Додати в закладки
Переклад Translate
Вхід в УЧАН Анонімний форум з обміну зображеннями і жартами. |
|
Скачати одним файлом. Книга: Спеціальна тактика підрозділів податкової міліції: Курс лекцій - Кочетов
ТЕМА 10 ТАКТИКА РОЗКРИТТЯ І РОЗСЛІДУВАННЯ ПОДАТКОВИХ ЗЛОЧИНІВ, СКОЄНИХ ІЗ ЗАСТОСУВАННЯМ КОМП`ЮТЕРНИХ ТЕХНОЛОГІЙ
Навчальні питання
1. Поняття та основні ознаки підготовки і скоєння комп’ютерних злочинів (КЗ).
2. Обставини, які підлягають встановленню і доведенню у справах про КЗ.3. Програмно-технічна експертиза та завдання, які вона вирі-шує.
4. Особливості проведення обшуку і вилучення засобів комп’ютерної техніки (ЗКТ).5. Можливі перешкоди при вилученні ЗКТ та рекомендації щодо їх подолання.
6. Тактика вилучення ЗКТ.7. Основні недоліки та проблеми, що виникають при розслідуванні КЗ.
Література
1. Вехов В.Б. Компьютерные преступления. – Москва, 1996.2. Батурин Ю.М., Жодзишский А.М. Компьютерная преступ-ность и компьютерная безопасность. – Москва, 1997.
3. Федоров В.И. Компьютерные преступления: выявление, расследование и профилактика // Законность. – 1994. – № 6.4. Борьба с компьютерной преступностью в США // Проблемы преступности в капиталистических странах. ВИНИТИ, 1986. – № 4.
1. Поняття та основні ознаки підготовки та скоєння комп’ютерних злочинів
Під комп’ютерним злочином слід розуміти передбачені кримі-нальним законодавством суспільно небезпечні діяння, скоєні з ви-користанням засобів електронно-обчислювальної (комп’ютерної) техніки.Аналіз спеціальної літератури вказує, що існують непрямі ознаки, які вказують на підготовку або скоєння комп’ютерного зло-чину.
До них належать:– розкрадання носіїв інформації;
– неприродний інтерес деяких осіб до того, що знаходиться в смітникових корзинах, баках та ін.;– скоєння необгрунтованих маніпуляцій з цінними даними (наприклад, приватний переказ грошових сум з одного рахунку на інший, наявність в однієї особи декількох рахунків, проведення операцій з даними, не підтвердженими відповідними документами або із затриманням такого підтвердження останніми тощо);
– порушення заданого (нормального) режиму функціонування комп’ютерних систем або інших ЗКТ;– прояви вірусного характеру;
– необгрунтована втрата значного обсягу даних;– показники засобів захисту комп’ютерної техніки;
– необгрунтоване знаходження у приміщеннях організації сто-ронніх осіб, включаючи позаплановий огляд приміщень, обладнан-ня, різноманітних засобів і систем життєзабезпечення представни-ками певних організацій (електрик, сантехнік, радіотелемайстер, зв’язківець, інспектор держпожежнагляду, енергоогляду, служби охорони, санепідстанції, системотехнік та ін.);– порушення правил ведення журналів робочого часу комп’ютерних систем (журналів ЕОМ) або їх повна відсутність (на-приклад, виправлення записів, “підчистки” і “підтирки”, відсутність деяких записів або їх фальсифікація);
– необгрунтовані маніпуляції з даними (перезапис тиражуван-ня, копіювання), заміна, зміна або стирання без поважних причин, дані не поповнюються своєчасно у міру їх надходження;– на особливих документах з’являються підроблені підписи або підпис відсутній зовсім;
– з’являються підроблені чи фальсифіковані документи або бланки суворої звітності;– деякі співробітники організації без достатніх підстав почи-нають працювати надурочно, проявляють підвищений інтерес до відомостей, що не належать до їх безпосередньої діяльності (функ-ціональних обов’язків), або відвідують інші підрозділи та служби організації;
– співробітники заперечують або висловлюють відкрите неза-доволення з приводу здійснення контролю за їх діяльністю;– у деяких співробітників, безпосередньо пов’язаних з комп’ютерною технікою, з’являється неприродна реакція на рутинну працю;
– надходять численні скарги клієнтів;– здійснюється передача інформації особам, які не мають до неї допуску;
– у деяких співробітників з’являється халатність при роботі з засобами комп’ютерної техніки.При цьому однією з головних проблем при розслідуванні да-ного виду злочинних посягань є встановлення факту скоєння зло-чину. Особливість полягає в наступному: для того, щоб обгрунто-вано стверджували, що злочин із використанням ЗКТ було скоєно, необхідно довести той факт, що особою були реалізовані певні не-правомірні дії.
