ОСОБЛИВОСТІ ТАКТИКИ СЛІДЧИХ ДІЙ

При розслідуванні злочинів у зазначеній сфері слід виділити три типові слідчі ситуації.

Злочин, пов'язаний із рухом комп'ютерної інформації, учинений в умовах очевидності. Його характер та обставини вчинення відомі (наприклад, яким способом введено інформацію в комп'ютерну мережу⁷) і виявлені потерпілим власними силами. Злочинець відомий і затриманий.

Коли спосіб учинення відомий, але механізм злочину в повному

обсязі не є зрозумілим. Наприклад, стався несанкціонований доступ до файлів законного користувача через інтернет, оскільки іі захисті комп'ютерної мережі наявні слабкі місця. Злочинець відомий, але переховується.

Коли має місце злочинний результат, наприклад, дезорганізація комп'ютерної мережі банку, але механізм злочину та злочинець невідомі.

У першому випадку слід встановити, чи був причинно-слідчий зв'язок між несанкціонованим проникненням у комп'ютерну мережу та наслідками (збій у роботі, занесення комп'ютерного вірусу тошо) і з'ясувати розміри збитків. У другому першочерговим завданням, поряд з наведеними вище, є розшук та затримання злочинця. І, зрештою, у найменш сприятливому (третьому) випадку слід встановити механізм злочину.

Необхідно знати особливості тактики окремих слідчих дій, у ході яких виявляється, фіксується та вилучається комп'ютерна інформація, а саме: огляду місця події (місцевість, приміщення, предмети, документи), обшуку (зокрема особистого, на місцевості та в приміщенні), виїмки (предмети, документи, поштово-телеграфна кореспонденція, документи, що містять державну таємницю), прослуховування телефонних та інших переговорів. При виконанні цих слідчих дій необхідно: тактично правильно проводити пошук комп'ютерної інформації, що дозволяє уникнути її знищення чи пошкодження; знайти потрібне, зафіксувати і вилучити його відповідно до процесуальних норм. Сучасний розвиток електроніки дозволяє зберігати велику кількість інформації у незначних за обсягом приладах. При підготовці до огляду, обшуку чи виїмки слідчий вирішує питання про необхідність вилучення комп'ютерної інформації, на що, крім ознак складу злочину у сфері руху комп'ютерної інформації, можуть указувати:

наявність у підозрюваного (обвинуваченого) чи потерпілого (іно­ді — свідка) спеціальної освіти в галузі обчислювальної техніки, а також комп'ютерної техніки в особистому користуванні;

наявність у матеріатах справи документів, виготовлених машинним способом (відповіді на запити, довідки, отримані від обвинуваченого чи потерпілого);

викрадення носіїв комп'ютерної інформації;

відомості про захоплення вищевказаних осіб комп'ютерною технікою, програмуванням або про їх часті контакти з особами, що мають такі захоплення.

На підготовчому етапі огляду чи обшуку необхідно:

отримати вірогідні дані про вид та конфігурацію ЕОМ, що використовується; про те, чи підключена вона до локальної або

глобальної мережі (інтернету); про наявність служби інформаційної безпеки І захисту від несанкціонованого доступу системи електроживлення приміщень, де встановлена комп'ютерна обчислювальна техніка; про кваліфікацію користувачів;

зібрати відомості про співробітників, які обслуговують комп'ютерну техніку, взаємовідносини в колективі, його можливу криміналізацію тощо). Володіння такою інформацією забезпечить слідчому доступ до інформації, що зберігається в комп'ютері, та максимально підвищить її доказове значення.

Здебільшого вагому роль відіграє раптовість обшуку (невідкладність огляду), оскільки комп'ютерну інформацію можна швидко знищити. Якщо отримані відомості, що комп'ютери організовані в локальну мережу, слід завчасно встановити місцезнаходження всіх засобів комп'ютерної техніки, підключених до цієї мережі, та організувати груповий обшук одночасно в усіх приміщеннях, де встановлено ЕОМ. Перед початком обшуку (огляду) вживають заходів, які попередять можливість пошкодження чи знищення інформації. Для цього слід забезпечити контроль за безперебійним електроживленням ЕОМ у момент огляду, вивести всіх сторонніх осіб з території, на якій проводиться огляд чи обшук, перекрити подальший доступ людей; вжити заходів, щоб особи, які залишилися, не мали можливості торкатися засобів комп'ютерної техніки і джерел електроживлення. Огляд чи обшук доцільно проводити за участю спеціаліста в галузі інформатики і обчислювальної техніки. Бажано понятими запрошувати осіб, які обізнані з роботою ЕОМ.

