<<
>>

46.1. Расследование неправомерного доступа к компьютерной информации

Неправомерный доступ к компьютерной инфор­мации.

Информация и информационные правоотношения все чаще становятся новым предметом преступных по­сягательств. К деликтам этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст.

272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, их системы или сети (ст. 274).

Общий объект этих преступлений - общественные отношения по обеспечению информационной безопас­ности, а непосредственными объектами преступного посягательства являются: базы и банки данных, от­дельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программ­ные средства, в том числе обеспечивающие защиту от неправомерного доступа.

Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Докумен­тированная информация - это зафиксированные на материальном носителе сведения с реквизитами, ко­торые позволяют их идентифицировать. Компьютер­ная информация считается документированной, но хранящейся в ЭВМ или управляющей ею в соответ­ствии с программой и (или) предписаниями пользова­теля. К машинным носителям компьютерной инфор- ма- ции относятся блоки (память) ЭВМ, ее периферий­ные системы, компьютерные средства связи и сетевые устройства.

Ответственность по ст. 272 УК РФ наступает, если неправомерный доступ к компьютерной информации привел к таким опасным последствиям, как уничто­жение, блокирование, модификация, копирование ин­формации либо нарушение работы ЭВМ, их системы или сети. Уничтожением считается такое изменение состояния информации, вследствие которого она пе­рестает отвечать своему прямому назначению. Под блокированием понимается временная или постоян­ная невозможность доступа к информации со сторо­ны законного пользователя, а под модификацией - ее видоизменение с появлением новых, нежелатель­ных, свойств.

Копирование - это воспроизведение точ­ного или относительно точного аналога оригинала; а нарушение работы ЭВМ, их системы или сети - за­медление, зацикливание, прекращение действия про­граммы, нарушение порядка выполнения команд, от­каз в выдаче информации, отключение элементов ком­пьютерной системы, другие нештатные ситуации. При этом системой считается взаимосвязанная совокуп­ность компьютеров с единым организационно-техни­ческим обеспечением, а сетью - объединение систем ЭВМ, действующих на определенной территории.

При расследовании неправомерного доступа к ком­пьютерной информации обстоятельства содеянного устанавливаются в такой очередности: 1) сам факт не­правомерного доступа; 2) место несанкционированно­го проникновения в эту систему или сеть; 3) время со­вершения преступления; 4) способ несанкционирован­ного доступа; 5) степень надежности средств защиты компьютерной информации; 6) лица, совершившие не­правомерный доступ, их виновность и мотивы содеян­ного; 7) наступившие вредные последствия.

Для данных преступлений характерны следующие ситуации начала расследования: 1) собственник ком­пьютерной системы обнаружил нарушение ее целост­ности и (или) конфиденциальности, установил винов­ное лицо и заявил о случившемся; 2) собственник си­стемы сам выявил названные нарушения, однако не смог установить злоумышленника и заявил о случив­шемся; 3) сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъ­екте стали известны компетентным органам, владе­лец компьютерной системы этот факт скрывает; 4) пра­воохранительный орган обнаружил признаки противо­правного вторжения в компьютерную систему, винов­ное лицо и владелец информации неизвестны.

Факт неправомерного доступа к информации первыми обычно обнаруживают пользователи компью­терной системы или сети. Такие факты иногда уста­навливаются в процессе оперативно-розыскной дея­тельности органов внутренних дел или ФСБ России. Их можно выявить и в ходе прокурорских проверок, реви­зий, судебных экспертиз, следственных действий.

Признаками несанкционированного доступа или подготовки к нему могут служить: а) появление в персо­нальном компьютере (ПК) искаженных данных; б) не­обновление в течение длительного времени кодов, па­ролей и других защитных средств компьютерной си­стемы; в) увеличение числа сбоев в работе ЭВМ; г) участившиеся жалобы пользователей компьютерной системы или сети.

Таким фактам могут предшествовать или сопутство­вать: 1) приобретение работником для личного поль­зования дорогостоящего компьютера; 2) участившиеся случаи перезаписи отдельных данных без серьезных на то причин; 3) необоснованный интерес некоторых работников к содержанию чужих принтерных распеча­ток и др.

