В линиях электросвязи

Документированная информация о прохождении сигнала через оператора

вания

Специальная конфигура- ция программ работы в сетях

Следы в файловой системе

Копии чужих

Документы

Документы, регистрирующие соединения абонентов

Протоколы взаи- морасчетов между операторами

Компьютерная

информация

Базы данных, фиксирующие соединения

Коммутаторы,

осуществляющие

и регистрирующие

файлов Платежные доку-

менты об оплате

соединения

Программное обеспечение для создания программ

Специализирован- ное «хакерское» программное обеспечение

Прочие

трафика между операторами

Результаты наблюдения при прове- дении оперативно-розыскных мер и предварительного следствия

Рукописные записи

и принтерные распечатки

Коды доступа

Тексты программ

Записные книжки с именами дру- гих хакеров

Описания программного обеспечения

Инструкции по пользо- ванию ЭВМ и ее устрой- ствами

Устройства доступа в телефонные сети и сети ЭВМ

Нестандартные пери-

ферийные устройства

Счета телефонных компаний

Пеленгация источника сигналов

Прослушивание телефонных

и иных переговоров

Прохождение криминального сигнала через оператора

Чрезвычайно важны и другие действия, направленные на фик- сацию факта нарушения целостности (конфиденциальности) ком- пьютерной системы и его последствий, следов преступных мани- пуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экс- пертизы. Перед экспертом ставится вопрос: «Каким способом был осуществлен несанкционированный доступ в данную компь- ютерную систему?» Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экс- пертизы не обойтись без использования компьютерного оборудо- вания той же системы, которую взломал преступник, либо специ- альных технических и программных средств.

В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компью- терной системы одним из предполагаемых способов. Одновре- менно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в электронном оборудовании.

Выясняя надежность средств зашиты компьютерной ин- формации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкцио- нированного доступа, в том числе к определенным файлам. Это возможно в ходе допросов разработчиков и пользователей сис- темы, а также при изучении проектной документации и инструк- ций по эксплуатации системы. Изучая инструкции, нужно обра- щать особое внимание на разделы о мерах защиты информа- ции, порядке допуска пользователей к конкретным данным, раз- граничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографи- ческих, организационных и других методах защиты информа- ции, поскольку для обеспечения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкциони- рованного доступа.

Так, законодательством предусмотрена обязательная серти- фикация средств защиты систем и сетей ЭВМ, а кроме того — обязательное лицензирование всех видов деятельности в облас-

ти проектирования и производства названных средств. Поэтому в процессе расследования необходимо выяснить: 1) есть ли лицен- зия на производство средств защиты информации, задейство- ванных в данной компьютерной системе, от несанкционированно- го доступа и 2) соответствуют ли их параметры выданному сер- тификату. Ответ на последний вопрос может дать информацион- но-техническая экспертиза, с помощью которой выясняется: со- ответствуют ли средства защиты информации от несанкциониро- ванного доступа, использованные в данной компьютерной систе- ме, выданному сертификату? Правда, ответственность за выяв- ленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.

При установлении лиц, совершивших несанкционирован- ный доступ к конфиденциальной компьютерной информа- ции,следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладаю- щие достаточно высокой квалификацией. Поэтому поиск подоз- реваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую оче- редь их разработчики, а также руководители, операторы, про- граммисты, инженеры связи, специалисты по защите информа- ции, другие сотрудники.

Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специали- стов, обладающих соответствующими способностями, весьма ограничен.

Доказыванию виновности конкретного субъекта в несанкцио- нированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются

криминалистические экспертизы — дактилоскопическая, почерко-

ведческая и др.

Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует преж- де всего ознакомиться с должностными инструкциями, опреде- ляющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось

ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.

У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обна- ружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, запис- ных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и програм- мированию. К производству обыска и осмотру изъятых предме- тов рекомендуется привлекать специалиста по компьютерной технике, незаинтересованного в исходе дела.

Доказать виновность и выяснить мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, мож- но лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, по- терпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется:

1) с какой целью совершен несанкционированный доступ к компьютерной информации;

2) знал ли правонарушитель о системе ее защиты;

3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.

Вредные последствия неправомерного доступа к компь- ютерной системе или сетимогут заключаться в хищении де- нежных средств или материальных ценностей, завладении ком- пьютерными программами, а также информацией путем изъятия машинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в компьютерную систему вредоносного вируса, ввод заведомо ложных данных и др.

Хищения денежных средств чаще всего совершаются в бан- ковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обна- руживают сами работники банков, устанавливаются они и в хо-

де оперативно-розыскных мероприятий. Сумма хищения опре-

деляется посредством судебно-бухгалтерской экспертизы.

Факты неправомерного завладения компьютерными програм- мами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получе- ние информации из различных компьютерных систем, ее копиро- вание и размножение с целью продажи либо использования в других преступных целях (например, для сбора компрометирую- щих данных на кандидатов на выборные должности различных представительных и исполнительных органов государственной власти).

Похищенные программы и базы данных могут быть обнаруже- ны в ходе обысков у обвиняемых, а также при оперативно- розыскных мероприятиях. Если незаконно полученная информа- ция конфиденциальна или имеет категорию государственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.

Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования,

«закачки» в информационную систему заведомо ложных сведе- ний выявляются прежде всего самими пользователями компью- терной системы или сети. Следует учитывать, что не все эти не- гативные последствия наступают в результате умышленных дей- ствий. Их причиной могут стать случайные сбои в работе компью- терного оборудования, происходящие довольно часто.

При определении размера вреда, причиненного несанкциони- рованным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного ос- мотра компьютерного оборудования и носителей информации с анализом баз и банков данных. Помогут здесь и допросы техни- ческого персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплекс- ной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, эко- номики, финансовой деятельности и товароведения.

На заключительном этапе расследования формируется це- лостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных докумен-

тов, особенно относящихся к защите информации. Весьма зна-

чимы материалы ведомственного (служебного) расследования.

К этим обстоятельствам относятся:

1) неэффективность методов защиты компьютерной инфор-

мации от несанкционированного доступа;

2) совмещение функций разработки и эксплуатации про- граммного обеспечения в рамках одного структурного подразде- ления;

3) неприменение в технологическом процессе всех имеющих- ся средств и процедур регистрации операций, действий программ и обслуживающего персонала;

4) нарушение сроков изменения паролей пользователей, а также сроков хранения копий программ и компьютерной инфор- мации.