Не слід обмежуватися пошуком інформації тільки в комп'ютері. Необхідно уважно оглянути наявну документацію (навіть у записах на клаптиках паперу, оскільки програмісти часто, не покладаючись на свою пам'ять, залишають на цих клаптиках записи про паролі, зміну конфігурації системи, особливості будування інформаційної бази комп'ютера). Велика кількість користувачів зберігають копії своїх файлів на дискетах для уникнення їх втрати при виході комп'ютера з ладу. Тому будь-які виявлені носії інформації мають вилучатись і вивчатись.

Тактика пошуку комп'ютерної інформації повинна обиратись, виходячи із ступеня захисту даних та функціонального стану комп'ютера і периферійних приладів на момент проведення слідчої дії.

Про високий ступінь захисту комп'ютера може свідчити: наявність спеціальних систем захисту інформації від несанкціонованого доступу і (або) сертифікованих засобів захисту; постійна охорона території і будівлі, де розмішена комп'ютерна система, за допомогою технічних засобів і спеціального персоналу, використання суворого пропускного

режиму, спеціального обладнання приміщень; наявність адміністратора (служби) захисту інформації; нормальне функціонування і контроль роботи.

Низький ступінь захищеності визначається наявністю простого алгоритму обмеження доступу (наприклад, дані захищені тільки паролем), отриманням вірогідних даних про його подолання. При цьому немає потреби застосовуватиспеціальні засоби доступу до інформації.

Одним із найвідповідальніших моментів уроботі слідчого з ЕОМ є подолання захисту комп'ютера від несанкціонованого доступ)', оскільки принекоректному поводженні з ним захищені дані можуть бути самознищені,перекручені, сховані задопомогою спеціальних програм. Для того, щоб цього не сталося, при підготовні до проведення слідчої дії необхідно якомога точніше і повніше визначити ступінь захищеності комп'ютера, засоби його захисту, паролі, ключовіслова і т. ін.

З одного боку, більшість спеціалістів вважають, що у сфері обчислювальної техніки та програмуваннясьогодні немає програмно-технічних засобів, здатних стовідсотково гарантувати захист. А відтак, в принципі можна подолати будь-яку перешкоду при пошуку інфор­мації. З іншого боку, існують засоби захисту, в яких використовують різноманітні алгоритми й принципи будови захисту, для подолання яких може знадобитися чимало часу. Серед хакерів саме подолання захисту від несанкціонованого доступу є одним із найвищих свідчень майстерності.

Причини захисту даних можуть бути різними. Крім мети щодо протидії розкриттю й розслідуванню злочинів, користувачі захищають дані від некомпетентності і неналежного виконання робіт на ЕОМ. Захист комп'ютерної інформації здійснюється ідентифікацією (кори­стувач повідомляє своє ім'я) і автентифікацїєю (перевірка справжнос­ті) — іншасторона переконується, що суб'єкт дійсно той, за кого себе видає. Справжність підтверджується: знанням пароля; особистого ідентифікаційного номера; криптографічного ключа тощо; особистого карткою або іншим приладом аналогічного призначення; голосом; відбитками пальців, іншими біометричними характеристиками тощо.

Паролі, які давно вбудовані в операційні системи й інші сервісні програми, при правильному використанні можуть забезпечити рівень безпеки, що підходить для багатьох організацій, установ та підприємств. Але за сукупністю характеристик їх слід визнати найслабкішим способом перевірки справжності. Надійність паролів полягає в здатності запам'ятати їх та зберігати в таємниці.

