Расследование преступлений в сфере компьютерной информации

5? Установление способа несанкционированного доступа?

6? Установление лиц: совершивших неправомерный доступ: их виновности и

мотивов преступления?

7? Установление вредных последствий преступления?

8? Выявление обстоятельств: способствовавших преступлению?

Установление факта неправомерного доступа к информации в компьютерной

системе или сети? Такой факт : как правило: первыми обнаруживают

пользователи автоматизированной информационной системы: ставшие жертвой

данного правонарушения?

Факты неправомерного доступа к компьютерной информации иногда

устанавливаются в результате оперативно-розыскной деятельности органов

внутренних дел: ФСБ: налоговой полиции? Установить их можно в ходе

прокурорских проверок: при проведении ревизий: судебных экспертиз:

следственных действий по уголовным делам? Рекомендуется в необходимых

случаях при рассмотрении материалов: связанных с обработкой информации в

компьютерной системе или сети: установление фактов неправомерного доступа к

ним поручать ревизорам и оперативно-розыскным аппаратам?'

На признаки несанкционированного доступа или подготовки к нему могут

указывать следующие обстоятельства:

появление в компьютере фальшивых данных*

необновление в течение длительного времени в автоматизированной

информационной системе кодов: паролей и других защитных средств*

частые сбои в процессе работы компьютеров*

участившиеся жалобы клиентов компьютерной системы Или сети*

осуществление сверхурочных работ без видимых на то причин*

немотивированные отказы некоторых сотрудников: обслуживающих

компьютерные системы или сети: от отпусков*

неожиданное приобретение сотрудником домашнего дорогостоящего

компьютера*

чистые дискеты либо диски: принесенные на работу сотрудниками

компьютерной системы под сомнительным предлогом перезаписи программ для

компьютерных игр*

участившиеся случаи перезаписи отдельных данных без серьезных на то

причин*

чрезмерный интерес отдельных сотрудников к содержанию чужих распечаток

(листингов(: выходящих из принтеров?

Особо следует выделить признаки неправомерного доступа: относящиеся к

отступлению от установленного порядка работы с документами: а именно:

а( нарушение установленных правил оформления документов: в том числе

изготовления машинограмм*

6( повторный ввод одной и той же информации в ЭВМ*

в( наличие в пачке лишних документов: подготовленных для обработки на

компьютере*

г( отсутствие документов: послуживших основанием для записи во

вторичной документации*

д( преднамеренная утрата: уничтожение первичных документов и машинных

носителей информации: внесение искажений в данные их регистрации?

Для фактов неправомерного доступа к компьютерной информации характерны

также следующие признаки: относящиеся к внесению ложных сведений в

документы:

а( противоречия (логические или арифметические( между реквизитами того

или иного бухгалтерского документа*

б( несоответствие данных: содержащихся в первичных документах: данным

машинограмм*

в( противоречия между одноименными бухгалтерскими документами:

относящимися к разным периодам времени*

г( несоответствие учетных данных взаимосвязанных показателей в

различных машинограммах*

д( несоответствие между данными бухгалтерского и другого вида учета?

Следует иметь в виду: что указанные признаки могут быть следствием не

только злоупотребления: но и других причин: в частности случайных ошибок и

сбоев компьютерной техники?

Установление места несанкционированного доступа в компьютерную систему

или сеть? Решение данной задачи вызывает определенные трудности: так как

таких мест может быть несколько?

Чаше обнаруживается место неправомерного доступа к компьютерной

информации с целью хищения денежных средств?

При обнаружении факта неправомерного доступа к информации в

компьютерной системе или сети следует выявить все места: где расположены

компьютеры: имеющие единую телекоммуникационную связь?

Проще рассматриваемая задача решается в случае несанкционированного

доступа к отдельному компьютеру: находящемуся в одном помещении? Однако при

этом необходимо учитывать: что информация на машинных носителях может

находиться в другом помещении: которое тоже надо устанавливать?

Труднее определить место непосредственного применения технических

средств удаленного несанкционированного доступа (не входящих в данную

компьютерную систему или сеть(? К установлению такого места необходимо

привлекать специалистов?

Установлению подлежит и место хранения информации на машинных

носителях либо в виде распечаток: добытых в результате неправомерного

доступа к компьютерной системе или сети?

Установление времени несанкционированного доступа? С помощью программ

общесистемного назначения в работающем компьютере обычно устанавливается

текущее время: что позволяет по соответствующей команде вывести на экран

дисплея информацию о дне недели: выполнения той или иной операции: часе и

минуте? Если эти данные введены: то при входе в систему или сеть (в том

числе и несанкционированном( время работы на компьютере любого пользователя

и время конкретной операции автоматически фиксируются в его оперативной

памяти и отражаются: как правило: в выходных данных (на дисплее: листинге

или на дискете(?

