Раскрытие компьютерных преступлений

Преступления в сфере компьютерной информации: проблемы выявления и раскрытия

Раскрытие компьютерных преступлений

В данной статье анализируются некоторые проблемы выявления и раскрытия преступлений в сфере компьютерной информации.

Авторами особое внимание уделяется такой категории компьютерных посягательств, как неправомерный доступ к компьютерной информации, а также способам обнаружения и фиксации «цифровых следов».

Отражаются особенности оперативно-розыскных мероприятий и следственных действий, направленных на выявление и раскрытие данных преступлений.

Ключевые слова:компьютерные преступления, неправомерный доступ к компьютерной информации, компьютерные технологии, «цифровой след», судебная компьютерно-техническая экспертиза.

Современное общество невозможно представить без современных компьютерных технологий. Более того общество 21 века по праву признается информационным.

Вряд ли найдется представитель такого общества, который не сталкивался бы с передачей и получением информации через компьютерные сети.

Напротив, согласно данным «Cisco», ожидается, что глобальный трафик IP будет ежегодно увеличиваться на 32 % [1], так что к настоящему времени, количество битов, пересылаемых через Интернет каждый день, возможно, уже превысило приблизительное число песчинок на всех пляжах в мире.

Впрочем, примерно с такой же стремительностью растет и киберпреступность, и количество так называемых ИТ-инцидентов. На сегодняшний день значительная доля компьютерных преступлений приходится на неправомерные посягательства на информацию [2, с.

73–82], которая в последующем используется в личных, корыстных целях. Когда начали пользоваться первыми цифровыми сетями, очень мало усилий затрачивалось на то, чтобы защитить их от вторжения. Вскоре стало очевидным, что методология цифровой безопасности абсолютно необходима.

Методология цифровой безопасности заключается в добавлении в цифровую сеть дополнительных слоев, которые предотвращают несанкционированный доступ, а также могут обнаружить и сохранить довольно длинную историю всех доступов и определенных точек входа.

Тем более выяснилось, что при проведении сетевого криминалистического анализа (исследования, экспертизы) часто приходится работать — в системе, которую нельзя выключать (маршрутизаторы, переключатели и другие виды сетевых устройств, в том числе и критические серверы).

Наконец, стало совершенно ясно: только «цифровые следователи» и специалисты в «компьютерной криминалистике» используют эти и многие другие системы, чтобы расследовать «цифровые» преступления.

Для выполнения подобных задач необходимы отдельные человеческие ресурсы и их 100 %-ное вовлечение в процесс.

При этом необходима высокая квалификация специалистов — владение методиками и процедурами сбора и представления доказательств, их подачи в компетентные инстанции, знание законодательных нормативов и тонкостей для формирования понятного состава обвинения (в условиях работы со случаями нарушения законодательства в узкоспециализированной сфере, которая обычно недостаточно понятна судам).

По данным американской исследовательской фирмы Digital Research, опросившей 548 компаний, первое место занимают компьютерные преступления, совершенные сотрудниками собственных фирм (57 %).

Пользуясь практически неограниченными возможностями незаметно пользоваться компьютерами, эти люди наиболее эффективны в плане промышленного шпионажа и прочей подрывной деятельности. Вторыми по вредности являются также сотрудники фирм, но уже бывшие. Уволившиеся работники частенько оставляют себе доступ к корпоративной сети.

Хакеры, которых «рекламируют» как наиболее опасных преступников, заняли, по данным исследования, лишь третье место и составляют 21 % [3].

Вполне логично в данной статье дать краткую классификацию ИТ-инцидентов и способов киберпреступлений:

1)                 утечка конфиденциальной информации;

2)                 неправомерный доступ к информации;

3)                 удаление информации;

4)                 компрометация информации и саботаж;

5)                 мошенничество с помощью ИТ;

6)                 аномальная сетевая активность;

7)                 аномальное поведение бизнес-приложений;

8)                 использование активов компании в личных целях или в мошеннических операциях;

9)                 атаки типа «Отказ в обслуживании» (DoS), в том числе распределенные (DDoS);

10)             перехват и подмена трафика;

11)             фишинг, взлом, попытка взлома, сканирование портала компании;

12)             сканирование сети, попытка взлома сетевых узлов, вирусные атаки;

13)             анонимные письма (письма с угрозами);

14)             размещение конфиденциальной/провокационной информации на форумах и блогах.

Эти и иные способы правонарушений связаны с рядом действий:

1)                 подбор паролей, ключей и другой идентификационной или аутентификационной информации;

2)                 подмену IP-адресов пакетов, передаваемых по Интернету или другой глобальной сети, так, что они выглядят поступившими изнутри сети, где каждый узел доверяет адресной информации другого;

3)                 инициирование отказа в обслуживании — воздействие на сеть или отдельные ее части с целью нарушения порядка штатного функционирования;

4)                 прослушивание и расшифровку трафика с целью сбора передаваемых паролей, ключей и другой идентификационной или аутентификационной информации;

5)                 сканирование с использованием программ, последовательно перебирающих возможные точки входа в систему (например, номера TCP-портов или телефонные номера) с целью установления путей и возможностей проникновения;

6)                 подмену, навязывание, уничтожение, переупорядочивание или изменение содержимого данных (сообщений), передаваемых по сети, и др.

