2. Тактические особенности использования специальных знаний в сфере компьютерных технологий при производстве отдельных следственных действий
Следственные действия – это предусмотренные законом процессуальные действия по собиранию, исследованию, оценке и использованию доказательств. К числу следственных действий относятся осмотр следственный, освидетельствование, допрос, очная ставка, предъявление для опознания, следственный эксперимент, назначение экспертизы, получение образцов для сравнительного исследования, обыск, выемка, наложение ареста на корреспонденцию.
Следственные действия проводятся только по возбужденному уголовному делу; до возбуждения уголовного дела разрешатся производить лишь осмотр места происшествия (места преступления)[111].Следственное действие является основным компонентом криминалистической тактики и определяется как взаимосвязанная система операций и приемов по обнаружению, изъятию, исследованию и фиксации фактических данных, имеющих значение для расследования преступлений.
Тактика производства следственного действия включает: подготовку к проведению; проведение (реализацию тактических приемов, рекомендаций, комбинаций и т.п.) следственного действия; фиксацию хода и результатов следственного действия; оценку полученных результатов и определение их значения и места в системе доказательственной информации по уголовному делу[112].
Говоря о тактике следственных действий, при расследовании преступлений, в которых большим доказательственным значением обладают средства компьютерной техники и компьютерная информация, прежде всего, следует остановиться на рассмотрении особенностей обнаружения, осмотра и изъятия указанных объектов.
Успешность проведения следственного действия во многом зависит от качества и полноты заранее проведенных, подготовительных мероприятий, при которых важное значение имеют:
- получение ориентирующей информации о личности подозреваемого, о месте проведения действий и возможных источниках доказательств;
- определение круга участников, средств криминалистической и компьютерной техники;
- выбор времени, места и условий его производства.
На основе полученной следователем ориентирующей информации должен строиться выбор большинства элементов подготовки к следственному действию.
Целесообразность зависимости выбора сведущего лица от квалификации подозреваемого, используемых им технических и программных средств уже была рассмотрена выше. Представляется, что предоставление специалисту информации о том, с чем придется работать и ставящихся задач, поможет ему подготовить набор программных и технических инструментов, которые могут потребоваться, а если позволяет время – освежить и углубить знания по некоторым вопросам.
Однако на практике нередко случается, что из соображений сохранения тайны оперативных мероприятий специалист не только не извещается о планах соответствующих служб, но и вынужден на месте принимать решения и осуществлять действия, оптимальность которых по этой причине не всегда соответствует его знаниям и опыту.
Например, при подготовке к проверке информации о совершении преступления сотрудник уголовного розыска, ссылаясь на конфиденциальность сведений, отказался знакомить специалиста с деталями проверки, имеющими в данном случае существенное значение. В результате только по прибытии на место происшествия специалист выяснил, что будет проверяться информация о бесплатном предоставлении услуг мобильной связи членам преступной группировки. Игнорирование на подготовительном этапе требования использования знаний специалиста привело к возникновению серьезных проблем: оказалось, что офис фирмы располагается на нескольких этажах здания, местоположение абонентского отдела, количество средств компьютерной техники, сведения о технологии использования программного обеспечения неизвестны лицам, организовавшим проверку. В процессе поиска доказательственной информации был обнаружен сервер и установлено, что нужная информация хранится на разных компьютерах в распределенных базах данных. Специалист был вынужден аргументировано доказывать невозможность и бессмысленность как демонтажа дорогостоящего оборудования, так и получения дозированного объема информации, которую предложило предоставить на носителях руководство фирмы.
Для изъятия компьютерной техники с бухгалтерской информацией и базой данных о подключении клиентов не были заранее заготовлены упаковка, средства опечатывания, транспорт. Весь процесс работы был хаотичен, не организован и вследствие этого длителен и малоэффективен.Но есть и другие положительные примеры взаимодействия специалиста и оперативных служб. Так, при подготовке к проверке хозяйственной деятельности одной из фирм специалист разъяснил оперативникам, какого рода информация может храниться на компьютерных носителях, каким образом следует производить выемку компьютера, предложил определить задачи и порядок последующего осмотра средств компьютерной техники. В результате в течение двухчасового осмотра документов и иной информации на носителях были получены интересующие сведения и найдены документы о незаконном производстве фирмой больших объемов строительных работ, требующих получения лицензии, информация о незаконном производстве мясопродуктов в фальсифицированной упаковке, а также найдены высококачественные компьютерные образцы поддельных удостоверений сотрудников налоговой инспекции[113].