С учетом этого время несанкционированного доступа можно установить

путем следственного осмотра компьютера либо распечаток или дискет? Его

целесообразно производить с участием специалиста: так как неопытный

следователь может случайно уничтожить информацию: находящуюся в оперативной

памяти компьютера или на дискете?

Время неправомерного доступа к компьютерной информации можно

установить также путем допроса свидетелей из числа сотрудников данной

компьютерной системы: выясняя у них: в какое время каждый из них работал на

компьютере: если оно не было зафиксировано автоматически? [9]

Установление способа несанкционированного доступа? В ходе установления

способа несанкционированного доступа к компьютерной информации следствие

может вестись по трем не взаимоисключающим друг друга вариантам:

Допросом свидетелей из числа лиц: обслуживающих компьютер:

компьютерную систему или сеть (системный администратор: операторы(:

разработчиков системы и: как правило: поставщиков технического и

программного обеспечения? В данном случае необходимо выяснить: каким

образом преступник мог преодолеть средства защиты данной системы: в

частности: узнать идентификационный номер законного пользователя* код*

пароль для доступа к ней* получить сведения о других средствах защиты?

Производством судебной информационно-технической экспертизы? В ходе

экспертизы выясняются возможные способы проникнуть в систему при той

технической и программной конфигурации системы в которую проник преступник:

с учетом возможного использования последним специальных технических и

программных средств? При производстве судебной: информационно-технической

экспертизы целесообразно поставить эксперту следующий вопрос: (Каким

способом мог быть совершен несанкционированный доступ в данную компьютерную

систему (

Проведением следственного эксперимента: в ходе которого проверяется

возможность несанкционированного доступа к информации одним из

предполагаемых способов?

Установление надежности средств защиты компьютерной информации? Прежде

всего необходимо установить: предусмотрены ли в данной компьютерной системе

меры защиты от несанкционированного доступа к определенным файлам? Это

можно выяснить путем допросов ее разработчиков и пользователей: а также

изучением проектной документации: соответствующих инструкций по

эксплуатации данной системы? При ознакомлении с инструкциями особое

внимание должно уделяться разделам о мерах защиты информации: порядке

допуска пользователей к определенным данным: разграничении их полномочий:

организации контроля за доступом: конкретных методах защиты информации

(аппаратных: программных: криптографических: организационных и других(?

Надо иметь в виду: что в целях обеспечения высокой степени надежности

информационных систем: в которых обрабатывается документированная

информация с ограниченным доступом: осуществляется комплекс мер:

направленных на их безопасность?

В частности: законодательством предусмотрены обязательная сертификация

средств защиты этих систем и обязательное лицензирование всех видов

деятельности в области проектирования и производства таких средств?

Разработчики: как правило: гарантируют надежность своих средств при

условии: если будут соблюдены установленные требования к ним? Поэтому в

процессе расследования требуется установить: во-первых: имеется ли лицензия

на производство средств защиты информации от несанкционированного доступа:

используемых в данной компьютерной системе: и: во-вторых: соответствуют ли

их параметры выданному сертификату? Для проверки такого соответствия может

быть назначена информационно-техническая экспертиза с целью решения вопроса

% «Соответствуют ли средства защиты информации от несанкционированного

допуска: используемые в данной компьютерной системе: выданному

сертификату;»

Вина за выявленные при этом отклонения: ставшие причиной

несанкционированного доступа к компьютерной информации: возлагается на

пользователя системы: а не на разработчика средств защиты?

Установление лиц: совершивших неправомерный доступ к компьютерной

информации?

Опубликованные в прессе результаты исследований: проведенных

специалистами: позволяют составить примерный социологический портрет

современного хакера? Возраст правонарушителей колеблется в широких границах

—от 15 до 45 лет: причем на момент совершения преступления у трети возраст

не превышал 20 лет? Свыше 80( преступников в компьютерной сфере — мужчины:

абсолютное большинство которых имело высшее и среднее специальное

образование? При этом у более 50( преступников была специальная подготовка

в области автоматизированной обработки информации: а 30( — были

непосредственно связаны с эксплуатацией ЭВМ и разработкой программного

обеспечения к ней? Однако: согласно статистики: профессиональными

программистами из каждой тысячи компьютерных преступлений совершено только

семь? 38( отечественных хакеров действовали без соучастников: 62( — в

составе преступных групп По оценкам специалистов основная опасность базам

данных исходит от внутренних пользователей ими совершается 94(

преступлений: а внешними — только 6(?[21]

Данные вышеприведенного статистического анализа показывают: что

несанкционированный доступ к ЭВМ: системы ЭВМ или их сети совершают

специалисты с достаточно высокой степенью квалификации в области

информационных технологий? Поэтому поиск подозреваемого следует начинать с

технического персонала пострадавших компьютерных систем или сетей

(разработчиков соответствующих систем: их руководителей: операторов:

программистов: инженеров связи: специалистов по защите информации и

других(?