Аналіз парольного захисту при огляді або обшуку комп'ютерної техніки дозволяє слідчому з великою вірогідністю визначити справжнього власника криміналістичнозначущої інформації, знайденої

у комп'ютері. Проте, чим вища надійність парольної системи, тим з більшою ймовірністю можна визначитиїї справжнього власника і тим вищим є доказове значення виявленої інформації.

Ще одним засобом автентифікації є токени— предмети або прилади, володіння якими підтверджує справжність користувача. Найпоши­ренішими з них є картки з магнітною смугою. Зазвичай користувач набирає на клавіатурі свій ідентифікаційний номер, після чого процесор перевіряє його збігання з тим, що записано на картці, а також її справжність.

До перерахованих засобів також належать і електронні ключі. Електронний ключ — прилад з пам'яттю, виконаний на спеціалізованіймікросхемі, розміром не більше сірникової коробки. Якщо при огляді комп'ютера запустити захищену програму, вона перевіряє наявність свого ключа. Коли такий ключ знайдено, програма виконується. В іншому разі видається інформація про помилку і робота припиняється. Сам ключ вводиться в порт комп'ютера, що призначений для підключення принтера, і легко виводиться.

Однак успішне подолання захисту ще не вирішує всіх проблем збирання доказів у комп'ютері. Тактичні особливості пошуку комп'ютерної інформації залежать також від функціонального стану ЕОМ і периферійних приладівна момент огляду чи обшуку. Інформація може бути або зафіксована на постійному носії, або зберігатися в ЕОМ тільки в період її роботи, тому слідчому необхідно обирати різні тактичні прийоми пошуку залежно від того, працюс комп'ютер на момент слідчої дії чи відключений.

При вмиканні комп'ютера в роботу електронні прилади створюють у ньому певний обсяг так званої "оперативної пам'яті" (ОЗУ), яка призначена для операційних дій над інформацією і програмами та зберігає їх піц час роботи. При вимиканні комп'ютера або закінченні роботи з конкретною програмою чи даними ОЗУ очищується і готове для введення нових даних. У процесі роботи комп'ютера ОЗУ спеціальними програмними засобами розмежовується на спеціальні галузі, призначені для окремого зберігання програм і даних. Серед таких галузей за бажанням користувача може бути виділена спеціальна галузь, яка імітує зовнішній прилад — накопичувач інформації. Цей накопичувач (так званий "віртуальний диск" чи "псевдодиск") відзначається високою швидкістю доступу і дозволяє виконувати специфічні операції з обміну програмами (даними) з приладами ЕОМ. Про робочий стан комп'ютера свідчить положення тумблерів,мерехтіння чи горіння індикаторів на передній панелі системного блока, зображення на моніторі, невелика вібрація і ледь відчутний шум працюючих усередині вентиляторів.

У випадку, якщо комп'ютер на момент початку огляду виявився ввімкненим, слід оцінити інформацію, що зображена на моніторі. По-перше, встановити, яка програма виконується на цей момент. У разі роботи стандартного програмного продукту (наприклад, на екрані зобра­жені вікна операційних оболонок Norton Commander чи Windows) — не виконувати будь-яких маніпуляцій на вході без попереднього візуального огляду технічних засобів. Екран монітора варто сфотографувати. Відключити всі телефонні лінії, з'єднані з комп'ютером. Описати всі з'єднання на задній стінці системного блока. Якщо необхідно, відкрити кожух системного блока та візуально визначити конфігурацію ЕОМ, описати місцезнаходження електронних плат. Дотримання цих правил дозволить зробити безпечним пошук інформації від різноманітних приладів пошкодження та знишення як апаратних засобів, так і інформаційної бази. Такими засобами можуть бути електронні ключі, радіозакладки і т. ін. У разі, якщо при огляді апаратних засобів виявлені невідоміучасникам огляду (обшуку) прилади (плати розширення, нетипові з'єднання тошо), комп'ютер необхідно одразу вимкнути.При цьому слід не вимикати тумблер блока живлення, а витягнути вилку з розетки. Після цього (до відключення проводів) слід промаркувати всю систему підключення, всі порти і роз'єми, шоб у подальшому можна було точно реконструювати розміщення кабелю, плат розширення та інших приладів.