Одночасно з цим повинні бути встановлені і доведені наступні обставини: мав чи не мав місце факт несонкціанованого доступу до ЗКТ або спроба отримання такого доступу. Наприклад, необхідно довести, що доступ з метою скоєння злочину був несонкціанова-ним. Тоді встановленню і доказуванню підлягає той факт, що дійс-но були скоєні несонкціановані маніпуляції з ЗКТ, наприклад, із програмним забезпеченням, і що ці маніпуляції не були дозволені, а особа, яка їх скоїла, знала про це і діяла з метою здійснення зло-чинного умислу.2. Обставини, які підлягають встановленню і підтвердженню в справах про КЗ
Нами виділяються наступні основні обставини, що підлягають обов’язковому встановленню і доведенню у справах тієї категорії, що розглядається, а саме:
1. чи мав місце злочин або це правопорушення іншого виду;2. який об’єкт злочинного посягання (дана обставина має ви-рішальне значення для застосування слідчим тієї чи іншої методики розслідування конкретного злочину або їх сукуп-ності);
3. який предмет злочинного посягання;4. який спосіб здійснення злочину;
5. місце, час (період) і обставини скоєння злочину;6. розмір та вид шкоди, заподіяної потерпілому;
7. хто скоїв злочин;8. якщо злочин скоєно групою осіб, то який склад групи та роль кожного співучасника;
9. які обставини сприяли здійсненню злочину.Для прикладу звернемося до вітчизняної практики розкриття та розслідування КЗ (за матеріалами МВС СРСР та МВС Росії).
Протягом багатьох років найпоширенішим видом комп’ютерного злочину є розкрадання, скоєнні з використанням ЗКТ, як правило, бухгалтерами-розраховувачами у зговорі з касирами-роздавачами або іншими посадовими особами шляхом вводу в комп’ютерну систему даних з фіктивних первинних бухгалтерських документів і наступним отриманням нічим не підтверджених розпечаток грошових сум, що належать до виплати через касу. Звернемо увагу на те, що подібні дії можливі з тієї причини, що був відсутній конт-роль з боку відповідних посадових осіб та ревізійних органів за достовірністю процесу вводу в ЕОМ інформації, незахищеності програмного забезпечення від несанкціонованого вводу і виводу фальсифі-кованих даних, які застосовуються, наприклад, для нарахування за-робітної плати та інших виплат, а також неповної автоматизації розрахунків з клієнтами через недосконалість комп’ютерних систем та програмного забезпечення.Так, у 1985 році на Л-ому суднобудівному заводі була розкри-та злочинна група чисельністю більш ніж 70 чоловік, до якої вхо-дили працівники розрахункового бюро центральної бухгалтерії за-воду, посадові особи та матеріально відповідальні особи майже всіх структурних підрозділів підприємства на чолі з начальником бюро розрахунків Б., яка раніше мала судимість за розкрадання.