Следует признать, что доступ к любой цифровой системе всегда оставляет след, хотя бы временно. Примеры «цифровых следов» включают в себя:

–                   электронные письма и сеансы мгновенной связи;

–                   счета-фактуры и данные о полученной оплате; информация в журнале регистрации доступа;

–                   / var / log / сообщения; журналы брандмауэра; действия браузера, в том числе веб-почты;

–                   сохраненные packet logs; журналы по профилактике обнаружения и предотвращения вторжений.

При выявлении, раскрытии и расследовании преступлений в сфере компьютерной информации используется комплекс оперативно-розыскных мероприятий и следственных действий. Особую сложность представляет и сама процедура обнаружения, фиксации и изъятии компьютерной информации [4, с. 15–18].

Потому для обнаружения данных следов на ряду с традиционными оперативно-разыскными мероприятиями используются и специальные по данной категории преступлений, которые «представляют собой совокупность действий по перехвату и исследованию данных трафика, установление логов веб — и мейл-серверов, системных логов, доменов, принадлежности адреса электронной почты, исследование кейлогеров» [5, с. 27].

Значительное место в деятельности по выявлению, раскрытию и расследованию данной категории преступлений занимает производство судебных экспертиз [6, с. 14–15], а именно судебных компьютерно-технических, где происходит анализ «цифровых следов». В свою очередь, судебные компьютерно-технические экспертизы подразделяются на четыре вида:

Во-первых, это судебная аппаратно-компьютерная экспертиза, заключающаяся в проведении исследования:

а)                  технических (аппаратных) средств компьютерной системы: персональных компьютеров;

б)                 периферийных устройств, сетевых аппаратных средств (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.);

в)                 интегрированных систем (органайзеры, пейджеры, мобильные телефоны и т. п.);

г)                  встроенных систем (иммобилайзеры, транспондеры, круиз- контроллеры и др.);

д)                 любых комплектующих всех указанных компонентов (аппаратные блоки, платы расширения, микросхемы и т. д.).

При этом решаются задачи:

1)                 классификации и определения свойств аппаратного средства; выяснения фактического и первоначального состояния;

2)                 диагностики технологии изготовления, причин и условий изменения свойств (эксплуатационных режимов);

3)                 определения структуры механизма и обстоятельства события за счет использования выявленных аппаратных средств как по отдельности, так и в комплексе в составе компьютерной системы.

Во-вторых, судебная программно-компьютерная экспертиза, назначаемая для исследования программного обеспечения. Объекты включают: системное программное обеспечение; прикладное программное обеспечение (текстовые и графические редакторы, системы управления базами данных, электронные таблицы); авторское программное обеспечение потребительского назначения.

Задачами этой экспертизы являются:

1)                 классификация и определение основных характеристик операционной системы, используемых технологий системного программирования;

2)                 выявление, исследование функциональных свойств и состояния программного обеспечения;

3)                 исследование алгоритма программного продукта, типов поддерживаемых аппаратных платформ;

4)                 определение причин, целей и условий изменения свойств и состояния программного обеспечения;

5)                 индивидуальное отождествление оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;

6)                 установление групповой принадлежности программного обеспечения;

7)                 выявление индивидуальных признаков программы, позволяющих впоследствии идентифицировать её автора, а также взаимосвязи с информационным обеспечением исследуемой компьютерной системы;

В-третьих, судебная информационно-компьютерная экспертиза, имеющая цель поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порожденной программами для организации информационных процессов в компьютерной системе.

Экспертными задачами здесь являются:

1)                 установление вида, свойств и состояния информации (фактического и первоначального, в том числе до ее удаления и модификации) в компьютерной системе;

2)                 определение причин и условий изменения свойств исследуемой информации;

3)                 определение механизма, динамики и обстоятельств события по имеющейся информации на носителе данных или её копиям;

4)                 установление участников события, их роли, места, условий, при которых была создана (модифицирована, удалена) информация;

5)                 установление соответствия либо несоответствия действий с информацией специальному регламенту (правилам), например, правомерно ли конкретное использование информации, защищенной паролем, и др.

В-четвертых, судебная компьютерно-сетевая экспертиза, основывающаяся, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию.

Задачи этой экспертизы включают практически все основные задачи рассмотренных выше видов экспертизы.

Это объясняется тем, что её объекты интегрированы из объектов рассмотренных выше видов экспертиз (аппаратные, программные и данные), но лишь с той разницей, что они все функционируют в определенной сетевой технологии.

Следует особо заметить, что с точки зрения криминалистики важно исследовать не только «цифровые следы», но и всю следовую картину. Поэтому по делам данной категории могут назначаться судебные экспертизы других классов и родов:

1)                 судебно-трасологические — для анализа следов взлома, следов рук как на внешних, так и на внутренних поверхностях компьютеров и их комплектующих;

2)                 судебно-экономические, в частности финансово-экономические и бухгалтерские, если преступления совершаются в кредитно-финансовой сфере;

3)                 судебно-технические экспертизы документов, когда компьютер используется как средство для изготовления поддельных документов, фальшивых денежных билетов;

4)                 фоноскопические экспертизы — при использовании средств прослушивания переговоров и др.

