Як визначено у Розділі ХVI нового Кримінального кодексу України компютерний злочин це протиправне використання електронно-обчислювальних машин (компютерів), систем та компютерних мереж, незаконне втручання в їх роботу (Ст.361) , викрадення, привласнення, вимагання компютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем (Ст.362), порушення правил експлуатації автоматизованих електронно-обчислювальних систем (Ст.363) [1].
Але як відомо, у кримінальному праві та криміналістиці вид злочину називають не за засобом (знаряддям) вчинення злочину, а за видом злочинної діяльності (вбивство, крадіжка, шахрайство). Тому для назви комп’ютерних злочинів більш коректним, на мій погляд, буде термін злочини у сфері використання електронно-обчислювальних машин (компютерів), систем та компютерних мереж. Тому подальше вживання для спрощення терміну «компютерний злочин» та «компютерна злочинність» треба розглядати з урахуванням розяснення даної дефініції з точки зору кримінального права. Результати аналізу практичної діяльності правоохоронних органів щодо розслідування компютерних злочинів свідчать, що дослідження комп’ютерної техніки доцільно проводити в умовах криміналістичної лабораторії, де цю роботу виконують фахівці з необхідною професійною підготовкою. Докази, що повязані з компютерними злочинами, які вилучені з місця події, можуть бути легко змінені, як у результаті помилок при їх вилученні, так і в процесі самого їх дослідження. Представлення таких доказів для використання в судовому процесі вимагають спеціальних знань і відповідної підготовки. Тут не можна недооцінювати роль експертизи, що могла б дати кваліфікований висновок щодо поставлених слідством питань. Однак експертиза вимагає деякого часу не тільки на її виробництво, але і на пошук відповідних фахівців, а при вилученні комп’ютерної техніки часто важливим фактором, що дозволяє зберегти необхідну доказову інформацію, є раптовість та оперативність. Саме тому вилучення комп’ютерів і інформації приходиться проводити тими силами, що у даний момент проводять слідчі дії. У цьому випадку слідчий саме і не застрахований від помилок, обумовлених недостатністю знань, що пізніше спритно використовується захистом у суді. Поставлена проблема має два аспекти: загальні помилки, що допускаються співробітниками правоохоронних органів при розслідуванні злочинів, пов’язаних з комп’ютерами, і захист інформації, установлюваний на комп’ютерах їх безпосередніми користувачами. Як відомо виявлення, огляд і вилучення компютерної інформації, як і самих компютерів у ході слідчих дій можуть здійснюватися не тільки при слідчому огляді (ст.190 КПК), але і при проведенні інших слідчих дій: обшуку (ст.178 КПК), виїмкі (ст.179 КПК), відтворенні обстановки та обставин події (ст.194 КПК) [2]. Розглянемо деякі типові помилки, які часто вчиняються при проведенні слідчих дій у відношенні до комп’ютерної інформації або самих компютерів. Можна виділити деякі правила роботи з комп’ютерами, вилученими при розслідуванні злочинів у сфері комп’ютерної інформації, а також запропонувати загальні рекомендації, що можуть бути корисні при обробці комп’ютерних доказів працюючими в операційних системах DOS чи Wіndows. Помилка 1. Помилкова робота з комп’ютером. Така міра пояснюється досить просто: злочинцю не складає особливої труднощі установити на своєму компютері програму для знищення інформації на жорсткому чи гнучкому магнітному диску, записавши таки пастки через модифікацію операційної системи. Наприклад, проста команда DIR, яка використовується для відображення каталогу диска, може легко бути змінена, щоб відформовувати жорсткий диск. Після того як дані і сама руйнуюча програма, знищені, ніхто не зможе вірогідно сказати, чи був «підозрюваний» комп’ютер спеціально оснащений такими програмами, чи це результат недбалості при дослідженні комп’ютерних доказів? Помилка 2. Допуск до компютеру власника (користувача) комп’ютера. Інша проблема повязана з можливістю спростувати у суді ідентичність предявленого на процесі програмного забезпечення тому, що знаходилося в даному комп’ютері на момент вилучення. Щоб уникнути таких ситуацій комп’ютер треба, не включаючи опечатати у присутності понятих. Якщо ж співробітник правоохоронних органів приймає рішення оглянути комп’ютер на місці, перше, що варто зробити це зняти копію з жорсткого магнітного диску і будь-якої дискети, що буде вилучатися як речовинний доказ. Це означає, що до проведення будь-яких операцій з комп’ютером необхідно зафіксувати його стан на момент проведення слідчих дій. Помилка 3. Відсутність перевірки комп’ютера на наявність вірусів і програмних закладок. Не можна допустити, щоб у суді зявилася можливість обвинуватити слідство у навмисному зараженні комп’ютера вірусами, чи у некомпетентності при проведенні слідчих дій або просто в недбалості, оскільки довести, що вірус був у комп’ютері до початку дослідження, навряд чи можливо, а подібне обвинувачення поставить під сумніви всю. працю експерта та вірогідність його