Зазначеним вище способом протягом 1981 – 1985 рр. злочин-цями було викрадено і привласнено більше 200 тис. крб. Під час розслідування було з’ясовано, що злочинці шляхом внесення фіктивних даних у табуляграми незаконно завищували фактичні кошти до виплат, які знаходяться на субрахунку збалансованого рахунка 70 (“Розрахунки по оплаті праці”), на якому розраховувались усі не-планові виплати, що видавались працівникам і службовцям заводу у встановленому порядку (позапланові аванси, допомоги з тимчасо-вої непрацездатності, премії та ін.). Залишки нарахованих коштів належали до витрат виробництва. Паралельно здійснювався ввід у ЕОМ фіктивних (вільних на даний момент) табельних номерів із за-значенням вигаданих прізвищ їх власників. У результаті цього з об-числювального центру, який обслуговує бухгалтерію, в підрозділи заводу надходили розпечатки про нарахування заробітної плати, які були підставою для виплати грошей через касу. Нараховані на ви-гаданих осіб кошти виплачувались за фіктивними довіреностями або за домовленістю з касиром-роздавачем.В окремих випадках у платіжних відомостях замість вигада-них осіб вказувались працівники даного підрозділу, які були відсу-тні на момент виплати (відпустка, хвороба, відрядження). При цому надлишково нараховані суми або не відображались в їх особистих рахунках, або проходили за шифром “Борг за працюючим”. У подальшому ця сума переводилась на особистий рахунок звільненого спів-робітника і “погашалася” фіктивним нарахуванням додаткової ви-плати в розмірі, який дорівнював “боргу”.
Крім того, бухгалтери-роздавачі привласнювали кошти шля-хом їх перерахування в ощадкасу на свій розрахунковий рахунок. У цьому випадку в ЕОМ здійснювався ввід фіктивного табельного номера із зазначенням прізвища злочинця і номера його розрахун-кового рахунка в ощадкасі. До 1988 р. були розкриті злочинні угру-повання, які діяли аналогічними способами і здійснювали розкра-дання у великих і особливо великих розмірах на заводах П-го і “К.С.” м. Горький (Н. Новгород), “Р-во” м. Ленінград (Санкт-Петербург) та ряді інших.У подальшому вся фіктивна інформація в пам’яті ЕОМ зни-щуввалася шляхом коректування як помилково введена.
Не менш “майстерною” виявилась бухгалтер-розраховувач за-воду “К.Л.” Луганської обл. Ш., яка вводила в ЕОМ фіктивну інформацію про включеня до платіжних відомостей на виплату відпускних коштів працівникам заводу, які в дійсності не перебували у від-пустці. Водночас вона здійснювала коригування даних за прибутко-вим податком як повернення надлишково утриманого на суму, яка видавалася із каси за платіжними відомостями. У коригуванні вка-зувався фіктивний табельний номер і номери цехів, де відображався “борг по заробітній платі”. Після цього Ш. зробила коригування для автоматичної комп’ютерної обробки.Після закінчення операції злочинниця їх знищувала, водночас виправляючи і в інших облікових документах. Таким чином, у зві-тах утримань у подальшому відображались реальні суми. До платіжної відомості на виплату зарплати суми коригування прибуткового податку як “до видачі на руки” не заносились, а суми видані із каси як “борг по зарплаті” у розпечатці боргів не відображались.
Зазначимо, що характерною особливістю цієї категорії роз-крадань є те, що вони здійснюються, як правило, однією людиною. Завдяки цьому виникають деякі труднощі у їх своєчасному виявле-ні, такий стан справ потребує більш кваліфікованої організації роз-слідування злочинів. З цією метою спеціалістами пропонується певні напрями та способи організації перевірок законності введення касових операцій в умовах комп’ютерної обробки первинних даних бухгалтерського обліку, добре відомі співробітникам відділів по боротьбі з економічною злочинністю.3. Програмно-технічна експертиза та завдання, які вона вирішує
За даними аналізу слідчої практики у справах, що розгляда-ються, існує постійна необхідність використання у процесі розслі-дування спеціальних знань у галузі нових інформаційних техноло-гій. Дані знання необхідні як для отримання доказів, так і для про-цесуального оформлення документів, які підготовлені засобами комп’ютерної техніки, у подальшому можуть відігравати роль дока-зів. На нашу думку, все це повинно оформлюватись як висновок експерта. Даний вид криміналістичних експертиз з’явився у Росії на початку 90-х років і отримав робочу назву “програмно-технічна експертиза”. На даний час за допомогою таких експертиз можуть вирішувати наступні завдання (тут і в подальшому за тексту вико-ристовуються матеріали узагальнення практики підготовки і призначення програмно-технічних експертиз, які підготовлені Катовським С.А., Собецьким І.В. і Федоровим Ф.П.)
