Допрос подозреваемого (обвиняемого)

При подготовке, планировании и в ходе проведения допросов подозреваемых и обвиняемых по уголовным делам о компьютерных преступлениях следует учитывать особенности составов данного вида преступлений и, прежде всего, их субъект и субъективную сторону.

1. Преступления в сфере компьютерной информации относятся к категории так называемой «беловоротничковой» преступности,[16] в связи с чем перед проведением допроса необходимо проконсультироваться у специалиста, а при необходимости пригласить его для участия в допросе (что должно быть процессуально оформлено), а также составить детальный план допроса.

В начальной стадии допроса выясняются следующие обстоятельства общего характера, интересующие следствие:

- имеет ли подозреваемый (обвиняемый) навыки обращения с компьютером, где, когда и при каких обстоятельствах он освоил работу с компьютерной техникой и с конкретным программным обеспечением;

- место его работы и должность, работает ли он на компьютере по месту работы, имеет ли правомерный доступ к компьютерной технике и к каким видам программного обеспечения;

- какие операции с компьютерной информацией выполняет на рабочем месте;

- имеет ли правомерный доступ к глобальной сети Интернет, работает ли в Интернете;

- закреплены ли за ним по месту работы идентификационные коды и пароли для работы в компьютерной сети;

- если не работает, то какие операции выполняет на своем персональном компьютере либо персональных компьютерах других лиц из своего ближайшего окружения, где и у кого приобрел программы для своей ЭВМ;

- каковы обстоятельства, предшествовавшие совершению преступления, т.е.:

когда у него возникло намерение совершить преступление в сфере компьютерной информации, кто или что повлияло на принятие такого решения;

почему им выбран данный объект для преступного посягательства (организацию, структуру, где сам работал или стороннее учреждение, предприятие);

каковы мотивы совершения преступления: корысть, месть, зависть, проверка своих способностей и т.д.;

какова цель совершения преступления (только ли наступление таких последствий как копирование, уничтожение, блокирование, модификация информации, нарушение работы ЭВМ, системы ЭВМ, сети ЭВМ, либо компьютерная техника являлась средством и способом совершения иных, традиционных преступлений, например, хищение, уклонение от уплаты налогов, промышленный шпионаж и т.д.)[17];

Выяснить конкретные преступные действия, совершенные с использованием компьютерных технологий (неправомерный доступ к информационным базам данных, создание, использование и распространение вредоносных программ, нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети).

2. Анализ практики свидетельствует о том, что на смену «хакерам – одиночкам» приходят организованные преступные группы и сообщества, для которых характерно четкое распределение ролей в совершенном преступлении (причем «хакеры» нередко используются по найму)[18].

В ходе допросов подозреваемых (обвиняемых) необходимо установить:

- наличие сговора с другими лицами на совершение преступления, кто эти лица;

- кто является инициатором совершения преступления;

- время, место и иные детали состоявшейся преступной договоренности;

- распределение ролей между участниками преступления (преступлений);

- каковы конкретные действия по подготовке преступления (предварительное изучение объекта преступного посягательства, подтверждение наличия интересующей соучастников информации, принятие мер для нелегального получения идентификационных кодов, паролей для доступа в сеть, открытие лжепредприятий, либо счетов в существующих банках, получение кредитных карточек для перевода похищенных денежных средств и т.д.);

- какова доля каждого из соучастников, которую он должен был получить в результате совершения преступления (преступлений).

3. Используя современные телекоммуникационные сети, в том числе глобальную сеть Интернет, злоумышленники получили возможность совершать преступления буквально «не выходя из дома», со своего рабочего места в офисе или из квартиры. Объект преступного воздействия может находиться далеко от места совершения преступления, в другом конце города, другой области и даже в другом государстве. Такие вторжения в компьютерные сети потерпевших организаций «извне» составляют до половины всех совершенных компьютерных преступлений.