При совершении так называемых компьютерных преступлений обычно известно место наступления преступного результата, в то время как сам преступник и используемые им компьютерные средства могут находиться на значительном удалении. В связи с этим при расследовании как компьютерных (если известны лица причастные к совершению преступления), так и не компьютерных «традиционных» видов преступлений, может возникнуть вопрос о месте проведения некоторых следственных действий. Интересующие следствие объекты (компьютерно- технические средства, носители информации) могут находиться как по месту проживания подозреваемого, так и на его рабочем месте, у родственников или знакомых и т.п.
На месте предполагаемого проведения осмотра или обыска следует обратить внимание на такое условие, как объединение компьютеров в сеть. В таком случае необходимо ограничить доступ к компьютерам и организовать групповой обыск – осмотр одновременно во всех помещениях, где они установлены.
Также, на эффективности следственных действий сказывается удачный выбор времени их проведения. Поскольку компьютерную информацию можно быстро уничтожить, решающее значение имеет внезапность действий, выражающаяся в реализации фактора неожиданности в условиях определенной следственной ситуации. Следственные действия должны быть предприняты до того, как подозреваемый, обвиняемый или иное лицо, оказывающее противодействие расследованию, получит информацию о возможности их проведения. Если заинтересованное лицо уже обладает такой информацией, то для проведения следственного действия необходимо выбрать время, которое бы исключало возможность уничтожения интересующих следствие данных и принятия других мер, препятствующих достижению планируемого следователем результата.
Число следственных действий при расследовании преступлений, сопряженных с использованием средств компьютерной техники, и преступлений, предусмотренных главой 28 УК РФ, неодинаково. Также различны уровень и глубина их применения. При расследовании преступлений в сфере компьютерной информации участие специалиста может потребоваться практически на всех стадиях расследования, начиная со стадии возбуждения уголовного дела (для получения достаточных данных, указывающих на признаки преступления) и заканчивая рассмотрением дела в суде (для разъяснения значения сделанных экспертом, выводов). А при расследовании преступлений, сопряженных с использованием средств компьютерной техники, потребность в помощи специалиста носит более ограниченный характер. Например, в тех случаях, когда возникает необходимость установления факта нахождения определенных данных на машинном носителе информации, назначение и проведение судебной экспертизы необязательно. Факт нахождения конкретных данных, имеющих значение для дела, может быть зафиксирован проведением следственного осмотра с участием специалиста[114]. Следует отметить, что при данном следственном действии участие специалиста и сведущих понятых необходимо, чтобы исключить возможные впоследствии ссылки заинтересованных лиц об изменениях, либо внесении иных данных следователем в ходе осмотра информации, содержащейся в компьютерной системе, на машинных носителях информации.
Следует обратить внимание на применение специальных знаний в сфере компьютерных технологий связанное с восстановлением удаленных данных. Прежде всего, необходимо рассмотреть особенности хранения файлов на перезаписываемых носителях информации. В данном случае нас интересует следующий аспект: когда файл удаляется, данные, хранящиеся в нем, остаются на носителе, но вся информация о нем удаляется из каталога. Секторы, в которых хранился файл, становятся доступными для использования, поскольку воспринимаются системой как «свободные». Новые данные записываются поверх старых, но отдельная процедура стирания не выполняется.
Специальные утилиты, например Norton Unerase, могут обнаруживать сектора, принадлежащие удаленным файлам, отображать их содержимое на экране, полностью или частично восстанавливать файлы, которые впоследствии могут быть использованы соответствующими приложениями. Даже если некоторые из секторов удаленного файла заполнены данными из других, записанных поверх него файлов, все еще возможно просмотреть остаток файла при помощи утилиты восстановления. Она отыщет все удаленные файлы, оставшиеся на жестком диске, а затем определит местонахождение всех существующих секторов, содержащих данные из этого файла. Это даст возможность просмотреть всю доступную информацию, а затем сохранить ее в новом файле.