1. Відтворення і роздруковування всієї або частини (за визна-ченими темами і ключовими словами та ін.) інформації, яка знахо-диться на фізичних носіях ЗКТ, у тому числі в нетекстований формі (у складних формах мов програмування), наприклад, у формі електронних таблиць, баз даних, WINDOWS тощо.2. Відновлення інформації, яка раніше знаходилась на фізич-них носіях ЗКТ і в подальшому була стертою (знищеною) або була змінена (модифікована) з різних причин.
3. Встановлення часу вводу, заміщення, знищення або копію-вання тієї чи іншої інформації (документів, файлів, програм та ін.).4. Розшифровка закодованої інформації, підбір паролів і роз-криття захисту ЗКТ.
5. Встановлення авторства, місця (засобу) підготовки і спосо-бу виготовлення документів (файлів, програм).6. З’ясування можливих каналів витоку інформації із комп’ютерної мережі та приміщень.
7. З’ясування технічного стану, справності ЗКТ, відсотка їх зносу, оцінки їх вартості, а також адаптації ЗКТ під конкретного користувача.8. Встановлення рівня професійної підготовки окремих осіб, які проходять у справі, у галузі програмування і в якості користува-чів.
Виходячи із вище вказаних завдань, слідчий може постанови-ти на вирішення наступні основні запитання.1. Яка інформація знаходиться на фізичних носіях ЗКТ, що пред’явлені на експертизу?
2. Розшифрувати інформацію, яка записана у складних фор-мах.3. Які текстові документи (файли) за даною темою знаходять-ся на пред’явлених фізичних носіях ЗКТ?
4. Які текстові документи (файли) за темою, що цікавить слід-ство, були стерті (знищені), скопійовані, замінені (модифіковані)? Які їх назви, розміри, час виготовлення (знищення, заміщення)?5. Як змінювався зміст знайдених документів (файлів) на пред’явлених до слідства фізичних носіях інформації (вказати па-раметри попереднього питання)?
6. Отримати приховану інформацію, яка стосується осіб, при-четних до справи (фізичних і юридичних).7. Чи були виготовлені та пред’явлені на дослідження документи (файли) на пред’явленій для дослідження техніці?
8. Дати висновки про справність (відсоток зносу, оцінку вар-тості та ін.) ЗКТ, які пред’явлені на дослідження.9. Зробити дослідження пред’явлених ЗКТ на предмет наявно-сті в них змін вірусного характеру або інших, які впливають на ал-горитм (параметри) нормального функціонування ЗКТ (які задані виробником) або на кінцеви результати роботи конкретного про-грамного продукту. У протилежному випадку – встановити меха-нізм внесення таких змін, місце, час, характер та їх наслідки.
Вище вказаний перелік питань, звичайно, не є вичерпним і може бути розширений, виходячи із обставин конкретної кримінальної справи. При цьому в складних випадках при постановці запи-тань необхідно звертатись за консультацією до самого експерта.На думку багатьох спеціалістів, назріла необхідність у розробці наступних методик експертного дослідження:
1. Встановлення відповідності певної комп’ютерної системи або мережі стандарту і перевірка її роботи за допомогою спеціаль-них тестів.2. Дослідження речових доказів, які передбачають:
– фіксацію джерела, виду, способу вводу-виводу даних і їх обробку;– виявлення змін і доповнень у програмних засобах;
– відтворення пошкоджених або знищених файлів;– відтворення пошкоджених магнітних або інших носіїв ін-формації;
– встановлення давності виконання окремих фрагментів про-грамних засобів.3. Ідентифікація автора програмного засобу, його призначення (вірусного чи іншого), встановлення факту його інтерпретації та меж дозволеної компіляції.
