 ст.65 Кримінально-процесуального кодексу України: "Доказами в кримінальній справі є всякі фактичні дані, на підставі яких у визначеному законом порядку... встановлюють наявність або відсутність суспільно небезпечного діяння, винність особи, яка вчинила це діяння, та інші обставини, що мають значення для правильного вирішення справи" [1]. Частина друга цієї статті подає невичерпний перелік доказів, ними є показання свідка, потерпілого, підозрюваного, обвинуваченого, висновки експерта, речові докази, протоколи слідчих і судових дій, інші документи. Проте зумовлене все зростаючими темпами науково-технічного прогресу та інтеграцією України в світове товариство розширення використання електронно-обчислювальної техніки призвело до виникнення de facto нового виду засобів встановлення обставин - "електронних доказів".

У загальному вигляді "електронні докази" - це сукупність інформації, яка зберігається в електронному вигляді на будь-яких типах електронних носіїв та в електронних засобах. Особливість цих доказів полягає в тому, що вони не можуть сприйматися безпосередньо, а повинні бути інтерпретовані певним чином та проаналізовані за допомогою спеціальних технічних засобів та програмного забезпечення.

Правоохоронні установи у різних країнах утворюють все зростаючу кількість спеціалізованих підрозділів для збирання та аналізу електронних доказів. Цю функцію виконують і численні лабораторії судової експертизи, як державні, так і приватні.

Аналіз існуючої у світі практики свідчить, що більшість злочинів, де електронні докази були залучені в процесі розслідування, - це злочини у сфері економіки. Однак такі випадки не поодинокі і при розслідуванні будь-яких інших видів злочинів.

Електронні докази можуть бути отримані із різноманітних джерел. Сучасне суспільство у багатьох випадках залежить від автоматизованих та комп'ютеризованих систем, які надають певні види послуг, робіт, виконують захисні функції. У повсякденному житті ми мало звертаємо увагу на різноманітні комп'ютерні системи, які знаходяться навколо нас та впливають на нашу життєдіяльність. Ніхто з нас не замислюється про велику кількість мобільних телефонів, радіоприймачів та передавальних пристроїв, комп'ютерів, які керують виробничими процесами на фабриках та підприємствах, а також невеликих електронних пристроїв, де зберігається персональна інформація: адреси, телефонні номери, розклад дня тощо.

Дуже часто поліція стикається з комп'ютерами, коли розслідуються звичайні види кримінальних злочинів: крадіжка, вимагання, шантаж, торгівля наркотиками тощо. Для криміналістів теж все більш звичним стає пошук та аналіз в комп'ютерних системах інформації, яка може бути використана як доказ при розгляді кримінальної справи у суді. Тому хоча законодавчі процедури та правила вилучення та оформлення доказів відрізняються в різних країнах, однаковим є те, що визнання комп'ютерних доказів судами, - процес важкий і потребує впевненості в тому, що докази були виявлені та вилучені співробітником, який має певні навики та підготовку для цієї діяльності.

Протягом обшуку всі електронні докази, які знаходяться у комп'ютері чи комп'ютерній системі, повинні бути зібрані таким шляхом, щоб вони потім були визнані судом. Світова практика свідчить, що у великій кількості випадків під тиском представників захисту у суді електронні докази не беруться до уваги. Для того, щоб гарантувати їх визнання у якості доказів, необхідно суворо дотримуватися вимог національного кримінально-процесуального законодавства, а також стандартизованих прийомів та методів, напрацьованих досвідченими експертами та фахівцями з розслідування цих видів злочинів.

Важливо наголосити, що комп'ютерні злочини мають розслідуватись лише тими підрозділами чи співробітниками правоохоронних органів, які мають спеціальні навики для ведення таких справ та пройшли відповідну підготовку.

Робота з комп'ютерами і комп'ютерним обладнанням вимагає спеціальних знань. Серйозні проблеми, які призводять до значних витрат, можуть виникнути, якщо некваліфікована особа матиме справу з цією технікою. Тому існує нагальна потреба у спеціалізованих "комп'ютерних" підрозділах або у кваліфікованих технічних працівниках.

Комп'ютери - це складне обладнання, яке потребує обережного поводження з ним під час роботи на місці події. Слід пам'ятати, що комп'ютери можуть містити в собі велику кількість даних, які належать сторонній особі або організації (наприклад, можуть бути об'єктом інтелектуальної власності). Тому обережність при поводженні з комп'ютером необхідна як з точки зору збереження важливої доказової інформації, так і з точки зору запобігання нанесення матеріальних збитків та збереження власності. Одна помилка, без перебільшення, може коштувати мільйонних економічних втрат. Саме тому необхідно, щоб з комп'ютером на місці події мала справу дійсно кваліфікована особа.