Исходя из этого, при допросах подозреваемых (обвиняемых) очень важно детально уточнить «технологию» совершенного преступления или преступлений, получить сведения о том, какие электронные и вещественные доказательства содеянного имеются (или могли сохраниться), где можно обнаружить интересующую следствие информацию.

Поскольку эта часть допроса требует специальных познаний в компьютерной технике, изобилует специальной терминологией и специфической лексикой, допрос подозреваемого (обвиняемого), как указывалось выше, следует проводить с участием специалиста в этой области (в соответствии со ст. 133¹ УПК РСФСР).

На данной стадии допроса фиксируются (отражаются в протоколе допроса) конкретные детали, способы и средства совершения преступления и преодоления имеющихся у потерпевших средств информационной защиты.

4. При неправомерном доступе к компьютерной информации, подозреваемый (обвиняемый) допрашивается по следующим вопросам:

- о месте неправомерного проникновения в компьютерную систему (сеть), т.е. внутри потерпевшей организации (путем выдачи соответствующих команд с компьютера, на котором находится информация и т.д.) или извне;

- каким образом произошло проникновение в помещение, где установлена компьютерная техника (если не имел к ней доступа или не работал в данной организации);

- как осуществлен неправомерный доступ в компьютерную сеть, каковы способы преодоления информационной защиты:

путем подбора ключей и паролей (вход в систему, сеть под именем и паролем одного из легальных пользователей, присвоение имени другого пользователя с помощью программы, которая изменяет данные, и пользователь получает другое имя и т.д.);

путем хищения ключей и паролей (визуальный перехват информации, выводимой на экран дисплея или вводимой с клавиатуры, о паролях, идентификаторах и процедурах доступа; перехват паролей при подключении к каналу во время сеанса связи; электронный перехват в результате электромагнитного излучения; сбор и анализ использованных распечаток, документов и других материалов, содержащих сведения о паролях и процедурах доступа и т.д.);

путем отключения средств защиты;

путем разрушения средств защиты;

путем использования несовершенства средств защиты.

- от кого им получены данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;

- какие средства использованы при совершении преступления:

технические;

программные;

носители информации;

комбинированные (т.е. использование двух или всех трех указанных выше);

- об иных технических уловках и ухищрениях, используемых для неправомерного доступа:

считывание информации при подключении к кабелю локальной сети при приеме электромагнитного излучения сетевого адаптера;

перехват электромагнитного излучения от дисплеев серверов или рабочих станций локальной сети для считывания и копирования информации;

копирование данных с машинных носителей информации, оставленных без присмотра или похищенных из мест их хранения;

считывание информации с жестких дисков и гибких дискет (в том числе остатков стертых и временных файлов), магнитных лент при копировании данных с оборудования потерпевшей организации;

хищение портативного компьютера, машинных носителей с целью получения доступа к содержащейся в них информации и т.д.

- о способах сокрытия неправомерного доступа (программных, указание ложных данных о лице, совершившем неправомерный доступ и т.д.);

- об обстоятельствах и количестве фактов незаконного вторжения в информационные базы данных;

- об использовании для неправомерного доступа своего служебного, должностного положения и в чем это конкретно выразилось.

5. При создании, использовании и распространении вредоносных программдля ЭВМ [19] следователю в ходе допроса подозреваемого (обвиняемого) необходимо выяснить:

- обстоятельства создания таких программ, в том числе:

на каком компьютерном оборудовании, когда и где разрабатывалась программа;

является ли данная программа оригинальной разработкой либо модификацией лицензионной программы с изменением ее первоначальных функций и для чего она предназначена;

какое программное обеспечение использовалось при создании программы;

возможно ли самопроизвольное распространение данной программы (т.е. является ли она вирусом).

- каким образом использовалась вредоносная программа:

заражение программного обеспечения компьютеров третьих лиц;

загрузка вредоносной программы в компьютер (компьютеры) посредством локальной сети или глобальной сети Интернет и т.д.