Для полного уничтожения удаленных с диска файлов необходимо что-то записать в те секторы, где находится удаленный файл. Иногда эту процедуру называют обнулением секторов, поскольку большинство специализированных утилит записывают в эти секторы двоичные 0. Некоторые утилиты заполняют эти секторы случайными числами, причем могут делать это несколько раз. Так, например, в соответствии с требованиями Министерства обороны США для удаления файла с диска требуется полностью стереть его содержимое[115].
Представляется, что подобные действия наиболее эффективны при расследовании традиционных преступлений, когда лица, оказывающие противодействие расследованию, принимая меры к сокрытию следов преступления, удаляют информацию, имеющую значение для расследования.
Лица, совершающие компьютерные преступления, обычно обладают знаниями и навыками достаточными, чтобы не оставлять подобных следов, но, тем не менее не стоит пренебрегать возможностью проверить наличие и характер удаленных файлов.Говоря о тактических особенностях использования помощи специалиста в области компьютерных технологий при проведении следственных действий подобного рода, следует обратить внимание на их различие при расследовании «компьютерных» и «традиционных» видов преступлений. Данные отличия нагляднее будет отобразить с помощью таблицы.
Таблица 1
Различия в использовании помощи специалиста при расследовании
«компьютерных» и «традиционных» видов преступлений
Компьютерные преступления | Традиционные преступления | |
Доказательствен-ное значение получаемой информации | Информационные следы, возникающие при совершении преступления на компьютере жертвы, преступника иных компьютерно-технических средствах (сервер провайдера и т.п.), лежат в основе большинства доказательств по делу | Носит ориентирующий характер (установление контактов подозреваемого и т.п.); установление факта нахождения определенных данных в компьютерной системе или на ином машинном носителе информации (макетов поддельных документов, денежных знаков и т.п.), может служить одним из доказательств по делу. Кроме того, корпус системного блока или других устройств может использоваться в качестве тайника |
Готовность подозреваемого к исследованию компьютерной техники и информации правоохранительными органами | Лицо, совершившее преступление, ожидает и готовится к подобным исследованиям, принимает меры к сокрытию следов противоправной деятельности, такие как уничтожение информации, отдаленное хранение, шифрование и другие | Во многих случаях, внимание к компьютерной технике будет являться неожиданностью для подозреваемого. Но даже если он был готов к этому, меры сокрытия будут носить менее сложный характер, что позволяет рассчитывать на возможность восстановления и обнаружения интересующей следствие информации |
Специальные знания | В зависимости от обстоятельств дела могут потребоваться глубокие знания в области программирования, сетевых технологий, защиты информации и информационной безопасности, технического устройства компьютерных средств | В большинстве случаев, будут достаточными общие знания компьютерных технологий и знакомство с используемой операционной системой; предпочтение может отдаваться специалистам в области защиты информации и информационной безопасности |
Основные направления использования специальных знаний в сфере компьютерных технологий | Поиск и исследование следов работы в сети, вредоносных программ и т.п. | Поиск определенной, возможно заранее известной информации, восстановление удаленных данных |
В соответствии с ч. 1 ст. 170 УПК РФ следственные действия производятся с участием не менее двух понятых, которые вызываются для удостоверения факта производства следственного действия, его хода и результатов, за исключением случаев, предусмотренных ч. 3 ст. 170 УПК РФ. Отсутствие понятых лишает полученные при этом сведения юридической силы.
Присутствие понятых при проведении следственных действий при расследовании преступлений в сфере компьютерной информации имеет специфические особенности.
Роли понятых в ходе проведения следственного осмотра, а также их уголовно-процессуальному статусу посвящено значительное количество криминалистической литературы, в связи с чем мы остановимся лишь на специфических требованиях, предъявляемых к понятым, накладываемых особенностями расследования преступлений в сфере компьютерной информации.