Справедливим є твердження про те, що не існує такого поняття як універсальний комп'ютерний експерт. Можна тільки говорити про осіб, які є компетентними спеціалістами в певних видах комп'ютерних систем. Тому, збираючись на місце події, важливо встановити, з якою технікою і з якою операційною системою доведеться мати справу. Перше, що необхідно встановити, - це назва операційної системи. Не всі комп'ютерні системи однаково розповсюджені, і тут можуть виникнути певні проблеми. Спеціаліст з операційної системи MS-DOS може не володіти необхідними знаннями для управління машиною з іншою операційною системою, наприклад, МVS. Потрібно мати на увазі, що тип операційної системи, що використовується в комп'ютері, як правило, не вказується на його корпусі. На корпусі є інформація про виробника комп'ютера або тільки номер моделі. Але, незважаючи на певні труднощі, фахівець повинен визначитись, чи може він працювати з даною системою. При цьому необхідно пам'ятати, що відповідальність за все, що відбувається на місці події, несе офіцер поліції. Якщо для проведення операції був залучений експерт чи фахівець, дії цих осіб з обладнанням повинні ретельно фіксуватися.

Найпростіший випадок, коли маємо справу лише з одним окремим комп'ютером. Однак комп'ютери можуть бути пов'язані між собою в комп'ютерну мережу (наприклад, локальну), котрі, в свою чергу, можуть бути об'єднані через глобальні комп'ютерні мережі (типу Інтернет). Тому не виключена ситуація, що певна важлива інформація (яка може бути використана як доказ) буде передана через мережу в інше місце. Не виключений також випадок, що це місце буде знаходиться за кордоном, а іноді важлива для кримінальної справи інформація може знаходиться на території декількох країн. У такому разі необхідно використати всі можливості (документацію, допити осіб, технічні можливості системи) для встановлення місцезнаходження іншої комп'ютерної системи, куди була передана інформація. Як тільки це буде зроблено, необхідно терміново надіслати запит з виконанням встановлених вимог, про надання допомоги (або правової допомоги, якщо така необхідна для виконання поставлених у запиті питань) у компетентний правоохоронний орган відповідної країни. Саме на цьому етапі виникають найбільші труднощі в організації роботи по розслідуванню комп'ютерного злочину та кримінального переслідування злочинців.

Співробітники правоохоронних органів все частіше стикаються при обшуках в офісах підприємств та установ з локальними комп'ютерними мережами. Мережні технології дуже розвинуті та складні, а тому існує небезпека, що слідство може втратити важливі докази, якщо особи, що ведуть його, не будуть ознайомлені з можливостями цих технологій. Необхідно зрозуміти, що реальне фізичне місцезнаходження даних може бути зовсім не в тому місці, як це сприймається на перший погляд. Мережні технології дозволяють прикривати реальне розташування існуючих жорстких дисків та файлових систем.

До підготовки будь-якої акції, пов'язаної з розслідуванням комп'ютерного злочину (особливо обшуку), доцільно з самого початку залучити фахівця з комп'ютерних систем. До початку операції необхідно мати і певну "розвідувальну" інформацію: марка, модель комп'ютера, операційна система, периферійні пристрої, засоби зв'язку та будь-які інші відомості про систему, яка є об'єктом розслідування.

Наявна інформація повинна бути терміново доведена до фахівця, аби він мав час для встановлення контакту з іншими фахівцями (якщо в цьому виникає необхідність), а також підготувати необхідні для збору доказової комп'ютерної інформації обладнання, інструменти, програмне забезпечення та магнітні носії.

Пошукова група повинна бути певним чином проінструктована. Необхідно впевнитись, що члени групи знайомі з типами технічних об'єктів, з якими вони матимуть справу. Адже нині зустрічаються комп'ютери різноманітних типів та розмірів - від маленьких розміром з годинник до традиційно великих машин. На цьому треба зосередити увагу учасників обшуку.

Пошук необхідної інформації у комп'ютерних системах може зайняти декілька годин або й декілька днів. У випадку, коли систему неможливо фізично вилучити і перемістити в інше місце, виникає необхідність скопіювати інформацію та комп'ютерні програми на магнітні носії (зробити повні копії окремих машин, або окремих директорій, дисків тощо). Тому для пошуку та копіювання інформації необхідно зарезервувати час.