Интернет и корпоративные сети уже давно достигли того уровня, когда мы не можем в полной мере проанализировать и осмыслить их функционирование.

Прогрессирующее совершенствование компьютерных технологий привело не только к улучшению человеческой жизнедеятельности, но и к формированию новых механизмов незаконного использования компьютерной информации в личных, корыстных целях.

Поэтому необходимость совершенствования механизма противодействия таким негативным проявлениям не вызывает сомнений.

Литература:

1.      «Cisco» — мировой лидер в сфере сетевых технологий. URL: http://www.cisco.com/web/RU/products/security/index.html.

2.      См. об этом подробнее: Егорышева Е. А., Егорышев А. С. Основные обстоятельства, способствующие неправомерному доступу к компьютерной информации // Вестник Башкирского института социальных технологий. 2009. № 3. С. 73–82.

3.      URL: http://zhenilo.narod.ru/main/ips/2006_special_technics_and_information_security.pdf.

4.      Нехорошева О. Изъятие компьютерной техники и информации // Законность, 2004. № 8. С. 15–18.

5.      Афанасьев А. Ю., Репин М. Е. Некоторые особенности расследования компьютерных преступлений // Студенческие южно-уральские криминалистические чтения: Сборник материалов всероссийской заочной научно-практической конференции. Выпуск 3 // Под. ред. И. А. Макаренко. Уфа: РИЦ БашГУ, 2015. С. 26–29.

6.      См., например: Егорышева Е. А., Егорышев А. С. Некоторые вопросы использования специальных знаний при расследовании неправомерного доступа к компьютерной информации // Эксперт-криминалист. 2011. № 3. С. 14–15.

Источник: https://moluch.ru/archive/95/21286/

Практика раскрытия и расследования компьютерных преступлений

Раскрытие компьютерных преступлений

Применение системы правовых и организационно-технических мер предупреждения компьютерных преступлений, несомненно, является одним из ведущих направлений в борьбе с компьютерными преступлениями. Однако хорошо известно, что одними мерами предупреждения (сдерживания) не всегда удается предотвратить преступное посягательство.

Тем более, что, по единому мнению ведущих специалистов, занимающихся вопросами обеспечения безопасности компьютерных систем и электронного оборудования, в мире не существует абсолютно надежных электронных систем, гарантирующих своим пользователям полную конфиденциальность и сохранность машинной информации, циркулирующей в них [25, п.

21-22]. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники (СКТ), но и решать вопросы расследования компьютерных преступлений.

Указанная необходимость возникает в том случае, когда принятые меры предупреждения исчерпаны и не смогли в полной степени предотвратить наступление противоправного события.

На основании вышеизложенного нам представляется возможным выделить следующие основные криминалистические проблемы, возникающие в настоящее время перед правоохранительными органами при расследовании компьютерных преступлений и характеризующие одновременно специфику этого процесса, а именно:

1) сложность в установлении факта совершения компьютерного преступления и решении вопроса о возбуждении уголовного дела;

2) сложность в подготовке и проведении отдельных следственных действий;

3) особенности выбора и назначения необходимых судебных экспертиз;

4) целесообразность использования средств компьютерной техники в расследовании преступлений рассматриваемой категории;

5) отсутствие методики расследования компьютерных преступлений.

По оценкам отечественных и зарубежных исследователей, решение проблем раскрытия и расследования преступлений данного вида представляет собой задачу на несколько порядков более сложную, чем, скажем, задачи, сопряженные с их предупреждением. Видимо, поэтому уровень латентности компьютерных преступлений, в немалой степени зависящий и от этих обстоятельств, определяется в настоящее время в 90%.

А из оставшихся 10% выявленных компьютерных преступлений раскрывается только 1%. Такое положение дел можно проиллюстрировать и конкретными статистическими данными. Например, в Великобритании из 270 установленных преступлений, совершенных с использованием средств компьютерной техники за последние 5 лет, были расследованы только 6; в ФРГ в 1987 г.

было выявлено 2777 случаев аналогичных преступлений, из них расследовано только 170, тогда как остальные 2607 уголовных дел были прекращены по различным основаниям; во Франции в том же году было зарегистрировано 70 преступлений, а расследовано — 10 уголовных дел; в США в период с 1978 по 1986 гг.

правоохранительными органами было расследовано всего 200 преступлений, по которым к уголовной ответственности было привлечено лишь 6 чел. [32, с. 39; 81, с. 9].

При этом, по оценкам тех же специалистов, только 10% раскрытых компьютерных преступлений могут быть своевременно обнаружены с помощью систематических ревизионных проверок, тогда как 90% из них выявляются только благодаря случайностям [4, с. 38]. Приведенные данные красноречиво свидетельствуют об уровне сложности осуществления процессов расследования преступлений рассматриваемой категории.

Проведенный нами анализ отечественных уголовных дел, имевшихся в нашем распоряжении, в целом подтверждает вышеизложенное.

Относительная новизна возникших проблем, стремительное наращивание процессов компьютеризации российского общества, по нашему мнению, застали врасплох правоохранительные органы, оказавшиеся неготовыми к адекватному противостоянию и активной борьбе с этим новым социальным явлением.