- к какому виду относятся созданные и использованные им (соучастниками) вредоносные программы («логические бомбы», «троянские кони», «захватчики паролей», «черви» и т.д.), каков алгоритм их функционирования, на какую информацию они воздействуют и т.д.

- способы распространения вредоносных программ:

продажа через торговую сеть;

сбыт неофициальным путем, в том числе в порядке обмена;

сдача в прокат, передача в заем, во временное пользование;

дарение и т.д.

- отношение подозреваемого (обвиняемого) к последствиям, которые неизбежны при изготовлении, использовании и распространении вредоносных (вирусных) программ;

- корыстная заинтересованность в создании, использовании и распространении вредоносных программ, размеры полученной наживы;

- способы сокрытия преступления и своего участия в нем.

6. При нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети [20] в ходе допросов подозреваемых (обвиняемых), а таковыми могут быть только лица, имеющие правомерный доступ к компьютерному оборудованию и сети, компьютерной информации (операторы, программисты, техники-наладчики и др.), необходимо акцентировать внимание на следующих моментах:

- был ли ознакомлен подозреваемый (обвиняемый) с установленными режимом и правилами; в каком документе такое ознакомление отражено, и в каком подразделении по месту работы подозреваемого (обвиняемого) он находится;

- место и время (период времени) факта нарушения правил эксплуатации;

- в чем конкретно выразилось нарушение правил эксплуатации, каковы технические аспекты способа и механизма нарушения правил (выполнение не предусмотренных операций или, наоборот, не выполнение предписанных действий, нарушение технологии обработки информации и т.д.);

- каковы последствия допущенных нарушений (нестандартная или нештатная ситуация с компьютером и его устройствами, повлекшая уничтожение, модификацию или копирование информации; выведение из строя компьютерной системы, вызвавшее блокирование информации и нарушение работы организации, учреждения, предприятия, систем управления и связи и т.д.);

- место наступления вредных последствий (далеко не всегда совпадает с местом нарушения правил, т.е. нарушение может произойти на рабочей станции локальной сети, а уничтожение информации – в сервере и т.д.).

7. Важнейшей задачей в ходе допросов подозреваемых (обвиняемых) об обстоятельствах совершения компьютерных преступлений является установление формы и степени их вины в содеянном, а также их отношения к наступившим вредным последствиям.

При этом в ходе допросов подозреваемых (обвиняемых) устанавливаются обстоятельства совершения ими не только компьютерных преступлений (т.е. использования компьютерной техники в качестве орудия или средства для совершения традиционных преступлений), но и соответствующих «традиционных» преступлений.

При совершении преступлений против собственности (предусмотренных ст. ст. 158, 159, 160, 164, 165 УК РФ) в ходе допросов выясняется:

- каким образом (с использованием своего служебного положения, правомерного доступа или путем несанкционированного проникновения в сеть) и с какой целью и в какие именно информационные базы данных подозреваемый (обвиняемый) внес изменения:

для подделки и фальсификации бухгалтерских и финансовых документов;

для изменения расчетной программы и перечисления, зачисления денег и ценных бумаг на определенный счет (счета) в другом кредитно-финансовом учреждении;

для нарушения правильности обработки первичных бухгалтерских документов, отражающих кассовые операции, движение товарно-материальных ценностей;

для искажения исходных данных, необходимых для принятия управленческих решений по товарообороту, производству платежей и т.д.