Магнітні носії, на які передбачається копіювати інформацію, повинні бути відформовані (необхідно впевнитись, що на них нема ніякої інформації).Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір (не слід використовувати звичайні поліетиленові пакети). Слід пам'ятати, що інформація може бути зіпсована вологістю, пилом або електростатичними (магнітними) полями.

Під час транспортування комп'ютерного обладнання слід поводитися з ним обережно, оскільки записуючо-стираючі головки можуть бути пошкоджені під час пересування. Для транспортування великих комп'ютерних систем слід підготувати транспорт та спеціальні упаковки.

Прибувши на місце події (обшуку), необхідно перш за все "заморозити" ситуацію: вивести всіх осіб із зони доступу до обладнання, забезпечити неможливість втручання до системи через лінії зв'язку (зокрема, через модеми). Не дозволяйте нічого змінювати у роботі системи. Система може бути дуже складна, тому чітко не розібравшись у конфігурації системи, не приймайте швидких рішень. Якщо потребується допомога фахівця, забезпечте його виклик і чекайте на нього.

Ні в якому разі та не під яким приводом не слід дозволяти підозрюваній особі торкатися комп'ютера. Можливо, що в комп'ютері передбачена можливість стирання інформації шляхом натиснення однієї клавіші. Бажано, щоб підозрюваний був присутній при огляді, оскільки саме він може надати найбільш важливу інформацію про систему-паролі, коди доступу, перелік інстальованих програм та місцезнаходження окремих директорій (в тому числі прихованих). Однак його необхідно тримати на відстані від комп'ютерного обладнання та джерела струму, щоб запобігти спробам знищення або зміни комп'ютерних доказів.

Ретельно обстежте комп'ютерне обладнання та опишіть його в протоколі. Обов'язково намалюйте схему системи. Слід пам'ятати, що самовільне втручання до системи може внести зміни до доказової інформації або привести до повної її втрати. Крім того, знищення даних або пошкодження обладнання в результаті некваліфікованих дій можуть привести до виникнення матеріальних претензій до організації, яка здійснює розслідування чи перевірку.

Доцільно також зробити оглядові та детальні фотографії місця події, при можливості провести відеозапис. Бувають випадки, коли окремі компоненти системи можуть знаходиться в інших приміщеннях і навіть будівлях, або взагалі бути приховані. Схованки можуть бути зроблені в стінах будівель, стелях, горищних приміщеннях.
Не дозволяйте стороннім особам та непідготовленому персоналу вмикати та користуватися вилученим обладнанням. Якщо це можливо, всі дослідження необхідно проводити за участю фахівців спеціальних підрозділів або в судових лабораторіях. Це забезпечує гарантію від випадкових помилок та зберігає цілісність вилученої доказової інформації. Всі операції, які здійснюються з системою, повинні ретельно фіксуватися.

Перевезення і зберігання комп'ютерної техніки повинно здійснюватися в умовах, що виключають її пошкодження, в тому числі в результаті дії металодетекторів, що використовуються для перевірки багажу в аеропортах. При перевезенні і складанні комп'ютерів неприпустимо ставити їх один на інший, розміщувати на них будь-які інші предмети.

Обладнання та магнітні носії інформації повинні зберігатися у сухому приміщенні (вологість 50-70%), без пилу та магнітних полів, при температурі 15-200 С (60-70 F). Багато комп'ютерів працюють від батарейок. Перед зберіганням слід впевнитись, що вони придатні для подальшої роботи, або їх слід замінити. В окремих типах техніки втрата живлення може привести до втрати записаної інформації.

Як вже було сказано, слід дотримуватися певних правил поводження з комп'ютерним обладнанням (саме тоді повною мірою перевіряється ступінь підготовленості співробітників правоохоронних органів). Коротко наведемо деякі рекомендації:
  • 1.На будь-якому етапі роботи з комп'ютерним обладнанням та доказами комп'ютерного походження, якщо ви не впевнені в собі, дочекайтесь прибуття експерта або забезпечте участь фахівця.
  • 2.Якщо участь експерта або фахівця неможлива, дотримуйтесь наступної послідовності дій (невиконання цих вимог може привести до втрати інформації або її доказової сили).
  • 2.1.Не користуйтеся поблизу комп'ютерів радіо-телефонами, оскільки вони можуть шкідливо діяти на комп'ютерну систему.
  • 2.2.При охороні комп'ютера не дозволяйте нікому відключати напругу, торкатися клавіатури, змінювати положення комп'ютера або пов'язаного з ним обладнання. Ніколи не рухайте комп'ютер, коли він підключений. Дозвольте принтеру закінчити друкування, якщо воно почалось.
  • 2.3.Зафіксуйте, як кожні з частин комп'ютерної мережі зв'язані між собою та з іншим обладнанням При розборі відмічайте (маркуйте) обидві кінцівки кабелів. Забезпечте фотографування загального виду кімнати та підготуйте план приміщення, де буде відображене місце знаходження апаратури, її підключення та взаємне з'єднання.