Считаем, что данная тенденция усугубляется еще и под воздействием ряда объективных и субъективных факторов, подробно рассмотренных нами в первой главе настоящей работы. Отчасти это подтверждается и данными проведенного нами исследования.

Так, например, 76% опрошенных респондентов, составляющих исследуемую группу в лице начальников городских

И районных управлений (отделов) внутренних дел, считают что во вверенных им подразделениях нет в настоящее время сотрудников, способных заниматься вопросами раскрытия компьютерных преступлений. Аналогичной точки зрения придерживаются и респонденты из группы начальников следственных подразделений органов внутренних дел.

Оставляет желать лучшего и положение с отечественными научными разработками этих проблем, особенно в области криминалистической науки (отсутствие соответствующих методик). Остается нерешенным также и ряд основных организационных аспектов проблемы, связанных, например, с координацией усилий различных государственных органов, подготовкой соответствующих специалистов и т. д.

Отечественное положение дел в этих направлениях, как показывает анализ литературных источников, резко контрастирует с зарубежным, где в последние годы им уделяется все более повышенное и пристальное внимание со стороны государственных органов.

Так, в ФРГ, например, в учебных заведениях системы МВД в курс “Экономические преступления” введен специальный раздел, касающийся вопросов раскрытия и расследования преступлений, связанных с автоматической обработкой информации в компьютерных системах, а в Академии ФБР США в г. Квонтико (штат Вирджиния) с 1976 г.

для слушателей читается специальный трехнедельный учебный курс по теме “Техника расследования преступлений, связанных с использованием компьютеров”. Помимо этого, в каждом низовом структурном подразделении ФБР имеется штатный специалист в этой области и с 1982 г. функционирует специальное подразделение численностью 500 чел.

Аналогичная ситуация и в других зарубежных странах: в Канаде — функционирует группа специалистов уголовной полиции, занимающихся расследованием этой категории уголовных дел в масштабе всей страны, в Швеции — штатная численность специального подразделения составляет 150 сотрудников и т. д.

https://www.youtube.com/watch?v=sozGaSQXnFM

Нам представляется возможным привести и следующий факт по существу рассматриваемого вопроса. Как отмечалось на совещании по вопросам компьютерной преступности, проходившем в мае 1986 г.

в Высшей полицейской академии ФРГ, в котором приняли участие 60 представителей органов уголовной полиции и прокуратуры западноевропейских государств, необходимо проводить систематическую специальную подготовку сотрудников уголовной полиции и органов юстиции в целях повышения их квалификации в области автоматической обработки информации, что является обязательным условием для оперативного и эффективного расследования компьютерных преступлений [88, с. 36].

По нашему мнению, давно назрела необходимость создания подобных подразделений в России в системе правоохранительных органов и принятия аналогичных мер с учетом богатого зарубежного опыта.

Отсутствие последних, по оценкам некоторых отечественных специалистов, уже привело к тому, что компьютерная преступность выпала из сферы контроля правоохранительных органов и грозит к 2000 г. перерасти в серьезную государственную проблему, как это уже было ранее в зарубежных странах.

Тенденция отечественного негативного варианта развития в этом направлении научно обоснована и подтверждена соответствующими математическими расчетами в работе Черкасова В.Н. “Теория и практика решения организационно-методических проблем борьбы с экономической преступностью в условиях применения компьютерных технологий”.

В ней, в частности, автор приходит к выводу о том, что опасность преступлений, связанных с использованием ЭВМ, возрастает быстрыми темпами и их количество удвоится к 2000 г. в России по сравнению с ситуацией, сложившейся на начало 90-х гг. [99, с. 26].

На основе анализа специальной литературы и публикаций в периодической печати, нормативных актов, следственной практики, информации оперативно-розыскного характера, а также опросов специалистов, нами со всей определенностью делается вывод о том, что в настоящее время вопросами борьбы с компьютерной преступностью на государственном уровне практически никто не занимается, им не уделяется должного внимания, вследствие чего правоохранительные органы лишены возможности полнокровной борьбы с этим социально опасным явлением.

Общее положение дел таково, что расследование компьютерных преступлений ведется лишь сотрудниками отделов по борьбе с экономической преступностью, не имеющих соответствующей специализации и необходимых познаний в области компьютерной техники и, как правило, связанных исключительно с хищениями (покушениями на хищение) денежных средств в крупных и особо крупных размерах, что составляет лишь незначительную часть противоправных деяний, относимых нами к категории компьютерных преступлений.

Как показывает практика, следователи, производящие расследование этой части компьютерных преступлений, сталкиваются со многими, подчас неразрешимыми трудностями, среди которых нам представляется возможным выделить следующие:

— сложность квалификации преступных деяний;

— сложность в проведении различных следственных действий из-за несовершенства действующего уголовно-процессу-ального законодательства;

— сложность в назначении программно-технической экспертизы средств компьютерной техники и в формулировке вопросов, выносимых на рассмотрение эксперта;

— отсутствие по некоторым вопросам соответствующих специалистов, необходимых для привлечения в ходе следствия;

— отсутствие элементарных познаний в области компьютерной техники и т. д.