Одним из наиболее специфических требований к понятым, о котором уже упоминалось ранее, является наличие у них определенных знаний и навыков в области вычислительной техники и новых информационных технологий, достаточных для того, чтобы они могли целенаправленно наблюдать за действиями следователя, и отчетливо представляли цель происходящего и смысл отдельных действий. В противном случае показания понятого, допрошенного в суде, могут не убедить суд в признании соответствующих обстоятельств доказательствами.
Согласно ч. 1 ст. 60 УПК РФ в качестве понятых могут привлекаться только не заинтересованные в исходе дела лица. В.А. Мещеряков считает, что кроме этого желательно, чтобы они были не знакомы с лицами, работающими в организации, где производится следственный осмотр или, по возможности, не сталкивались в ходе своей деятельности с данной организацией. При этом следует иметь в виду не только личное, но и «заочное» знакомство (через информационно-вычислительные сети: Интернет, ФИДО и т.п.), когда люди знают друг друга по электронным псевдонимам или кратким крылатым фразам (так называемым ORIGIN — сообщениям размером не более одной строки помещаемым в конце электронного послания и позволяющего идентифицировать пользователя информационной системы). Это связано с тем, что в ходе проводимого следственного действия понятым может стать известна информация личного характера (при осмотре электронных писем и сообщений), а также сведения, составляющие коммерческую или государственную тайну[116].
При всей обоснованности требования избегать даже «заочного» знакомства понятого с кем-либо из заинтересованных лиц, представляется достаточно сложным, а в ряде случаев практически невозможным сознательное обеспечение такого условия. Это обусловлено рядом факторов.
Во-первых, поиск даже «простых», не сведущих понятых требует иногда значительных затрат времени и усилий от следователя, что на практике вызывает возражения против рекомендации привлекать только сведущих понятых. Стремление соблюсти рекомендацию об отсутствии «заочного» знакомства порождает дополнительные трудности привлечения понятых.
Во-вторых, если указанные лица имеют близкие профессиональные или иные интересы и достаточно активно пользуются такими сервисами Интернета, как Интернет-дневник (Live Journal), IRC, ICQ, участвуют в форумах, чатах и т.п., вероятность того, что они не знакомы «заочно», крайне низка.
В-третьих, представляется невозможным проверить наличие или отсутствие такого знакомства по ряду причин: одно лицо может пользоваться неограниченным количеством различных «электронных имен» или «ников», которые неизвестны следователю; понятой может не сразу узнать такой ник при непривычных обстоятельствах, например в речевой интерпретации следователя, так как привыкло видеть его только на экране монитора; также понятой может отрицать такое знакомство из простого любопытства или иных мотивов.
Таким образом, в качестве относительно доступного и надежного способа обеспечения данного условия можно было бы рекомендовать избегать привлекать лиц, пользующихся подобными сервисами Интернета. Однако в настоящее время найти таких среди тех, кого можно отнести к категории сведущих, практически невозможно.
Кроме того, нельзя исключить и такой возможности, что лицо, которое не было знакомо с пользователями осматриваемых компьютеров, после участия в осмотре в качестве понятого и, узнав номер icq или другого Интернет-мессенджера, почтовые адреса или имена, используемые ими в форумах и т.д. (а оно может узнать и запомнить не только имена – логины пользователей, но и пароли, используемые для идентификации), не пожелает воспользоваться данной информацией. В подобных случаях, следователю необходимо предпринять меры к предотвращению разглашения сведений конфиденциального характера: предупредить об этом понятых, сделав соответствующую запись в протоколе следственного действия или же взять подписку о неразглашении установленного образца.
Анализ первых уголовных дел в сфере компьютерной информации показал, что необходимость таких действий возникает при расследовании преступлений, связанных с кредитно-финансовой сферой, когда понятые в ходе следственного осмотра ознакамливаются с организацией электронных платежей, владельцами и содержанием банковских счетов, сведениями, позволяющими судить о степени надежности того или иного банковского учреждения.