На цій стадії не вимикайте і не вмикайте комп'ютер.

Відключення живлення з метою вилучення обладнання приведе до втрати тимчасової пам'яті комп'ютера (RAМ), а також може викликати ускладнення з запуском системи у майбутньому, так як вона може бути захищена паролями.

Коли екран не світиться, це ще не завжди означає, що комп'ютер обов'язково вимкнений. Може бути пошкоджені деякі деталі обладнання, не працювати вентилятор чи бути виключений тільки монітор.
  • 2.4.Занотуйте у повному обсязі інформацію, яка є на екрані (екранах).
  • 2.5.Забезпечте охорону комп'ютерної системи, після чого з'ясуйте наступні питання:
  • а) Чи підключений комп'ютер до телефонної мережі за допомогою модему?
Якщо це телефонний рознім, то відключить його.
Якщо він підключений через модем, то відключіть напругу до цього пристрою (не до комп'ютера). Запишіть номер використаного телефону.
  • б) Де знаходиться джерело струму (батареї, джерело безперервного живлення та інше).
  • в) Необхідно закрити активні програми, після чого можна вимкнути монітор, процесор та відключити напругу.
  • 2.6.Встановіть та відмітьте виробника, модель та серійний номер усіх вузлів та операційних систем.
  • 2.7.Від`єднайте шнури струму, клавіатури, екран, модем та принтер.
  • 2.8.Упакуйте процесор або CPU (якщо жорсткий диск змонтований окремо) в опечатані пакети (паперові або спеціальні упакування), та відмітьте номери печаток. Якщо це портативний комп'ютер, то вкладіть його до конверта, а потім до опечатаного пакета. Не відкривайте портативний комп'ютер.
  • 3.Переконайтесь, що всі перелічені нижче пункти виконані.

Упакуйте в окремі опечатані пакети: CPU (кожний окремо); портативні комп'ютери; дискети; окремо змонтовані жорсткі диски; носії інформації, які можуть використовуватися разом з комп'ютерами (касети, дискети, лазерні диски).

Перевірте, чи були вилучені наступні речі: монітор (за винятком, коли комп'ютер підключений до телевізора); клавіатура; принтер; модем; документація та інструкції по експлуатації; адаптери до портативних комп'ютерів; помічені кабелі та розніми; зразки фірмових та інших бланків комп'ютерного походження; роздруковані комп'ютерні тексти, які можуть мати відношення до злочину (вони могли були бути знищені на комп'ютері); нотатки чи записи, якщо є підозра, що це є комп'ютерні паролі або інструкції по доступу до мережі /програм.

Всі речі та документи повинні бути вилучені та описані у відповідності з нормами діючого кримінально-процесуального законодавства.
  • 4.Опитайте підозрілих та свідків, для чого використовувався комп'ютер, чи застосовувались і які паролі, де були придбані захисні програми. Необхідно визначити, чи є контракт на технічне обслуговування комп'ютерного обладнання, з ким його було заключено, чи були збої у роботі техніки при експлуатації та які саме.
  • 5.Усе вилучене необхідно якомога швидше передати у розпорядження експерта або фахівця для подальшого вивчення.

Оскільки результати комп'ютерно-технічної експертизи, особливо експертизи програмного забезпечення, прямо залежать від збереження інформації на внутрішніх і зовнішніх магнітних носіях, необхідно при вилученні об'єктів дотримуватись правил, які були вказані вище.

Протягом розслідування, яке пов'язане з комп'ютерами та комп'ютерними системами найважливішим є уникнути дій, які можуть пошкодити чи змінити наявну інформацію, тим чи іншим шляхом змінити цілісність вилучених даних.

Використання відпрацьованих та перевірених процедур і методик зменшує, але повністю не виключає такої можливості. У ряді випадків неминуче окремі дані будуть змінені чи переписані у ході проведення досліджень системи, наприклад, зміна тимчасових файлів, поява змін при закритті програм-додатків, на бітовому рівні можуть бути внесені зміни у парольний захист. Особи, які проводять дослідження комп'ютерної системи, повинні чітко уявляти всі побічні негативні наслідки проведених з системою операцій та ретельно фіксувати кожен свій крок дослідження, щоб бути готовим у майбутньому пояснити, чому і які зміни стались.