Следственная практика показывает: что чем сложнее в техническом

отношении способ проникновения в компьютерную систему или сеть: тем легче

выделить подозреваемого: поскольку круг специалистов: обладающих

соответствующими способностями: обычно весьма ограничен?

При выявлении лиц: причастных к совершению преступления: необходим

комплекс следственных действий: включающий в себя следственный осмотр

компьютера (системы ЭВМ и ее компонентов(: допрос лиц: обязанных

обеспечивать соблюдение доступа к компьютерной системе или сети: обыск у

лиц: заподозренных в неправомерном доступе к компьютерной информации: при

наличии к тому достаточных оснований изложенных ранее в главе

(расследование(?

Установление виновности и мотивов лиц: совершивших неправомерный

доступ к компьютерной информации? Установить виновность и мотивы

несанкционированного доступа к компьютерной информации можно только по

совокупности результатов всех процессуальных действий? Решающими из них

являются показания свидетелей: подозреваемых: обвиняемых: потерпевших:

заключения судебных экспертиз: главным образом информационно-

технологических и информационно-технических: а также результаты обыска? В

процессе расследования выясняется: во-первых: с какой целью совершен

несанкционированный доступ к компьютерной информации* во-вторых: знал ли

правонарушитель о системе ее защиты* в-третьих: желал ли он преодолеть эту

систему и: в-четвертых: если желал: то по каким мотивам и какие действия

для этого совершил?

Установление вредных последствий неправомерного доступа к компьютерной

системе или сети? Прежде всего необходимо установить: в чем заключаются

вредные последствия такого доступа (хищение денежных средств или

материальных ценностей: завладение компьютерными программами: информацией

путем изъятия машинных носителей либо копирования: а также незаконное

изменение: уничтожение: блокирование информации или выведение из строя

компьютерного оборудования: введение в компьютерную систему заведомо ложной

информации или компьютерного вируса и т?д?(?

Хищение денежных средств чаще совершается в банковских электронных

системах путем несанкционированного доступа к их информационным ресурсам:

внесения в них изменений и дополнений? Обычно такие правонарушения

обнаруживаются самими работниками банков? Устанавливаются они и в

результате проведения оперативно-розыскных мероприятий? Сумма хищения

устанавливается судебно-бухгалтерской экспертизой?

Факты неправомерного завладения компьютерными программами вследствие

несанкционированного доступа к той или иной системе и их незаконного

использования выявляются: как правило: потерпевшими?

Наибольший вред приносит незаконное получение информации из различных

компьютерных систем: ее копирование: размножение с целью продажи и

получения материальной выгоды либо использования в других преступных целях

(например: для сбора компроматов на кандидатов в депутаты различных

представительных органов власти(?

Похищенные программы и информационные базы данных могут быть

обнаружены путем производства обысков у обвиняемых: а также при проведении

оперативно-розыскных мероприятий? Так: сотрудниками санкт-петербургской

милиции было проведено несколько операций: в ходе которых выявлены

многочисленные факты распространения копий разнообразных компьютерных

программ: добытых в результате несанкционированного доступа к компьютерным

системам: вследствие чего некоторым фирмам - производителям программ

причинен крупный материальный ущерб?

Если незаконно приобретенная информация относится к категории

конфиденциальной или государственной тайны: то конкретный вред: причиненный

разглашением: устанавливается представителями Гостехкомиссии РФ?

Факты незаконного изменения: уничтожения: блокирования информации:

выведения из строя компьютерного оборудования: введения в компьютерную

систему заведомо ложной информации устанавливаются прежде всего самими

пользователями информационной системы или сети?

Следует иметь в виду: что не все эти последствия наступают в

результате умышленных действий? Нередко их причиной становится случайный

сбой в работе компьютерного оборудования?

По имеющимся сведениям: серьезные сбои в работе сетевого оборудования

и программного обеспечения в большинстве российских фирм происходят не реже

одного раза в месяц'?

При определении размера вреда: причиненного несанкционированным

доступом: учитываются не только прямые затраты на ликвидацию его

последствий: но и упущенная выгода негативные последствия неправомерного

доступа к компьютерной информации могут устанавливаться в процессе

следственного осмотра компьютерного оборудования и носителей информации

(анализа баз и банков данных(: допросов технического персонала: владельцев

информационных ресурсов? Вид и размер ущерба устанавливаются обычно

посредством комплексной экспертизы: проводимой с применением специальных

познаний в области информатизации: средств вычислительной техники и связи:

экономики: финансовой деятельности и товароведения?