Необходимо выяснить также признаки неправомер­ного доступа, выражающиеся в отступлениях от уста­новленного порядка обработки документов: а) наруше­ния принятых правил оформления документов и изго­товления машинограмм; б) лишние документы, подго­товленные для обработки на ЭВМ; в) несоответствие информации, содержащейся в первичных документах, данным машинограмм; г) преднамеренные утрата или уничтожение первичных документов и машинных но­сителей информации, внесение искажений в их реги­страцию. Следует, однако, помнить, что аналогичные признаки могут быть результатом не только злоупотре­блений, но и, например, случайных ошибок и техниче­ских сбоев.

Место несанкционированного проникновения в

компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаружива­ется место неправомерного доступа к компьютерной информации с целью хищения денежных средств, но и для этого приходится выявлять все места работы ПК, имеющих единую телекоммуникационную связь. Гораздо проще это место установить тогда, когда рас­следуется противоправный доступ к единичному ПК.

Гораздо труднее определить место непосредствен­ного применения технических средств удаленного до­ступа, которые не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов.

Подлежат выяснению также места хранения информации, добы­той преступником в результате неправомерного досту­па к сети.

Время несанкционированного доступа можно установить с помощью программ общесистемного на­значения, которые обычно фиксируют текущее время. Это позволяет вывести на экран дисплея сведения о точном времени выполнения той или иной операции. Если эта программа функционирует, то при несанкци­онированном входе в систему или сеть время работы на ПК любого пользователя и производства конкрет­ной операции автоматически фиксируется в оператив­ной памяти. Тогда время несанкционированного досту­па можно определить в ходе следственного осмотра ПК, его распечаток или дискет, производимого с уча­стием специалиста, например сотрудника информаци­онного центра МВД России, ГУВД, УВД. Время такого доступа устанавливается и путем допроса свидетелей - сотрудников данной компьютерной системы. Выяс­няется, когда именно каждый из них работал на ЭВМ, если это не зафиксировалось автоматически.

Способы преступных манипуляций в сфере ком­пьютерной информации могут быть разделены на две большие группы. Первая группа преступных дей­ствий осуществляется без использования компьютер­ных устройств в качестве инструмента для проникно­вения извне в информационные системы или воздей­ствия на них. Это могут быть: а) хищение машинных носителей информации в виде блоков и элементов ЭВМ; б) использование визуальных, оптических и аку­стических средств наблюдения за ЭВМ; в) считыва­ние и расшифровка различных электромагнитных из­лучений ПК и обеспечивающих систем; г) фотографи­рование информации в процессе ее обработки; д) из­готовление бумажных дубликатов входных и выходных документов, копирование распечаток; е) использова­ние оптических и акустических средств наблюдения за лицами, имеющими отношение к необходимой зло­умышленнику информации, фиксация их разговоров; ж) осмотр и изучение не полностью утилизиро- ванных отходов функционирования компьютерных систем; з) получение от лиц, имеющих отношение к необходимой злоумышленнику информации, нужных сведений и др.

Вторая группа преступных действий осуществляет­ся с использованием компьютерных и коммуникацион­ных устройств в качестве инструмента для проникно­вения в информационные системы или воздействия на них. Тогда несанкционированный доступ реализу­ется: подбором пароля, использованием чужого име­ни, отысканием и применением пробелов в програм­ме, а также с помощью других мер преодоления за­щиты компьютерной информации. Конкретный способ несанкционированного доступа можно установить пу­тем допроса свидетелей из числа лиц, обслуживаю­щих компьютерную систему, и ее разработчиков. Необ­ходимо выяснить, как преступник мог проникнуть в за­щищенную систему, например, узнать идентификаци­онный номер законного пользователя, код, пароль для доступа, получить сведения о других средствах защи­ты системы или сети ЭВМ.

Способ несанкционированного доступа надежнее установить путем производства судебной информаци­онно-технической экспертизы, поставив перед экспер­том вопрос: «Каким способом был осуществлен не­санкционированный доступ в данную компьютерную систему?» Для этого эксперту нужно представить всю проектную документацию на взломанную компьютер­ную систему, а также данные о ее сертификации.

В ряде случаев, чтобы проверить возможность пре­одоления средств защиты компьютерной системы од­ним из предполагаемых способов, целесообразно про­изводство следственного эксперимента. Одновремен­но может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо технического сбоя.