Нами особо выделяются факторы, оказывающие негативное влияние на процесс расследования компьютерных преступлений и требующие своего скорейшего решения:

1) несовершенство уголовно-процессуального законодательства;

2) крайне слабая нормативная база, призванная регламентировать правовой статус и специфические особенности информационных ресурсов;

3) отсутствие методик расследования преступлений указанного вида;

4) отсутствие обобщений следственной и судебной практики;

5) отсутствие базового экспертно-криминалистического центра по производству необходимых экспертиз средств компьютерной техники;

6) отсутствие методик проведения криминалистических

(программно-технических) экспертиз СКТ;

7) отсутствие учебно-методических центров для подготовки соответствующих специалистов для нужд правоохранительных органов;

8) крайне низкая оснащенность подразделений правоохранительных органов средствами компьютерной техники и региональная разобщенность при решении этих вопросов, вызванная нескоординированностью действий.

https://www.youtube.com/watch?v=T0ZuA7GXmC8

В результате совокупного взаимодействия указанных выше факторов на практике сложилась ситуация, которая существенно затрудняет возможность своевременного обнаружения преступления и полного сбора доказательств на первоначальном этапе работы по делу.

Как видно из приведенных выше статистических данных, одной из особенностей компьютерных преступлений является то, что большинство из них остаются латентными.

Анализ специальной литературы показывает, что существует много косвенных признаков, указывающих на подготовку либо совершение компьютерного преступления. К ним относятся:

— хищение носителей информации;

— ненормальный интерес некоторых лиц к содержимому мусорных емкостей (корзин, баков и т. д.);

— совершение необоснованных манипуляций с ценными данными (например, частый перевод денежных средств с одного счета на другой, наличие у одного лица нескольких счетов, проведение операций с данными, не подтвержденными соответствующими бумажными документами, либо с задержкой такого подтверждения последними и т. д.);

— нарушение заданного (нормального) режима функционирования компьютерных систем либо иных СКТ;

— проявления вирусного характера;

— необоснованная потеря значительных массивов данных;

— показания средств защиты компьютерной техники;

— необоснованное нахождение в помещениях организации посторонних лиц, включая неплановый технический осмотр помещений, оборудования, различных средств и систем жизнеобеспечения представителями обслуживающих и контролирующих организаций (электрик, сантехник, радиотелемастер, связист, инспектор госпожнадзора, энергонадзора, вневедомственной охраны, санэпидстанции, системотехник, программист, электронщик и т. д.);

— нарушение правил ведения журналов рабочего времени компьютерных систем (журналов ЭВМ) или их полное отсутствие (например, исправление в них записей, “подчистки” и “подтирки”, отсутствие некоторых записей или их фальсификация);

— необоснованные манипуляции с данными: производится перезапись (тиражирование, копирование), замена, изменение, либо стирание без серьезных на то причин, либо данные не обновляются своевременно по мере их поступления (накопления);

— на ключевых документах появляются поддельные подписи либо подпись отсутствует вообще;

— появляются подложные либо фальсифицированные документы или бланки строгой отчетности;

— некоторые сотрудники организации без видимых на то оснований начинают работать сверхурочно, проявлять повышенный интерес к сведениям, не относящимся к их непосредственной деятельности (функциональным обязанностям), либо посещать другие подразделения и службы организации;

— сотрудники возражают либо высказывают открытое недовольство по поводу осуществления контроля за их деятельностью;

— у некоторых сотрудников, непосредственно связанных с компьютерной техникой, появляется ненормальная реакция на рутинную работу;

— становятся многочисленными жалобы клиентов;

— производится передача информации лицам, не имеющим к ней доступа;

— у некоторых сотрудников проявляется небрежность при работе со средствами компьютерной техники.

Источник: https://studopedia.ru/20_127984_praktika-raskritiya-i-rassledovaniya-kompyuternih-prestupleniy.html

Как расследовать компьютерные преступления: советы и предостережения

Раскрытие компьютерных преступлений

Как расследовать компьютерные преступления: советы и предостережения

автор: Собецкий Игорь Заведующий кафедрой

экономической безопасности

– Почему салюта не было?

– Государь, на то есть семнадцать причин. Во-первых, порох отсырел. Во-вторых, пушкарь спился. В-третьих, пушки заржавели…

– Болван! Достаточно и одной причины!

Хроника расследования одного инцидента

В некоторых аспектах функционирование российской правоохранительной системы весьма существенно отличается от иностранных. Если за рубежом 1  основное расследование осуществляется именно на стадии судебного разбирательства, то в нашей стране приоритет отдается досудебному следствию. Именно на этой стадии выясняются ключевые особенности дела, которые затем лишь проверяются на стадии судебного следствия. Вследствие этого многие зарубежные руководства по расследованию инцидентов информационной безопасности рекомендуют организовывать немедленную «экспертизу» скомпрометированных систем силами IT-подразделения пострадавшей компании или привлеченных специалистов. Результаты исследований затем передаются в полицию или непосредственно в суд, где используются для доказательства вины конкретных злоумышленников. Такой подход полностью соответствует законодательству США и ряда стран, принадлежащих к англо-саксонской правовой системе. Одним из главных его преимуществ является минимальная задержка между выявлением компрометации системы и проведением квалифицированного исследования, а также общее ускорение расследования. Однако действующее в России процессуальное законодательство прямо запрещает подобные методы. Экспертиза в нашей стране может быть проведена либо по мотивированному постановлению следователя (по уголовному делу), либо по решению суда (по гражданскому делу). Любые исследования, выполненные какими бы то ни было специалистами без такого правового «оформления» в дальнейшем не могут служить доказательствами по делу, поскольку не имеют юридической силы. Проводить исследование, которое в дальнейшем может быть положено в основу обвинения, возможно только после начала уголовного следствия по делу.