- подробности использования глобальной сети Интернет для доступа к чужим банковским счетам, данным кредитных карточек, а также махинаций, осуществляемых через Интернет – магазины и сферы услуг («раскручивания» финансовых пирамид, азартных игр, лотерей с помощью страниц Интернета);

- способы обналичивания созданного неучтенного резерва «электронных денег», ценных бумаг и товарно-материальных ценностей, их изъятия в кредитно-финансовых и торговых организациях и хищения;

- способы вуалирования совершаемых хищений с использованием компьютерных данных, каналы сбыта и места хранения похищенного имущества и ценностей;

- иные обстоятельства совершенных хищений, роль соучастников и др.[21]

При уклонении от уплаты налогов и таможенных платежей (ст. ст. 199, 194, 198 УК РФ), так же, как и при расследовании хищений, совершенных с использованием компьютерных технологий, подозреваемые (обвиняемые) допрашиваются:

- о произведенных изменениях и манипуляциях компьютерными данными о количестве поставленных (в том числе по импорту) и реализованных товарно-материальных ценностей, вырученных от их продажи денежных суммах и полученной прибыли;

- о количестве скрытых от таможенных платежей товаров и от налоговой инспекции объектов, подлежащих налогообложению;

- по другим вопросам, касающимся данных составов преступлений.

При незаконном получении и разглашении сведений, составляющих государственную, коммерческую или банковскую тайну (ст. ст. 283 и 183 УК РФ) у обвиняемых (подозреваемых) выясняется:

- кто заказчик, кому были переданы конфиденциальные сведения, добытые в результате неправомерного доступа и копирования;

- каким образом была использована (или должна была быть использована) скопированная информация;

- какими мотивами руководствовался подозреваемый (обвиняемый) и какие цели преследовал при копировании и передаче информации третьим лицам;

- какую материальную выгоду он получил в результате передачи заказчику (заказчикам) конфиденциальной информации и т.д.

Аналогичные вопросы задаются и при совершении с использованием компьютерных технологий других традиционных преступлений.

[1] Практика показывает, что такие факты имеют место в крупных финансово-кредитных учреждениях, акционерных обществах, государственных структурах, имеющих современные системы защиты информации, компьютерное оборудование и собственную службу безопасности.

[2] Кореневский Ю.В, Токарева М.А. «Использование результатов оперативно-розыскной деятельности в доказывании по уголовным делам» М.2000 г.

[3] Согласно п. 4 ст. 21 Федерального закона «Об информации, информатизации и защите информации», организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, должны создавать специальные службы, обеспечивающие ее защиту.

[4] Локальная сеть – сосредоточение в одном месте (помещении, здании) нескольких или многих компьютеров, соединенных между собой линиями связи (иногда телефонными, радиоканалами) и обеспечивающих комплексную обработку и обмен информацией, Для обеспечения функционирования сети из многих компьютеров часто выделяется специальный компьютер – сервер или несколько серверов.

Распределенная сеть – соединение компьютеров, помещенных в разных концах города, городах с помощью телекоммуникационных систем.

[5] Практике известны случаи кражи компьютеров и машинных носителей информации с целью копирования, уничтожения информации и внесения в нее изменений.

[6] Например, при совершении преступлений против собственности посредством компьютерных операций в кредитно-финансовой сфере, при непосредственном вторжении в конфиденциальные базы данных посредством телекоммуникационных сетей, в том числе Интернет.

[7] По одному из уголовных дел в ходе доследственной проверки зафиксирован факт несанкционированного доступа, использование пароля, а также процесс копирования конфиденциальной служебной информации. После этого виновный сразу был задержан, а на его рабочем месте произведен обыск.

[8] При анализе архива сообщений, поступивших на пейджер, могут быть установлены номера телефонов лиц, причастных к совершению преступления, и другая информация, интересующая следствие.

[9] В ходе обыска при расследовании одного из уголовных дел был изъят системный блок персонального компьютера, с помощью которого участник группы «хакеров» вывел из строя сайт, принадлежащий популярной музыкальной группе. Экспертизой установлено, что с целью уничтожения и сокрытия следов преступления обвиняемый произвел неоднократное форматирование жесткого диска и установку на нем оперативной системы Unix. Тем не менее, экспертам удалось восстановить значительную часть уничтоженной информации.