В-четвертых, при проведении следственного осмотра в организациях, где возможно ознакомление со сведениями, составляющими государственную тайну, необходимо принятие мер к тому, чтобы выбрать понятых из числа лиц, имеющих соответствующую форму допуска. Несмотря на кажущуюся надуманность данного положения, оно является весьма жизненным и достаточно часто встречающимся в повседневной практике. Дело в том, что из-за значительной стоимости средств вычислительной техники и новых информационных технологий они в первую очередь внедряются в наиболее ответственных местах – кредитно-финансовой системе государства, органах государственного управления, правоохранительных органах и т.п., как раз там, где и создается и обрабатывается информация конфиденциального характера[117].
Рассмотрим некоторые виды следственных действий подробнее. В контексте данного исследования нас интересует та часть структурных элементов отдельных следственных действий, которая включает в себя использование специальных знаний в сфере компьютерных технологий, взаимодействие с соответствующими специалистами.
Представляется, что рекомендации по использованию специальных знаний и взаимодействию со специалистами в области компьютерных технологий при проведении данных следственных действий применимы как при расследовании компьютерных, так и «традиционных» преступлений, с учетом отличий, обозначенных в таблице, а также в зависимости от других обстоятельств дела. Так, например, общим является необходимость исключить возможность уничтожения ценной информации подозреваемым или в результате неосторожных действий. А основное отличие заключается в глубине исследования, необходимой для поиска требуемой в данном случае информации и уровне привлекаемых для этого знаний и навыков.
Проведенное среди сотрудников правоохранительных органов (следователей, оперативных работников) анкетирование показало, что при расследовании преступлений, связанных с использованием средств компьютерной техники, наибольшую сложность вызывает осмотр компьютерных объектов. Среди 70 респондентов, как представляющие наибольшую сложность следственные действия выделили:
- осмотр компьютерных объектов – 54;
- обыск, с целью изъятия компьютерных объектов – 31;
- назначение компьютерно-технических экспертиз – 25;
- допрос лиц, подозреваемых или обвиняемых в совершении преступлений в сфере компьютерной информации – 18;
- направление материалов в органы дознания / следствия – 3.
Осмотр, который проводится в процессе предварительного расследования, принято называть следственным, в отличие от осмотра, проводимого на стадии судебного разбирательства и осуществляемого судом в соответствии со ст.ст. 284, 287.
Следственный осмотр – следственное действие, проводимое для непосредственного обнаружения и исследования объектов, имеющих значение для дела, их признаков, свойств, состояния и взаиморасположения[118].
Значение следственного осмотра состоит в том, что данное следственное действие является одним из надежных способов получения доказательственной информации. Его проведение позволяет обнаружить, исследовать и закрепить доказательства, устанавливающее событие преступления и виновность конкретного лица, выявить обстоятельства, способствовавшие совершению преступления.
Основаниями для производства осмотра являются обоснованные предположения следователя о том, что на месте происшествия, в жилище или ином помещении, на предметах или документах могут быть обнаружены следы преступления или установлены обстоятельства, имеющие значение для уголовного дела.
Осмотр – обобщающее понятие, которое объединяет в себе несколько видов этого следственного действия. Когда речь идет о следственном осмотре, имеется в виду один из его видов, который определяется характером осматриваемого объекта. Если осмотр производился как самостоятельное следственное действие, то его ход и результаты фиксируются, соответственно, в протоколах осмотра места происшествия, помещения, предмета, документа и т.п.
Кроме того, осмотр может быть составной частью таких следственных действий, как задержание; обыск; выемка; следственный эксперимент; проверка показаний на месте; контроль и запись переговоров. Такой осмотр принято считать вспомогательным, так как он обеспечивает реализацию целей указанных следственных действий. Его результаты фиксируются в протоколе соответствующего следственного действия[119].
В контексте исследования можно выделить следующие виды:
- осмотр места происшествия (места преступления);
- осмотр средств компьютерной техники, компьютерных систем и их сетей;
- осмотр машинного носителя информации;
- осмотр электронно-цифрового объекта;
- осмотр документов, изготовленных с помощью компьютерно-технических средств (машинограмм).
Каждый из видов следственного осмотра имеет свои специфические особенности, определяющие порядок его проведения. Однако существует ряд положений процессуального и технического характера общих для всех видов следственного осмотра.