Между тем на практике дата начала следствия предсказуема ненамного точнее даты конца света. Во многих российских компаниях заведены строгие порядки общения с внешним миром: заявление в правоохранительные органы можно подать не иначе как с санкции первого лица компании.

Поскольку генеральный директор, вообще говоря, не обязан ежедневно по восемь часов присутствовать на рабочем месте, получение такой санкции может растянуться на 3-5 дней в зависимости от обстоятельств  2 . В полиции тоже не кипят желанием немедленно в присутствии заявителя заводить уголовное дело.

Статья 144 Уголовно-процессуального кодекса РФ  3 отводит на т.н. доследственную проверку 10 дней  4 с момента подачи заявления. Причем вынужденное ожидание отнюдь не является залогом возбуждения дела.

Статья 145 УПК разрешает следователю принять решение об отказе в возбуждении уголовного дела или о направлении материалов проверки по подследственности.

И если первый вариант может быть успешно обжалован в суде, то второй предоставляет недостаточно профессиональному следователю возможность затянуть рассмотрение дела по существу на теоретически бесконечно долгое время. Таким образом, проведение юридически значимого исследования откладывается, по сути, на неопределенный срок. И за этот срок могут быть утрачены такие важные данные, как сторонние лог-файлы (например, банков и провайдерских компаний), видеозаписи охранных систем и др.

Решить данную проблему возможно несколькими способами. Наиболее простой из них был описан в методических рекомендациях NIPC  5 – «Заранее укрепляйте контакты с адвокатской конторой, командой аварийного реагирования, правоохранительными органами».

Речь здесь идет не о коррупции, а всего лишь о предварительном «знакомстве» службы экономической безопасности компании с местными правоохранительными органами, чтобы иметь представление об их возможностях и в случае инцидента обратиться за помощью в те структуры, которые на самом деле могут эту помощь оказать. Главным недостатком этого способа можно считать патологическую уверенность большинства капитанов нашего бизнеса в том, что уж с ними-то никакой беды никогда не случится, и вытекающий из этой уверенности категорический отказ от подобных контактов.

Второй способ – убедить органы государственной власти (хотя бы на уровне губернатора области) в существенной социальной роли своей компании и добиться появлении в компании т.н. «прикомандированных» работников органов внутренних дел (как правило, в службе безопасности). В случае нанесения компании ущерба вследствие противоправных действий неизвестных лиц эти специалисты смогут немедленно начать доследственную проверку, юридически корректно изъять все необходимые лог-файлы и в ряде случаев установить лиц, совершивших преступление, даже до официального возбуждения уголовного дела. К сожалению, этот способ не работает для мелких и средних компаний – хороших прикомандированных специалистов на всех желающих не хватит.

Третий способ представляет собой сложившуюся в российской бизнес-практике извращенную реализацию второго. Вместо губернатора области в высокой миссии компании убеждают кого-либо из руководителей правоохранительных органов среднего звена.

Следствием этого может стать получение кем-либо из работников подразделения экономической безопасности статуса внештатного сотрудника полиции  6 .

В этом случае при некотором везении вся собранная по данному делу информация будет считаться собранной правоохранительными органами в законном порядке.

Четвертый и самый затратный для компании способ – сразу же после инцидента обратиться в специализированную консалтинговую компанию по расследованию инцидентов информационной безопасности. Поскольку такие компании уже реализовали для себя один из предыдущих способов, с их помощью срок возбуждения уголовного дела существенно сокращается, а шансы на адекватное возмещение имущественного ущерба соответственно возрастают. Основной недостаток такого подхода – цены на услуги таких компаний. Несмотря на то, что менеджеры консалтинговых компаний считают цены всего лишь экономически обоснованными в условиях кризиса, некоторые их клиенты употребляют даже эмоционально окрашенные оценки типа «бессовестные» и «грабительские».

Наконец, пятый способ – максимально сократить ранее уже описанный интервал времени от возникновения инцидента до официального обращения в правоохранительные органы.

Для этого в нормативных документах компании должна быть прямо прописана обязанность конкретного должностного лица компании  7 немедленно без согласования с кем бы то ни было обращаться с заявлением в государственные правоохранительные органы сразу же при получении информации о нанесенном компании ущербе.

Никак нельзя рекомендовать в качестве полезного до сих пор не изжитый рядом российских компаний способ на начальных стадиях развития инцидента собрать всю необходимую информацию приватным порядком, без официального оформления. Во-первых, обаяния работников частной службы безопасности может и не хватить на коллег из других компаний, в результате чего создаются все условия для утраты существенных доказательств. Во-вторых, такое кустарное расследование в дальнейшем может опорочить результаты расследования официального, подорвав их доказательственное значение.