[10] В частности, подобные устройства были изъяты при обыске в ходе расследования уголовных дел об уклонении должностных лиц двух торговых предприятий Московской области от уплаты налогов путем модификации информации в контрольно-кассовых аппаратах АМС-100Ф (являющихся разновидностью ЭВМ) с помощью подключения к ним специально изготовленного электронного устройства, уничтожающего всю имевшуюся в памяти аппаратов информацию о предшествовавших финансовых операциях, выполненных в течение текущей смены (в том числе, о номере покупки и общей сумме выручки), в результате чего занижалась сумма выручки.

[11] См. раздел «Осмотр места происшествия», поскольку подготовка к проведению обыска и выемки аналогична подготовке к осмотру места происшествия. В данном разделе отмечаются лишь особенности данного этапа, характерные для обыска (выемки).

[12] Ю. Храмов, В. Наумов – «Компьютерная информация на предварительном расследовании», М.,1998г., МГОУ.

[13] Такое деление основано на положениях информационного законодательства, которое среди объектов правового регулирования выделяет отдельно отношения, возникающие при создании и использовании информационных технологий и средств их обеспечения.

[14] В ходе расследования одного из уголовных дел о хищении денежных средств с использованием ЭВМ экспертному исследованию подвергалась вся проектная документация на конкретную межбанковскую систему электронных платежей, включающая все стадии разработки, внедрения, эксплуатации, контроля, и сопровождения данной системы, в следующей последовательности: стадия постановки задачи; стадия предпроектного исследования; стадия подготовки технического задания (Т3); стадия техно-рабочего проектирования; стадия тестирования (испытания) программного обеспечения; стадия ввода в эксплуатацию; стадия эксплуатации, обеспечения безопасности и контроля; стадия сопровождения. Все эти стадии предусмотрены ГОСТами: 24.601-86 «Стадии и этапы создания и развития АСУ» и 24.602-86 «Состав и содержание работ по стадиям создания», относящимся к АСУ всех видов и назначений.

[15] В мировой практике борьбы с компьютерными преступлениями известны случаи осуществления «хакерами» связей с организованной преступностью, когда преступные сообщества выступают в роли заказчиков компьютерных махинаций, обеспечивая «хакеров» необходимой техникой, организуя прикрытие, снимая через подставных лиц деньги в банковских компьютерных системах.

[16] Анализ уголовных дел о преступлениях этой категории свидетельствует о том, что 2/3 лиц, их совершивших, имеют высшее (либо незаконченное высшее) техническое образование, 80% из них занимают административные и бухгалтерские должности, либо относятся к инженерно-техническому персоналу, каждый третий по роду службы правомерно пользовался служебной компьютерной техникой и постоянно имел свободный доступ к ней. Вместе с тем все большее распространение получают факты совершения преступлений указанной категории подростками. Так, в апреле 2001 года сотрудниками Управления «Р» ГУВД Москвы задержан 17-летний учащийся одной из школ, который в домашних условиях создавал и через компьютерные сети распространял опаснейшие вирусные программы, предназначавшиеся для несанкционированного уничтожения информации и нарушения работы ЭВМ.

[17] Если цель – совершение с помощью компьютерных технологий иного, «традиционного» преступления, то действия обвиняемого квалифицируются по совокупности по статье УК РФ, предусматривающей ответственность за преступление в сфере компьютерной информации, и по статье за соответствующее «традиционное» преступление.

[18] Только в последние пять лет по предварительному сговору группами лиц совершено каждое третье преступление в сфере компьютерной информации.

[19] Преступления, предусмотренные ст. 273 УК РФ, составляют около 20% от совершаемых в стране компьютерных преступлений.

[20] Количество совершаемых в стране преступлений, предусмотренных ст. 274 УК РФ, незначительно, а их удельный вес среди преступлений в сфере компьютерной информации не превышает 3%.

[21] Хищения с использованием компьютерных технологий в кредитно-финансовой системе, в сфере торговли и оказания услуг, как правило, совершаются по предварительному сговору группой лиц или организованными преступными группами.