висновків. Такі найбільш типові помилки, що часто зустрічаються при дослідженні комп’ютера у справах повязаних з розслідуванням компютерних злочинів. Однак розглянутий перелік не охоплює всіх помилок, що виникають у процесі вилучення і дослідження комп’ютерної інформації. Цьому легко знайти пояснення: відсутність достатнього досвіду в подібних справ у нашій країні. У той же час у країнах Західної Європи і, особливо, США є вже досить багатий досвід щодо розслідування складних комп’ютерних злочинів. Варто більш ретельно його вивчати, що дозволить уникнути багатьох помилок. Для запобігання помилок при проведенні слідчих дій на початковому етапі розслідування, які можуть привести до втрати чи руйнуванню компютерної інформації, потрібно дотримуватися деяких запобіжних заходів:
При обшуках і виїмках, повязаних з вилученням компютера, магнітних носіїв і інформації виникає ряд загальних проблем, повязаних зі специфікою технічних засобів, що вилучаються. Так, необхідно передбачати заходи безпеки, що здійснюються злочинцями з метою знищення компютерної інформації. Наприклад, вони можуть використати спеціальне обладнання, в критичних випадках утворююче сильне магнітне поле, що стирає магнітні записи. Протягом обшуку усі електронні докази, які знаходяться у компютері чи компютерній системі повинні бути зібрані таким шляхом, щоб вони потім були признані судом. Світова практика свідчить, що у великій кількості випадків під тиском представників захисту у суді електронні докази не приймаються до уваги. Для того, щоб гарантувати їх визнання у якості доказів, необхідно суворо дотримуватися вимог кримінально-процесуального законодавства, а також стандартизованих прийомів та методик їх вилучення. Звичайно компютерні докази зберігаються шляхом створення точної копії з оригіналу (первісного доказу), перш ніж виконується будь-який їх аналіз. Але робити копії комп’ютерних файлів, використовуючи тільки стандартні програми резервного копіювання, недостатньо. Речові докази можуть існувати у формі знищених або прихованих файлів, а дані, зв’язані з цими файлами, можна зберегти тільки за допомогою спеціального програмного забезпечення, у найпростішому виді це можуть бути програми типу — SafeBack; а для гнучких дискет буває досить програми DOS Dіskcopy. Магнітні носії, на які передбачається копіювати інформацію, повинні бути зазделегідь підготовлені (необхідно впевнитись, що на них нема ніякої інформації).Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір. Слід памятати, що інформація може бути зіпсована вологістю, температурним впливом або електростатичними (магнітними) полями. Рекомендація 2. Знайти і виконати копіювання тимчасових файлів. Рекомендація 3. Треба обовязково перевірити Swap Fіle. Рекомендація 4. Необхідно порівнювати дублі текстових документів. На закінчення хотілося би виділити загальні рекомендації, які необхідно враховувати при дослідженні компютера на місці події. Приступаючи до огляду комп’ютера, слідчий і фахівець, що безпосередньо робить усі дії на ЕОМ, повинні дотримувати наступного: Якщо безпосередній доступ до комп’ютера можливий і всі небажані ситуації виключені, приступають до огляду, причому слідчий і фахівець повинні чітко пояснювати всі свої дії понятим. При огляді повинні бути встановлені: Рекомендація 5. Треба перевірити і проаналізувати роботу компютерної мережі. Особливу цінність при розслідуванні у компютерних мережах відіграють так звані логі, інформація яка міститься в лог- файлах (текстові файли). За допомогою отримання цієї інформації можливо визначити рахунок користувача, його ідентифікатор, час транзакції, мережений адрес, телефонний номер, а також зясувати що саме трапилось в системі, що було знищено, змінено, скопійовано, які ресурси були задіяні для цього [3]. Логі можуть збиратися в компютерних системах на різному рівні: операційній системі, спеціально встановленому програмним забезпеченні (наприклад програмний аудит безпеки), окремих модулях баз даних і навіть у деяких прикладних програмах. Фізично ця інформація може знаходиться в різних місцях, від робочої станції і серверу мережі до віддаленого серверу. Як висновок, треба підкреслити, що будь які дії, повязані з розслідуванням злочинів у сфері використання компютерних технологій (особливо вилучення інформації і компютерного обладнання), доцільно з самого початку залучення фахівця у галузі інформаційних технологій. До початку слідчих дій необхідно також мати певну інформацію щодо: марки, моделі компютеру, операційної системи, периферійних пристроїв, засобів звязку та будь-які інші відомості про систему, яка є обєктом розслідування. Широке впровадження компютерних технологій вимагає також певні зміни у кримінально-процесуальних нормах, що регламентують процедури в частині використання нових джерел доказів. У той же час перед правоохоронними органами відкриваються нові можливості використання інформаційних технологій, як технологічного приладдя у розслідуванні компютерних злочинів.
Оставит комментарий |