У цьому напрямі певний науковий інтерес, на наш погляд, ма-ють розробки А. Комісарова, які базуються на використанні в якос-ті загальної ідентифікаційної ознаки ступеня напрацювання про-грамного засобу професійних навичок, а в якості особливих ознак – використання в експертизі синтактичних, лексичних особливостей письмової мови, топографічних ознак тощо.4. Особливості проведення обшуку та вилучення засобів комп’ютерної техніки
Дуже часто в процесі розслідування комп’ютерних злочинів виникає необхідність у встановленні етапів обробки бухгалтерських даних із використанням ЕОМ, до яких вносились ті чи інші зміни, ознаки інтелектуальної підробки у первинних та зведених бухгал-терських документах, складених на ЕОМ, встановленні фактів зме-ншення оподатковуваного прибутку, виявленні причетних до здійс-нення комп’ютерного злочину бухгалтерських працівників шляхом дослідження носіїв оперативної інформації, а також осіб, які вводили відповідні дані в ЕОМ тощо. На нашу думку, з цією метою можна використати вже існуючі методики проведення судово-бухгалтерських експертиз, які дозволяють встановити міру додер-жання тих чи інших вимог положень про документи і документоо-біг у бухгалтерському обліку. При оформленні різноманітних гос-подарських та інших операцій за допомогою первинних документів і відображення їх у реєстрах бухгалтерського обліку та звітності експертиза допускає, що ці дані можуть бути виражені у формі, за-фіксованій на машинному носія і машинограмі, створеними засоба-ми комп’ютерної техніки. У випадку виявлення порушень цих нор-мативних документів експерт-бухгалтер може встановити їх причи-ни (чи не зроблені вони з метою скоєння злочину і зловживання, приховування нестачі матеріальних цінностей, зменшення їх розмі-ру та ін.). Водночас експерт формулює висновок про те, на скільки порушення положень вплинули на стан бухгалтерського обліку і виконання функцій особами, відповідальними за управління госпо-дарською та іншою діяльністю. При цому можливе встановлення осіб, відповідальних за створені або допущені порушення правил складання первинних документів та облікових реєстрів.
Крім цього, слідчому потрібно знати, що існує багато особли-востей, які повинні враховуватись під час провадження окремих слідчих дій.Якщо слідчий володіє інформацією, що на об’єкті обшуку зна-ходяться ЗКТ, розшифровка даних, з яких можна дати докази у справі, він повинен заздалегідь підготуватись до їх вилучення. Під час обшуку необхідна участь як мінімум двох спеціалістів у комп’ютерній техніці: програміста (системного аналітика) та зв’язника (спеціаліста з мереж).
Після прибуття на місце обшуку слід одразу вжити заходів для забезпечення збереження ЗКТ та даних, що знаходяться на них, і цінної інформації. Для цього необхідно:– не дозволяти будь-кому з працюючих на об’єкті обшуку та іншим особам доторкатися до ЗКТ з будь-якою метою;
– не дозволяти будь-кому з персоналу вмикати електропоста-чання об’єкта;– у випадку, якщо на момент початку обшуку електропоста-чання вимкнено, слід вимкнути з електромережі всю комп’ютерну техніку, що знаходиться на об’єкті;
– самому не проводити жодних маніпуляцій із засобами комп’ютерної техніки, якщо результат цих маніпуляцій заздалегідь несвідомий;– при наявності у приміщенні, де знаходяться ЗКТ, небезпеч-них речовин, матеріалів і обладнання (вибухових, токсичних, вог-ненебезпечних, магнітних та електромагнітних) помістити ЗКТ в інше приміщення;
– при неможливості усунення шкідливих матеріалів із примі-щення, а також при наполегливих спробах персоналу отримати до-ступ до ЗКТ, застосувати заходи для усунення (переміщення) персоналу в інше приміщення.5. Можливі перешкоди при вилученні ЗКТ та рекомендації щодо їх подолання
Після прийняття вище вказаних невідкладних заходів можна почати безпосередній обшук приміщення і вилучення ЗКТ. При цьому слід звернути увагу на наступні несприятливі фактори:
– можливі справи персоналу пошкодити ЗКТ з метою знищен-ня інформації та інших даних;– можлива наявність на ЗКТ засобів захисту, у т. ч. спеціаль-них програм, які можуть автоматично знищити певний масив даних від несанкціонованого доступу;
– постійне удосконалення ЗКТ, результатом чого може бути наявність на об’єкті програмно-технічних засобів, незнайомих слід-чому.З метою недопущення шкідливих наслідків перерахованих факторів слідчий повинен дотримуватись наступних рекомендацій:
1. Перед вимкненням електроживлення при можливості коректно закрити всі програми, що використовуються, а в сумнівних ви-падках – просто виключити комп’ютер (у деяких випадках некоректне відключення комп’ютера – шляхом перезагрузки або виключен-ня живлення без попереднього виходу із програми і запису інфор-мації на постійний носій – призводить до втрати інформації в опе-ративній пам’яті навіть до стирання інформації ресурсів на даному комп’ютері).2. При наявності засобів захисту ЗКТ від несанкціонованого доступу застосувати заходи до встановлення джерел доступу (па-ролей, алгоритмів та ін.).