Выясняя надежность средств зашиты компьютерной информации, прежде всего следует установить, преду­смотрены ли в данной системе или сети ЭВМ меры за­щиты от несанкционированного доступа. Это выясня­ется в ходе допросов разработчиков и пользователей системы, а также при изучении инструкций по ее экс­плуатации и проектной документации. Изучая инструк­ции, нужно обращать особое внимание на разделы о мерах защиты информации, поряд- ке допуска пользо­вателей к конкретным данным, разграничении их пол­номочий, организации контроля за доступом.

Важно разобраться в программных, криптографических, орга­низационных и других методах защиты информации, поскольку для обеспечения высокой степени надежно­сти компьютерных систем, обрабатывающих докумен­тированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности.

Так, законодательством предусмотрены обязатель­ная сертификация средств защиты систем и сетей ЭВМ и обязательное лицензирование всех видов дея­тельности в области проектирования и производства названных средств. Поэтому в процессе расследова­ния необходимо выяснить: 1) есть ли лицензия на про­изводство средств защиты информации от несанкцио­нированного доступа, задействованных в данной ком­пьютерной системе; 2) соответствуют ли их параметры выданному сертификату. Ответ на последний вопрос может дать информационно-техническая экспертиза, с помощью которой выясняется: соответствуют ли вы­данному сертификату средства защиты информации от несанкционированного доступа.

При установлении лиц, совершивших несанкциони­рованный доступ к конфиденциальной компьютерной информации, следует учитывать, что технологически он является весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых реко­мендуется начинать с технического персонала взло­манных компьютерных систем или сетей. Это в пер­вую очередь их разработчики, а также операторы, про­граммисты, инженеры связи, специалисты по защите информации.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компью­терную систему или сеть, тем легче установить подо­зреваемого, ибо круг специалистов, обладающих соот­ветствующими способностями, весьма ограничен.

Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной ин­формации способствует использование различных следов, обнаруживаемых при следственном осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их ис­следования назначаются дактилоскопическая, почер­коведческая и другие экспертизы.

Устанавливая лиц, обязанных обеспечивать надле­жащий режим доступа к компьютерной системе или се­ти, следует ознакомиться с должностными инструкци­ями, определяющими полномочия сотрудников, ответ­ственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запус­кал нештатную программу и фиксировалось ли это, кто особо увлекается программированием, интересуется системами защиты информации.

У субъектов, заподозренных в неправомерном до­ступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфи­гураций, принтеров, средств связи с компьютерными сетями, записных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информаци­ей, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользо­вателей данной компьютерной системы, а также све­дения о них. При обыске нужно изымать также лите­ратуру и методические материалы по компьютерной технике и программированию. К обыску и осмотру изъ­ятых предметов нужно привлекать соответствующего специалиста.

Доказать виновность и выяснить мотивы лиц, осу­ществивших несанкционированный доступ к компью­терной информации, можно лишь по результатам все­го расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпев­ших, заключения судебных экспертиз, главным обра­зом информационно-технологических и информацион­но-технических, а также результаты обысков. В ходе расследования выясняется: 1) с какой целью совер­шен несанкционированный доступ к компьютерной ин­формации; 2) знал ли правонарушитель о системе ее защиты; 3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компьютерной системе или сети могут заключаться в хищении денежных средств или материальных цен­ностей, завладении компьютерными программами, а также информацией путем копирования либо изъятия машинных носителей. Это может быть и незаконное изменение, уничтожение, блокирование информации, выведение из строя оборудования, внедрение в ком­пьютерную систему вредоносного вируса, ввод лож­ных данных и др.

Хищения денежных средств чаще всего совершают­ся в банковских электронных системах путем несанк- циониро- ванного доступа к их информационным ре­сурсам, внесения в последние изменений и дополне­ний. Такие посягательства обычно обнаруживают сами работники банков, но не всегда заявляют о них.

Факты неправомерного завладения компьютерными программами и их незаконного использования выявля­ют, как правило, потерпевшие. Максимальный вред причиняет незаконное получение информации из раз­личных компьютерных систем, ее копирование и раз­множение с целью продажи для получения материаль­ной выгоды либо использования в других преступных целях.

Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация конфиденциальна или имеет категорию государственной тайны, то вред, причинен­ный ее разглашением, определяется в соответствии с порядком, установленным Правительством РФ.