Комп'ютери та їх комплектуючі опечатуються шляхом наклеювання на місця з'єднань аркушів паперу із закріпленням їх країв на бокових стінках комп'ютера густим клеєм або клейкою стрічкою, щоб виключити роботу з ними у відсутності власника або експерта. Магнітні носії упаковуються та транспортуються у спеціальних екранованих контейнерах або у стандартних дискетних чи інших алюмінієвих футлярах заводського виготовлення, які виключають руйнівний вплив електромагнітних і магнітних полів, направлених випромінювань. Опечатуються тільки контейнери або футляри. Пояснювальні записи можуть наноситись тільки на самонаклеювальні етикетки для дискет, причому спочатку робиться запис, а потім етикетка наклеюється на призначене для неї місце на дискеті. Якщо на дискеті вже є етикетка з яким-небудь написом, проставляється тільки порядковий номер, а пояснювальні написи під цим номером робляться на окремому аркуші, який вкладається в коробку. Неприпустимо приклеювати будь-що безпосередньо до магнітного носія, пропускати через нього нитку, пробивати отвори, робити підписи, помітки, ставити печатки тощо.

У постанові про призначення експертизи вказують серійний номер комп'ютера та його індивідуальні ознаки (конфігурація, колір, написи на корпусі).

Повинно стати нормою в слідчій та експертній практиці робити повну копію системи, що досліджується, і всі дослідження проводити з копією, а не з самим оригіналом. Як правило, такий шлях можливий в будь-якому випадку.

З точки зору дослідника, дані, які існують в системі, можна поділити на три великі категорії. Перша категорія - це дані, які існують на файловому рівні, друга - це дані, які були знищені, але існує можливість їх відновлення на файловому рівні. Третя категорія - це окремі частки даних, що раніше були частками окремих файлів, і які вже неможливо відновити на файловому рівні. Треба зазначити, що проведення досліджень з цих питань - процес, який коштує великих грошей та вимагає значних затрат часу.

Неможливо перерахувати всі методи, обладнання та програмне забезпечення, які використовуються для аналізу електронної інформації. Це питання для окремого видання. Можна стисло відмітити, що для цієї мети використовують як загальнодоступні програмні засоби, так і спеціально розроблені програми для правоохоронних органів та експертних лабораторій. Вивчення вилученого матеріалу проводиться, як правило, у спеціалізованих підрозділах поліції, органів судової експертизи, спеціалізованих приватних компаніях, науково-дослідних установах, дослідницьких центрах.

Протягом розслідування можуть бути випадки, коли слідчий чітко знає, який доказ він бажає знайти в комп'ютерній системі: конкретний документ чи угоду. В цьому випадку завдання полегшується і потрібно тільки встановити місцезнаходження цієї інформації в системі. Але ситуація різко змінюється, якщо конкретно невідомо, яка інформація може бути цікавою для слідства. В цьому випадку особа, що веде розслідування, вимушена за допомогою експерта ознайомитись з усіма вилученими матеріалами. Сам експерт не може виконати цю роботу, оскільки повною мірою не володіє обставинами справи і не може оцінити доказову силу тієї чи іншої інформації.

Як характерні приклади електронних доказів, можна навести існуючу в комп'ютерних системах інформацію про робочі контакти, листування, укладені контракти та угоди, бухгалтерські баланси та звіти, платіжні перекази та виплати тощо.

Дотримання співробітниками правоохоронних органів вищенаведених рекомендацій щодо збирання та фіксації "електронних доказів", на нашу думку, сприятиме підвищенню ефективності боротьби зі злочинністю.

  1. Кримінально-процесуальний кодекс України: Науково-практичний коментар.- К.: Юрінком, 1995.- 639с.
  2. Біленчук П.Д., Ващенко С.В. Профілактика та попередження злочинності у сфері комп'ютерної інформації // Інформаційні технології та захист інформації: Збірник наук. праць.- Запоріжжя, 1998.- №1.- C.76.
  3. Юнацький О.В., Нейфельд П.К. Використання спеціальних знань при збиранні та направленні на дослідження носіїв інформації персональних комп'ютерів // Інформаційні технології та захист інформації: Збірник наук. праць.- Запоріж-жя, 1998.- №1.- C.55.
  4. Біленчук П.Д., Ващенко С.В. Вказ. праця.

ISBN 966-95343-7-2
© Авторський колектив, 1998
© "Інформаційні технології та захист інформації", 1998