Уголовно-процессуальное законодательство для производства осмотра не предусматривает вынесения каких-либо специальных постановлений. Основания и процессуальный порядок следственного осмотра установлены в ст. ст. 176–178 УПК РФ.
По общему правилу осмотр следов преступления и иных обнаруженных предметов производится на месте производства следственного действия (ч. 2 ст. 177 УПК РФ). Если для производства такого осмотра требуется продолжительное время, связанное с его сложностью, или осмотр на месте затруднен (например, из-за отсутствия специалистов, необходимых научно-технических средств или в связи с неблагоприятной обстановкой, сложившейся на месте происшествия и т.п.), то в соответствии с ч. 3 ст. 177 УПК РФ предметы должны быть изъяты, упакованы, опечатаны, заверены подписями следователя и понятых на месте осмотра. Изъятию подлежат только те предметы, которые могут иметь отношение к уголовному делу[120].
В соответствии со ст. 58 УПК РФ, принимая участие в процессуальных действиях, специалист использует свои специальные знания для содействия следователю в обнаружении, закреплении и изъятии доказательств. Таким образом, следователь на месте происшествия должен принимать непосредственное участие в обнаружении доказательств и организовать деятельность специалиста в нужном ему направлении, а не ограничиваться пассивной ролью лица, лишь фиксирующего в протоколе обнаруженные специалистом следы. Однако на практике, несмотря на четкую регламентацию УПК РФ действий каждого участника осмотра места происшествия, всю работу по обнаружению и фиксации следов следователи нередко перекладывают на плечи специалистов. Такая позиция следователей вызывает возражение не только с точки зрения несоответствия ее УПК РФ, но и потому, что решение задачи доказывания по уголовному делу лежит на следователе, а не на специалисте. Пассивность следователя при проведении осмотра может негативно отразиться на его эффективности, поскольку именно следователь определяет, что имеет значение для расследования, в то время как специалист может стремиться закончить осмотр как можно быстрее.
Обладая властными полномочиями, следователь не должен упускать из виду и психологические аспекты межличностных отношений. Его доброжелательное и деловое общение с участниками осмотра – существенная предпосылка успешного проведения осмотра места происшествия, в котором участвует группа лиц[121].
Приступая к рассмотрению вопросов проведения следственного осмотра при расследовании преступлений в сфере компьютерной информации, необходимо отметить такую характерную особенность, как его вынужденная однократность. При этом следует подчеркнуть, что осмотр может быть проведен и многократно, однако его информативность (целесообразность) будет существенно снижена или практически сведена к нулю, так как при совершении компьютерного преступления возникает очень мало материальных следов, срок сохранения которых в неизменном состоянии крайне мал[122].
Вынужденная однократность проведения осмотра, небольшой срок хранения следов совершенного преступления существенно повышают требования к тщательной подготовке данного следственного действия, своевременности и полноте его проведения.
Еще по теме 2. Тактические особенности использования специальных знаний в сфере компьютерных технологий при производстве отдельных следственных действий:
- Особенности технологии управления персоналом на предприятиях индустрии сервиса и туризма
- § 2. Общенаучные методы криминалистики
- § 2. Особенности тактики следственных действий
- 6.3. ОБЩИЕ (ОБЩЕНАУЧНЫЕ) МЕТОДЫ КРИМИНАЛИСТИКИ
- 3.4. ИСПОЛЬЗОВАНИЕ ВОЗМОЖНОСТЕЙ СУДЕБНЫХ ЭКСПЕРТИЗ В РАССЛЕДОВАНИИ СЕРИЙНЫХ УБИЙСТВ
- 4.1. ЧАСТНАЯ КРИМИНАЛИСТИЧЕСКАЯ МЕТОДИКА КАК СРЕДСТВО ОРГАНИЗАЦИИ И ОСУЩЕСТВЛЕНИЯ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ
- 1. Общие положения организации взаимодействия органов расследования со сведущими лицами
- 2. Тактические особенности использования специальных знаний в сфере компьютерных технологий при производстве отдельных следственных действий
- 1.5. Криминалистическое понятие причин и условий.
- § 9. Тактические особенности проведения отдельных следственных действий