Факты незаконного изменения, уничтожения, блоки­рования информации, выведения из строя компьютер­ного оборудования, загрузки в информационную си­стему заведомо ложных сведений выявляются прежде всего самими пользователями компьютерной системы или сети. Следует учитывать, что не все эти негатив­ные последствия наступают в результате умышленных действий. Их причиной могут стать также случайные сбои в работе компьютерного оборудования.

При определении размера причиненного вреда учи­тываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Та­кие последствия устанавливаются в ходе следствен­ного осмотра компьютерного оборудования и носите­лей информации с анализом баз и банков данных, а также посредством комплексной экспертизы. Помогут здесь и допросы технического персонала, владельцев информационных ресурсов.

На заключительном этапе расследования форми­руется целостное представление об обстоятельствах, облегчивших несанкционированный доступ к компью­терной информации. Весьма значимы материалы ве­домственного (служебного) расследования.

К этим обстоятельствам относятся: 1) неэффектив­ность методов защиты компьютерной информации от несанкционированного доступа; 2) совмещение функ­ций разработки и эксплуатации программного обеспе­чения в одном структурном подразделении; 3) непри­менение в технологическом процессе всех необходи­мых средств и процедур регистрации операций, дей­ствий программ и обслуживающего персонала; 4) на­рушение сроков изменения паролей пользователей, а также хранения копий программ и компьютерной ин­формации.

<< | >>
Источник: Евгений Петрович Ищенко, Александр Георгиевич Филиппов. Криминалистика: учебник. Высшее образование; Москва; - 743 с.. 2007

Еще по теме 46.1. Расследование неправомерного доступа к компьютерной информации:

  1. Статья 272. Неправомерный доступ к компьютерной информации
  2. § 1. Неправомерный доступ к компьютерной информации
  3. Глава 46 Расследование преступлений в сфере компьютерной информации
  4. 46.1. Расследование неправомерного доступа к компьютерной информации
  5. Глава 43. Расследование преступлений в сфере компьютерной информации
  6. 43.1 Расследование фактов неправомерного доступа к компьютерной информации
  7. Глава 27 Расследование преступлений в области компьютерной информации
  8. Глава 39. МЕТОДИКА РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
  9. § 1. Расследование фактов неправомерного доступа к компьютерной информации
  10. Глава 38. Методика расследования преступлений в сфере компьютерной информации
  11. § 1. Расследование фактов неправомерного доступа к компьютерной информации
  12. Тема 26. Методика расследования преступлений В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
  13. ГЛАВА 35. РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
  14. Глава 34. РАССЛЕДОВАНИЕ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
  15. Статья 272. Неправомерный доступ к компьютерной информации
  16. § 2. Неправомерный доступ к компьютерной информации
  17. § 2. Виды преступлений в сфере компьютерной информации Неправомерный доступ к компьютерной информации (ст. 272 УК)
  18. 16.2. Неправомерный доступ к компьютерной информации: понятие, состав и виды
- Кодексы Российской Федерации - Юридические энциклопедии - Авторское право - Аграрное право - Адвокатура - Административное право - Административное право (рефераты) - Арбитражный процесс - Банковское право - Бюджетное право - Валютное право - Гражданский процесс - Гражданское право - Диссертации - Договорное право - Жилищное право - Жилищные вопросы - Земельное право - Избирательное право - Информационное право - Исполнительное производство - История государства и права - История политических и правовых учений - Коммерческое право - Конституционное право зарубежных стран - Конституционное право Российской Федерации - Корпоративное право - Криминалистика - Криминология - Международное право - Международное частное право - Муниципальное право - Налоговое право - Наследственное право - Нотариат - Оперативно-розыскная деятельность - Основы права - Политология - Право - Право интеллектуальной собственности - Право социального обеспечения - Правовая статистика - Правоведение - Правоохранительные органы - Предпринимательское право - Прокурорский надзор - Разное - Римское право - Сам себе адвокат - Семейное право - Следствие - Страховое право - Судебная медицина - Судопроизводство - Таможенное право - Теория государства и права - Трудовое право - Уголовно-исполнительное право - Уголовное право - Уголовный процесс - Участникам дорожного движения - Финансовое право - Юридическая психология - Юридическая риторика - Юридическая этика -