3. Коректно вимкнути живлення усіх ЗКТ, які знаходяться на об’єкті (у приміщенні).4. Не намагатись на місці продивлятись інформацію, що зна-ходиться на ЗКТ.
5. У складних випадках не звертатися за консультацією (допо-могою) до персоналу, а викликати спеціаліста, не зацікавленого у вирішенні справи.6. Здійснити вилучення усіх ЗКТ, виявлених на об’єкті.
7. При обшуку не підносити ближче одного метра до ЗКТ металошукачі та інші джерела магнітного поля, у тому числі потужні осві-тлювальні прилади та деяку спецапаратуру.8. Оскільки чисельні, особливо некваліфіковані користувачі записують процедуру входу-виходу роботи з комп’ютерною систе-мою, а також паролі доступу на окремих аркушах паперу, слід ви-лучити також усі записи, що стосуються роботи ЗКТ.
9. Так як численні комерційні та державні структури користу-ються послугами позаштатних і тимчасово працюючих спеціаліс-тів, що обслуговують ЗКТ, слід записати дані з паспортів усіх осіб, які знаходяться на об’єкті, незалежно від їх пояснень мети перебу-вання на об’єкті.6. Тактика вилучення ЗКТ
При вилученні засобів комп’ютерної техніки необхідно забез-печити суворе дотримання кримінально-процесуального законодав-ства. Для цього необхідно акцентувати увагу понятих на всіх діях, що проводяться, та їх результатах. При необхідності понятим дають необхідні пояснення, оскільки багатьом учасникам слідчої дії мо-жуть бути незрозумілі маніпуляції, що проводяться. Крім того, опечатувати ЗКТ так, щоб виключити можливість роботи з ними, розукомплектування та фізичного пошкодження основних робочих компонентів при відсутності власника чи експерта. При опечатуванні комп’ютерних засобів слід накласти один аркуш паперу на роз’єм електроживлення, розміщений на задній панелі, другий – на передню панель зверху із перекриттям на верхню панель та закрити їх краї густим клеєм. На аркушах паперу повинні бути підпис слід-чого, понятих та представника персоналу. При вилученні магнітно-го носія машинної інформації потрібно пам’ятати, що вони повинні переміщуватись у просторі і зберігатись тільки у спеціальних опломбованих і екранованих контейнерах або у стандартних дискретних або інших алюмінієвих футлярах заводського виготовлення, що ви-ключають руйнівний вплив на різних електромагнітних та магніт-них полів та “наводок”, спрямованих випромінювань. При вилучен-ні магнітних носіїв найкраще упакувати їх у пакет із звичайної фольги і опечатати звичайним способом. Недопустимо наклеювати будь-що безпосередньо до фізичних носіїв інформації та завдавати їм механічні пошкодження.
У випадку, коли необхідно посилити увагу безпосередньо на певний фізичний носій, слід вказати у протоколі його серійний (за-водський) номер, тип, назву (якщо є) або провести його точний опис (розміри, колір, клас, надписи, фізичні пошкодження). При відсутності чітких зовнішніх ознак фізичного носія його потрібно помістити в окрему коробку (ящик, конверт), про що обов’язково робиться відмітка у протоколі проведення слідчої дії.У випадку неможливості вилучення і залучення до справи в яко-сті речового доказу засобу комп’ютерної техніки (наприклад, якщо комп’ютер є сервером або робочою станцією комп’ютерної мережі) в обов’язковому порядку після його огляду необхідно блокувати не тільки відповідні приміщення. А також вимикати джерело енергожив-лення апаратури або, в крайньому випадку, створити умови лише для отримання інформації з одночасним опломбуванням усіх необхідних вузлів, деталей, частин і комп’ютерної системи.