Якщо конфігурація процесора стандартна, потрібно коректно завершити роботу виконаної програми або дочекатися завершення її роботи до видачі додаткових, можливо пошукових, даних. Особам, які присутні при огляді (обшуку), варто роз'яснити всі дії слідчого і спеціаліста в ході маніпуляції з ЕОМ. Неприпустимо втручання в інформаційну базу без наочного та доступного коментаря своїх дій. Повинні бути пояснені будь-які натискання на клавіатуру, пересування миші і т. ін.

Якщо при пошуку інформації використовуються програмні продукти, не розміщені в комп'ютері, але застосовуються слідчим, це слід зазначити у протоколі огляду або обшуку. Максимально активна участь понятих у пошуку інформації важлива тому, що результатом його виконання може бути не текстовий або графічний документ, а аудіовідеоролик (вербальна або візуальна інформація). Такий підсумок роботи програми, будучи унікальним (неповторним), фіксується протоколом (не враховуючи фотозйомку і відеозапис).

У разі, коли інформація буде знайдена, поточне зображення екрана дисплея необхідно сфотографувати, після чого стандартними засобами переписати інформацію на постійний носій (зазвичай — на магнітний диск) або роздрукувати.

Вмикати і вимикати комп'ютери, виконувати з ними будь-які операції може спеціаліст у сфері обчислювальної техніки. Якщо на об'єкті було відключене електропостачання, наприклад, у зв'язку з пожежею або вибухом, до його вмикання слід перевірити, чи перебувають усі комп'ютери і периферійні прилади у вимкненомустані. Вилучати необхідно одразу всі комп'ютери (або хоча б блоки пам'яті) і магнітні носії, що є на об'єкті. Не допускається залишати їх длязберігання на самому об'єкті чи в іншому місці, де до них можуть мати доступ сторонні особи. Інформація, що міститься на магнітних носіях, може бути легко знишена злочинцем, наприклад, за допомогою джерела електромагнітного випромінювання. При цьому візуально виявити це неможливо.

Комп'ютери та їх комплектуючі опечатуються: на роз'єми накладають лист паперу, закріплюючи його краї на бокових стінках комп'ютера густим клеєм або клейкою стрічкою для того, шоб виключити можливість роботи з ним у разі відсутності власника чи експерта.

Магнітні носії поміщаються, зберігаються і транспортуються в спеціальних екранованих контейнерах чи стандартних дискетних або інших алюмінієвих футлярахзаводського виготовлення для запобігання руйнівної дії різних електромагнітних і магнітних полів і спрямованих опромінювань. Опечатуються тільки контейнери чи футляри. Пояснювальні написи наносяться на спеціальні етикетки для дискет.

У протоколі слідчої дії описуються основні фізичні характеристики приладів, магнітних та інших постійних носіїв інформації,шо вилучається, серійні номери апаратури, їх видимі індивідуальніознаки. Машинні роздруківки оформлюються як додаток до протоколу.

При здійсненні допитів підозрюваних і обвинувачених слід враховуватидані криміналістичної характеристики про особу злочинця. Важливою є підготовка до допиту,у процесі якої необхідно намагатися хоча б умовно визначити, до якої групи належить підозрюваний чи обвинувачений, і на цьому будувати тактику допиту. При первинному допиті необхідно, спонукаючи особу до дійового каяття, з'ясувати:

які зміни в роботу комп'ютерних систем були внесені;

які віруси використовувалися;

чи є з погляду підозрюваного (обвинуваченого) можливість швидко усунути чи зменшити шкоду, спричинену несанкціонованим проникненням у систему;

які відомості і кому передавалися.

При первинних допитах свідків і потерпілих необхідно з'ясовувати:

призначення і функції комп'ютерної системи;

хто мав доступ до комп'ютерної системи і приміщень, де

розміщувалась комп'ютерна техніка, чи не з'являлисятам сторонні особи;

які засоби захисту використовувалися;

якщо частина інформації була закритою, то хто санкціонував доступ до неї і хто реально до неї був допущений;

яка шкода (майнова чи немайнова) завдана злочином і чи є способи її зменшити.