Во всех известных автору зарубежных источниках содержится здравая рекомендация как можно скорее поручить сопровождение расследования инцидента профессиональному юристу.

Однако в нашей стране в качестве такого юриста постоянно пытаются использовать начальника юридического отдела компании или кого-то из его наименее талантливых подчиненных.

При этом сторонники такого совместительства не понимают, что большинство российских юристов отличается несколько односторонней подготовкой.

Поскольку изучить все отрасли права  8 сразу и в дальнейшем поддерживать эти знания в актуальном состоянии практически невозможно, юристы специализируются в какой-то одной области права. По понятным причинам юридические отделы компаний укомплектовываются преимущественно специалистами по гражданскому праву, которые совершают досадные ошибки, столкнувшись с уголовным судопроизводством.

Поэтому для корректного юридического сопровождения расследования инцидента целесообразно немедленно привлечь к сотрудничеству адвоката, специализирующегося в уголовном праве. Помощь такого адвоката неоценима, особенно если для компания понесла существенный ущерб, который хотелось бы возместить.

Автору известен, например, прискорбный случай с начальником юридического отдела в крупной компании.

Уважаемому специалисту по гражданскому праву некий лейтенант одной из государственных правоохранительных структур  9 просто вернул заявление о совершенном преступлении на том основании, что оно не заверено нотариусом.

Со специалистом в уголовном праве этот фокус уже не прошел, но ловкач заволокитил расследование на критически важные восемь дней. Компании достался утешительный приз в виде постановлении о признании ее потерпевшей и эфемерной надежды, что когда-нибудь злодей все-таки будет пойман.

Помощь адвоката абсолютно необходима, если преступлением компании нанесен ущерб, который хотелось бы возместить. Без квалифицированного адвокатского сопровождения добиться этой цели можно лишь чисто случайно  10 . В любом случае услуги адвоката обходятся куда дешевле многомиллионного ущерба.

И наконец, еще один очень важный момент. Часто все усилия службы безопасности компании  11 заканчиваются в момент, когда справедливость вроде бы восторжествовала. Злоумышленник с дружками отловлены дружными усилиями правоохранительных органов.

Собранные доказательства настолько полны, что решение суда не вызывает сомнений.

И приговор оправдывает самые смелые ожидания сторонников справедливости – злодеи признаны виновными, получили тюремный срок  12 , и на них возложена обязанность возместить в полном объеме c нанесенный компании ущерб.

Розовый туман рассеивается, когда приговор вступает в законную силу. Такие тихие, раскаявшиеся, на все готовые злодеи выражают компании свои соболезнования, но возместить ущерб пока не могут по уважительной причине. Денег нет от слова «совсем». Конечно же, молодые люди не отказываются от исполнения приговора суда, просто надо немного подождать. Вот как только деньги будут – так сразу. А пока, извините, никак не можем, самим деньги нужны. В нашей стране эта ситуация становится для компании тупиком. Все имущество мошенников к этому моменту давно уже выведено из их владения и переписано на подставных лиц. Остается надеяться на помощь Федеральной службы судебных приставов, работники которой уж точно взыщут негодяев денежки! Не сразу конечно, как только у них деньги будут – так сразу. А сейчас извините, денег нет. Некоторые горячие головы в такой ситуации готовы прибегать к откровенно криминальным методам «выбивания долгов», рискуя при этом сами попасть под суд. Однако гораздо проще взыскать все похищенные у компании средства до суда, на стадии предварительного следствия. После изучения под руководством следователя статьи 61 Уголовного кодекса у злодеев появляется вполне разумное желание обзавестись смягчающим уголовную ответственность обстоятельством, добровольно до суда выплатив всю свою задолженность. Деньги при этом находятся воистину волшебными способами. И только на этой стадии возможна полная компенсация ущерба. При вынесении приговора суд может учесть факт возмещения или невозмещения ущерба, а получать реальный срок лишения свободы вместо условного злодеям что-то не хочется.

1 В особенности в странах англо-саксонской правовой системы.

2 Известный автору рекорд получения такой санкции – 23 дня с момента инцидента. Генеральный директор обворованной компании не пожелал из-за такой мелочи прервать турне по филиалам.

3 В дальнейшем – УПК.

4 Официальная формулировка – 3 суток, в исключительных случаях до 10 суток. На самом же деле, с точки зрения правоохранительных органов, каждое криминальное происшествие в чём-то исключительно.

5 National Infrastructure Protection Center, или Национальный центр по защите инфраструктуры США, – американская правительственная организация, предназначенная для оказания содействия бизнес-структурам в обеспечении конфиденциальности. В настоящее время вошла в состав Министерства национальной безопасности в качестве департамента.

6 Внештатные сотрудники полиции действуют гласно и не имеют никакого отношения к оперативно-розыскной деятельности. Подробно об этом можно узнать, например, из Приказа Министерства внутренних дел Российской Федерации от 10 января 2012 г. № 8 г. «Об утверждении Инструкции по организации деятельности внештатных сотрудников полиции».

7 Обычно это начальник службы безопасности компании или кто-либо из его заместителей.