Якщо ж виникла необхідність вилучення інформації з опера-тивної пам’яті комп’ютера (безпосередньо із оперативного за-пам’ятовуючого засобу – ОЗЗ), то зробити це можливо тільки шля-хом копіювання відповідної машинної інформації на фізичний но-сій із використанням стандартних паспортизованих програмних за-собів із відповідним документальним додатком і в порядку, встановленому державними стандартами та іншими нормативними документами. Тільки у такому випадку машинна інформація може належати до розряду “документальної інформації”, як цього вимагає закон. У даному випадку необхідно встановити і зафіксувати у протоколі проведення слідчої дії:– програму, що виконується комп’ютером на момент прове-дення слідчої дії, або останню виконану ним. Для цього необхідно детально вивчити та описати зображення, існуюче на екрані дисп-лея комп’ютера, всі периферійні засоби, що функціонують при цьому, і результати їх діяльності. Необхідно знати, що численні сервісні програмні засоби дозволяють встановити і продивитися найменування усіх раніше викликаних програм і останню виконану. Наприклад, із використанням NORTON COMMANDER остання ви-конана програма встановлюється за положенням курсора;
– результат знайденої програми;– усі маніпуляції з засобами комп’ютерної техніки (включаю-чи натиски на клавіші клавіатури), здійснені у процесі проведення слідчої дії, та їх результат (наприклад, при копіюванні програми і файлів, встановленні їх атрибутів, часу і дати створення, а також при вимкнені і включенні апаратури, порядку відокремлення її час-тин).
Вилучення апаратури ЗКТ проходить тільки у вимкненому стані. При цьому повинні виконуватися і відображатися у протоко-лі наступні дії:– встановлене увімкнене обладнання та зафіксований порядок його відключення;
– опис точного місцезнаходження предметів, що вилучаються, та їх розташування відносно один одного і оточуючих предметів (з додатком необхідних схем та планів);– точний опис порядку з’єднання між собою усіх приладів із зазначенням особливостей з’єднання (колір, кількість, розміри, ха-рактерні індивідуальні ознаки з’єднувальних проводів, кабелів, шлейфів, роз’ємів, штекерів та їх специфікації);
– визначена відсутність або наявність використаних для по-треб ЗКТ каналу (каналів) зв’язку і телекомунікацій. В останньому випадку – встановлення типу зв’язку, апаратури, що використову-ється, абонентський номер, позивний або робоча частота;– роз’єднані з дотриманням усіх необхідних заходів безпеки апаратні частини (прилади) з одночасним опломбуванням їх техніч-них входів і виходів.
Як показує практика, при вилученні засобів комп’ютерної техніки у слідчого можуть виникнути конфлікти із персоналом. При їх вирішенні додатково до вищевикладених правил бажано керува-тись наступними рекомендаціями:1) недопустимо проводити вилучення у декілька прийомів, якщо навіть слідчий не володіє необхідним транспортом. У цьому випадку слід зробити декілька рейсів з об’єкта до місця, де зберіга-ються вилучені матеріали;
2) вилучені матеріали не можуть залишатися на відповідальне збереження на самому об’єкті або в іншому місті, де до них можуть мати доступ сторонні особи;3) недопустиме заміщення на об’єкті частини засобів комп’ютерної техніки за мотивом її “абсолютної необхідності” для діяльності даної фірми (організації). Бажання персоналу зберегти від вилучення деякі ЗКТ вказує на наявність на них важливої для слідства інформації;
4) слід вилучити усі ЗКТ, що знаходяться у приміщені об’єкта, незалежно від їх юридичної приналежності;5) якщо персонал наполягає на відображенні у протоколі слід-чих дії певних якостей вилучених ЗКТ (марки процесора, об’єм пам’яті та ін.), то ці відомості можуть записуватися лише як окремі заяви.