Выявление обстоятельств: способствовавших неправомерному доступу к

компьютерной информации? На заключительном этапе расследования формируется

целостное представление об обстоятельствах: способствовавших

несанкционированному доступу к компьютерной информации? В данном аспекте

важно последовательное изучение различных документов: главным образом

относящихся к защите информации? Особое значение при этом могут иметь

материалы ведомственного (служебного( расследования?

Вопросы о способствовавших рассматриваемому преступлению

обстоятельствах целесообразно ставить при информационно-технологической и

информационно-технической судебных экспертизах? Соответствующие

обстоятельства могут устанавливаться также благодаря допросам технического

персонала: очным ставкам: следственным экспериментам: осмотрам документов?

Эти обстоятельства состоят главным образом в следующем %

1( Неэффективность методов защиты компьютерной информации от

несанкционированного доступа: что в значительной мере относится к

компьютерным сетям?

2( Совмещение функций разработки и эксплуатации программного

обеспечения в рамках одного структурного подразделения? Разработчики

компьютерной программы нередко сами участвуют в ее промышленной

эксплуатации? Они имеют возможность вносить в нее разные изменения:

осуществлять доступ к любой информации: в том числе закрытой? Являясь

авторами средств защиты и их эксплуатационниками: они подобны главному

бухгалтеру: выполняющему также функции кассира?

3( Неприменение в технологическом процессе всех имеющихся средств и

процедур регистрации и протоколирования операций: действий программ и

обслуживающего персонала?

4( Нарушение сроков изменения паролей пользователей?

5( Нарушение установленных сроков хранения копий программ и

компьютерной информации либо отсутствие их?

На допросах лица: обвиняемого в неправомерном доступе

к компьютерной информации: уточняются и дополняются ранее полученные

данные?

2 Способы краж в банковских информационно-вычислительных системах

Ввиду существенного финансового ущерба: причиняемого (компьютерными

преступлениями( в данной сфере экономики: целесообразно остановиться на

способах краж в банковских информационно-вычислительных системах подробнее?

Под способом краж в информационных системах кредитно-финансовых

структур понимают совокупность приемов и средств: обеспечивших

несанкционированный доступ к банковским информационным ресурсам и

технологиям: которые позволяют совершить модификацию хранимой информации с

целью нарушения отношений собственности: выразившегося в противоправном

изъятии денежных средств или обращении их в пользу других лиц?[12]

Известные на сегодня способы отличаются значительным и постоянно

расширяющимся разнообразием?

По своей криминалистической сущности такого рода умышленные действия

являются преступлением с четко выраженными этапами развития? Они отличаются

друг от друга по характеру действий и степени завершенности криминального

деяния? Такое деление на стадии необходимо для правильной правовой оценки?

Применяя ст?29 УК: можно выделить следующие три этапа?[2]

Приготовление к преступлению

Поиск: покупка: получение на время или хищение орудий деяния

(компьютера: модема и пр?(: написание специальной программы: позволяющей

преодолеть защиту банковских сетей (изготовление и приспособление средств

совершения преступления(: сбор информации о клиентах банка: системе защиты

(СЗ(: подбор паролей: преодоление СЗ от несанкционированного доступа к

данным и компьютерной информации (умышленное создание условий для

совершения преступления(?

Покушение на преступление

Производится путем манипуляции данными: хранимыми в памяти банковской

информационной системы: и ее управляющими программами для

несанкционированного движения денежных средств в пользу злоумышленника или

третьего лица?

Окончание преступления Заключительная стадия: когда все

несанкционированные транзакции завершены и злоумышленник имеет возможность

воспользоваться плодами своего деяния?[12]

Перечень и распределение по стадиям известных в настоящее время

основных приемов и средств совершения преступления приведены в приложении

1?

Вот более подробно некоторые приемы: применяемые в компьютерных

преступлениях?

Изъятие средств вычислительной техники (СВТ( производится с целью

получения системных блоков: отдельных винчестеров или других носителей

информации: содержащих в памяти установочные данные о клиентах: вкладчиках:

кредиторах банка и т?д? Такие действия проводятся путем хищения: разбоя:

вымогательства и сами по себе содержат состав обычных (некомпьютерных(

преступлений? Они квалифицируются по ст? 158: 161: 162: 163 УК России?

Перехват (негласное получение( информации также служит для (снятия(

определенных сведений с помощью методов и аппаратуры аудио-: визуального и

электромагнитного наблюдения? Объектами: как правило: являются каналы

связи: телекоммуникационное оборудование: служебные помещения для

Страницы: 1, 2, 3, 4, 5, 6