8 Имеется в виду не «изучение» в целях получения положительной оценки на экзамене, а настоящее изучение, после которого полученные знания могут быть использованы на практике.

9 Название этой структуры опущено, так как после вмешательства адвоката ее руководство исправило ошибки своего подчиненного.

10 Автору известно несколько таких чудесных случаев. Без черной магии дело обошлось лишь дважды – в первом случае за наказанием группы злоумышленников последовала тихая свадьба дежурной в ночь инцидента специалистки по ИБ с руководителем следственно-оперативной группы, а во втором столь же тихая защита кандидатской диссертации.

11 И финансирование услуг адвоката.

12 Как правило, условный.

Источник: https://www.securitylab.ru/blog/company/itsecurity/139222.php

К вопросу о сложившихся проблемах выявления и раскрытия преступлений в сфере компьютерной информации и высоких технологий

Раскрытие компьютерных преступлений

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Рязанский филиал Московского университета МВД России имени В.Я. Кикотя

Кафедра уголовного процесса и криминалистики

К вопросу о сложившихся проблемах выявления и раскрытия преступлений в сфере компьютерной информации и высоких технологий

к.ю.н, доцент Р.М. Мелтонян

к.ю.н. преподаватель А.А. Рудавин

Аннотация

В статье рассматриваются актуальные вопросы выявления и раскрытия преступлений, совершаемых в киберпространстве посредством использования компьютерных систем и телекоммуникационных сетей.

Ключевые слова:компьютерные преступления, интернет-мошенничество, преступления в сфере высоких технологий, киберпреступность, хакеры.

История развития человеческой цивилизации всегда была связана с накоплением и последующим использованием общественно-полезной информации.

По мере появления новых технологий и перехода от бумажных носителей к электронным базам данных, все острее встает вопрос защиты интересов граждан и государства в сфере компьютерной информации и высоких технологий, что также является одной из проблем уголовно-процессуальной науки [1].

В наши дни жертвами преступлений в сфере информационных технологий становятся не только руководители высшего звена и правительственные организации, но и простые граждане. «При этом безопасность тысяч пользователей может оказаться в зависимости от нескольких преступников»[2].

Количество преступлений, совершаемых в сфере компьютерной информации и высоких технологий увеличивается соразмерно росту пользователей компьютерных сетей. Об этом в частности свидетельствуют отдельные электронные ресурсы, разработанные правительствами некоторых стран мира для приема заявлений граждан на преступления, совершенные в телекоммуникационной сети «интернет».

Так запущенный в мае 2000 года как виртуальный центр для приема жалоб граждан США на «интернет – преступления» сайт «InternetComplain Center» получил своего миллионного заявителя спустя семь лет после создания (июнь 2007 года). В ноябре 2010 года было зарегистрировано два миллиона жалоб на «интернет – преступления». В 2014 году количество заявлений достигло трёх миллионов.

Ежегодно, начиная с 2010 года количество заявлений граждан США на совершенные в отношении них в телекоммуникационной сети «интернет» преступления приближается к отметке в 300 тысяч (2010 – 303,809; 2011 – 314,246; 2012 – 289,974; 2013 – 262,813; 2014 – 269,422; 2015 – 288,012).

По сообщениям интернет пользователей общие потери от киберпреступности за 2015 год составили 1,070,711,522 доллара США[3].

В России подобные электронные ресурсы пока не введены в действие, а официальная статистика сообщает о не значительном количестве киберпреступлений. К тому же последние традиционно ограничиваются составами, перечисленными в 28 главе УК РФ[7].

Так по данным отчета о состоянии преступности, ежегодно размещаемого на сайте Министерства внутренних дел, в России за 2016 год было зарегистрировано 1748 преступлений в сфере компьютерной информации, что на 26,6 % меньше чем за аналогичный период в 2015 году. 1503 преступления было выявлено сотрудниками ОВД.

Из преступлений, дела и материалы о которых находились в производстве, было раскрыто 903 деяния[4].

По сравнению с официальной статистикой в США и некоторых странах Западной Европы приведенные цифры кажутся ничтожными.

Даже если принять во внимание противоправные деяния, которые при использовании компьютерной информации и высоких технологий (способ совершения деяния) несомненно, относятся к киберпреступлений и размещены в разных главах особенной части УК РФ. В частности, «Нарушение неприкосновенности частной жизни» (ст.

137 УК РФ), «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» (ст. 138 УК РФ), «Мошенничество в сфере компьютерной информации» (ст. 159.6 УК РФ),«Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» (ст.

183 УК РФ), «Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних» (ст. 242.1 УК РФ),«Незаконные изготовление и оборот порнографических материалов или предметов (ст. 242 УК РФ).

В связи с этим возникает вполне логичный вопрос о фактическом состоянии (количестве и качестве) совершаемых в Российской Федерации преступлений в сфере компьютерной информации и высоких технологий, об их официальной государственной регистрации и латентном характере деяний в указанной сфере. Отдельно – вопрос об уровне профессиональной подготовленности сотрудников правоохранительных органов, социализирующихся на выявлении, раскрытии и расследовании названных преступлений. преступление киберпространство компьютерный информация

Источник: https://revolution.allbest.ru/law/00989005_0.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.