7. Основні недоліки та проблеми, що виникають при розслідувані комп’ютерних злочинів
Як показує аналіз слідчої практики, основною проблемою при виявлені та розслідуванні злочинів даної категорії є відсутність у співробітників мінімально необхідних спеціальних знань у цій га-лузі. Велика складність виникає в питаннях термінології, визначен-ні понять складових частин комп’ютерної системи та мережі, пра-вильного розміщення загального режиму їх функціонування у різ-номанітних технологічних процесах. Усе це призводить до того, що більшість нормативних документів, які регламентують правовий режим функціонування засобів комп’ютерної техніки, залишаються невідомими. Відповідно, вони не враховуються у процесі проведен-ня оперативно-розшукових заходів і слідчих дій, що в кінцевому результаті значно ускладнює виявлення злочинів, відображається на повному та об’єктивному розслідувані кримінальних справ даної категорії. Особливо багато помилок виникає при проведені слідчих дій, які, як правило, проводяться без участі відповідного спеціаліста і без урахування специфіки злочину, що розслідується.Так, наприклад, при огляді місця події вилучаються не усі за-соби комп’ютерної техніки (ЗКТ), що несуть у собі ознаки злочин-ної діяльності та мають важливе значення для слідства, а ті з них, що вилучаються і не можуть у подальшому відігравати роль дока-зів, бо їх вилучення у більшості випадків проводиться з порушен-ням встановленого порядку і правил, що враховують специфіку предмета, у результаті чого втрачається їх процесуальне значення. Тому в процесі розслідування комп’ютерних злочинів при прова-дженні майже всіх слідчих дій вважаємо необхідним в обов’язковому порядку залучити відповідального спеціаліста (спеціалістів).
Звернемо увагу на те, що при провадженні будь-яких слідчих дій, що стосуються безпосередньо комп’ютерних систем і засобів їх захисту, перед їх початком необхідно в обов’язковому порядку отримувати й аналізувати інформацію, що стосується їх периферій-ної приналежності, рівня приналежності та використаних при цьому телекомунікаційних засобів, щоб уникнути: їх руйнування або по-рушення заданого технологічного режиму та режиму функціонування.Визначимо також, що при розслідуванні комп’ютерних злочи-нів дуже часто важко встановити як об’єктивну, так і суб’єктивну сторону злочину. Складність для слідства полягає в тому, що дуже часто злочинець не може повною мірою уявити наслідки своєї дія-льності. Така невизначеність часто виникає, наприклад, при спро-бах несанкціонованого доступу до комп’ютерних мереж. Злочинець не завжди правильно уявляє собі цінність інформації, яка знищуєть-ся чи змінюється, подальші наслідки, до яких можуть призвести йо-го дії. Специфіка ЗКТ така, що одні і тіж дії при різних (і часто зовсім невідомих злочинцю) станах обчислювальної системи, її загрузки, міри надійності та захищеності. Усе це може зумовлювати тру-днощі не лише у встановленні причинно-наслідкових зв’язків, але і у визначенні всіх наслідків злочину, не кажучи вже про те, щоб від-різнити умисел від необережності.
Як зазначають закордонні спеціалісти, процес розслідування комп’ютерних злочинів ускладнює така обставина, як приховування злочинцем слідів своєї діяльності, наприклад, шляхом “витирання” даних чи введення в комп’ютерну систему програм, які завдають шкоди типу “логічна бомба”, “троянський кінь”, комп’ютерний ві-рус і т.д. Нелегко також установити причинно-наслідковий зв’язок між фактором здійснення злочину і підозрою, особливо у випадку наявності великого числа користувачів комп’ютерної системи.Крім вищесказаного, діюча в даний час в Україні інфраструк-тура зв’язку і телекомунікації, на нашу думку, не забезпечує корис-тувача достатньо ефективним захистом від спроб отримання персо-нального доступу до ЗКТ і не дозволяє встановити особливості зло-чинця, який користується цим зв’язком.
Таким чином, робота з розкриття і розслідування комп’ютерних злочинів має цілий ряд особливостей і потребує спеціальної підготовки співробітників правоохоронних органів.
Книга: Спеціальна тактика підрозділів податкової міліції: Курс лекцій - Кочетов
ЗМІСТ
На попередню
|